Directive NIS2 : le guide de référence pour comprendre vos obligations
La directive NIS2 (UE 2022/2555) est la pierre angulaire de la nouvelle politique europeenne de cybersécurité. Adoptee en decembre 2022, elle redessine le paysage reglementaire pour plus de 100 000 entités en Europe et impose des standards élevés de gestion des risques cyber, de gouvernance et de notification d'incidents. Ce guide complet vous explique tout, du périmètre aux sanctions.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
NIS2 est entree en vigueur le 16 janvier 2023. Les États membres avaient jusqu'au 17 octobre 2024 pour la transposer. La France poursuit la transposition via la loi Résilience, avec un examen en hémicycle prévu en juillet 2026. Toute entité concernee doit déjà avoir engage sa démarche de mise en conformité.
Qu'est-ce que la directive NIS2 ?
La directive (UE) 2022/2555, plus connue sous le nom de directive NIS2 (Network and Information Security 2), est un texte legislatif europeen qui vise a etablir un niveau élevé commun de cybersécurité dans l'Union europeenne. Elle remplace et abroge la directive NIS1 de 2016, jugee insuffisanté face a l'évolution des cybermenaces et a l'heterogeneite de sa transposition entre États membres.
NIS2 s'inscrit dans une strategie europeenne plus large qui inclut le reglement DORA pour le secteur financier, le Cyber Résilience Act pour les produits connectes et le futur Cyber Solidarity Act. L'objectif affiche par la Commission europeenne est de faire de l'Union une zone resiliente face aux attaques d'origine criminelle ou étatique, dans un contexte ou les incidents touchant des hopitaux, des collectivités ou des opérateurs energetiques se sont multiplies.
Le contexte geopolitique
Entre 2020 et 2022, l'Europe a subi une vague d'incidents majeurs : ransomware contre des hopitaux français, attaques sur des infrastructures energetiques, espionnage étatique cible. La guerre en Ukraine a accentue la pression sur les opérateurs critiques. Face a cette realite, la Commission a propose en decembre 2020 une refonte ambitieuse de NIS1, finalisee deux ans plus tard.
Le texte de référence
La directive officielle est consultable sur EUR-Lex sous la référence Directive (UE) 2022/2555 du Parlement europeen et du Conseil du 14 decembre 2022. Elle compte 46 articles, plusieurs annexes detaillant les secteurs concernes, et fixe des obligations harmonisees a l'echelle europeenne tout en laissant aux États membres une marge d'adaptation pour la mise en oeuvre.
Les apports majeurs par rapport a NIS1
- Elargissement du périmètre : 18 secteurs contre 7 sous NIS1, et plus de 100 000 entités concernees en Europe contre quelques milliers auparavant.
- Classification binaire : entités essentielles et entités importantes, avec des regimes de supervision differents.
- Responsabilité des dirigeants : les organes de direction sont juridiquement responsables de l'approbation et du suivi des mesures de gestion des risques cyber.
- Sanctions harmonisees : amendes pouvant atteindre 10 millions d'euros ou 2 pourcent du CA mondial.
- Notification accelerees des incidents : alerte precoce sous 24 heures, notification détaillée sous 72 heures.
Pour une comparaison détaillée, consultez notre page dédiée NIS2 vs NIS1.
Qui est concerne par la directive NIS2 ?
La directive NIS2 cible deux catégories d'entités : les entités essentielles (Annexe I) et les entités importantes (Annexe II). Cette distinction conditionne le niveau de supervision applique par l'autorite competente, ainsi que le bareme des sanctions encourues.
Entités essentielles vs entités importantes
Les entités essentielles rélevént des secteurs hautement critiques définis a l'Annexe I de la directive : énergie, transport, banque, infrastructures de marche financier, santé, eau potable, eaux usees, infrastructures numeriques, gestion des services TIC, administration publique, espace. Elles sont soumises à une supervision ex ante, c'est-a-dire que l'autorite peut réaliser des contrôles avant tout incident.
Les entités importantes rélevént des secteurs critiques de l'Annexe II : services postaux, gestion des dechets, fabrication, production et distribution de produits chimiques, production agroalimentaire, fournisseurs numeriques, organismes de recherche. Elles sont soumises à une supervision ex post, declenchee à la suite d'un incident ou d'un signalement.
Les critères de taille
NIS2 applique le principe du seuil de taille. Sont automatiquement concernees les entités moyennes et grandes au sens de la recommandation 2003/361/CE, c'est-a-dire celles qui emploient au moins 50 salariés ou realisent un chiffre d'affaires annuel ou un total de bilan supérieur a 10 millions d'euros.
Les micro-entreprises et petites entreprises sont en principe exclues, sauf cas particuliers : fournisseurs de services DNS, registres de noms de domaine, fournisseurs de services de confiance qualifies, opérateurs critiques désignés par l'État. Les administrations publiques sont egalement concernees independamment de leur taille.
Pour savoir si vous etes concerne, posez-vous trois questions : 1) Mon activité figure-t-elle dans l'un des 18 secteurs des annexes ? 2) Mon entreprise dépassé-t-elle 50 salariés ou 10 millions d'euros de CA ? 3) Suis-je sous-traitant critique d'une entité NIS2 ? Si vous repondez oui à la question 1 et à la question 2 ou 3, vous etes vraisemblablement concerne. Notre page dédiée détaillé tous les cas particuliers.
Quelles sont les obligations imposees par NIS2 ?
Les obligations NIS2 se structurent autour de quatre grands axes : la gouvernance cyber, les mesures de gestion des risques, la notification des incidents et la sécurité de la chaîne d'approvisionnement. Ces obligations s'appliquent quel que soit le statut, mais le niveau d'exigence et de contrôle varie selon que l'entité est essentielle ou importante.
Gouvernance et responsabilité des dirigeants (article 20)
L'article 20 de la directive est l'une des innovations majeures de NIS2. Il impose aux organes de direction des entités concernees d'approuver les mesures de gestion des risques cyber et de superviser leur mise en oeuvre. Les dirigeants doivent suivre une formation régulière et offrir une formation similaire a leurs employes.
En cas de manquement, ces dirigeants peuvent être tenus personnellement responsables. C'est une rupture par rapport a NIS1, qui se contentait d'imposer des obligations a l'entité sans nommer de responsable identifie. Cette responsabilisation rapproche la directive du modele du RGPD.
Les 10 mesures de l'article 21
L'article 21 enumere les mesures techniques, opérationnelles et organisationnelles minimales que toute entité concernee doit mettre en place :
- Politique d'analyse des risques et de sécurité des systèmes d'information.
- Gestion des incidents (détection, traitement, retour d'expérience).
- Continuite des activités et gestion des crises (sauvegardes, plans de reprise).
- Sécurité de la chaîne d'approvisionnement, y compris fournisseurs et prestataires.
- Sécurité de l'acquisition, du développement et de la maintenance des systèmes.
- Politiques d'évaluation de l'efficacite des mesures de gestion des risques cyber.
- Pratiques de base en cyberhygiene et formation à la cybersécurité.
- Politiques et procédures relatives a l'usage de la cryptographie.
- Sécurité des ressources humaines, contrôle d'accès et gestion des actifs.
- Authentification multifactorielle, communications securisees et plans de communication d'urgence.
Le detail de chaque mesure est documente sur notre page obligations NIS2.
Notification des incidents (article 23)
NIS2 impose un schema de notification en trois temps a destination du CSIRT national ou de l'autorite competente :
| Echeance | Action | Contenu |
|---|---|---|
| Dans les 24h | Alerte precoce | Déclaration initiale qualifiant l'incident, suspicion d'origine malveillante, impact transfrontalier potentiel. |
| Dans les 72h | Notification d'incident | Évaluation de la gravite, indicateurs de compromission, mesures prises ou envisagees. |
| Dans 1 mois | Rapport final | Description détaillée de l'incident, type de menace, mesures correctives et lecons tirees. |
Le seuil de notification est l'incident significatif, c'est-a-dire un incident causant ou susceptible de causer une perturbation opérationnelle grave ou une perte financière importante.
Sécurité de la chaîne d'approvisionnement
NIS2 introduit une responsabilité explicite sur la sécurité supply chain. Toute entité doit évaluer la posture cyber de ses fournisseurs critiques, intégrér des clauses de cybersécurité dans ses contrats, et prendre en compte les vulnérabilités des composants logiciels et materiels qu'elle utilise. C'est un point essentiel à la lumiere des attaques de type SolarWinds ou Log4Shell qui ont demontre la fragilite des chaînes d'approvisionnement numeriques.
Quel est le calendrier de la directive NIS2 ?
La directive NIS2 a ete adoptee par le Parlement europeen et le Conseil le 14 decembre 2022, publiée au Journal officiel de l'Union europeenne le 27 decembre 2022, et est entree en vigueur le 16 janvier 2023. A partir de cette date, les États membres disposaient de 21 mois pour la transposer dans leur droit national.
La date butoir du 17 octobre 2024
Le 17 octobre 2024 etait l'echeance fixee aux 27 États membres pour publiér leurs textes de transposition. A cette date, plusieurs États avaient pris du retard, dont la France, ou la loi Résilience a été adoptée en 1ère lecture au Sénat et l'examen en hémicycle est prévu pour juillet 2026. La Commission européenne a engagé 19 procédures d'infraction en novembre 2024 contre les États n'ayant pas transposé dans les délais, dont la France.
État de la transposition en France
La France a présente un projet de loi spécifique baptise loi de résilience, qui transpose simultanement NIS2, la directive REC (résilience des entités critiques) et le reglement DORA. Le texte définit les autorites nationales competentes, les seuils d'application, les obligations précises et les sanctions. L'ANSSI est désignée comme autorite nationale unique pour l'application de NIS2.
Pour le calendrier complet et l'état d'avancement reglementaire, consultez notre page calendrier NIS2.
Quelles sanctions en cas de non-conformité ?
Le regime de sanctions NIS2 est inspire de celui du RGPD : il combine amendes administratives lourdes, pouvoirs d'injonction et responsabilité des dirigeants.
Le bareme des amendes
| Type d'entité | Plafond fixe | Plafond proportionnel |
|---|---|---|
| Entité essentielle | 10 millions d'euros | 2 pourcent du CA mondial |
| Entité importante | 7 millions d'euros | 1,4 pourcent du CA mondial |
L'autorite competente retient le montant le plus élevé. Au-dela de l'amende, elle peut imposer des injonctions de mise en conformité, suspendre temporairement une certification, ou interdire à un dirigeant l'exercice de fonctions de direction dans l'entité concernee.
La directive NIS2 introduit explicitement la responsabilité personnelle des organes de direction. En cas de manquement grave aux obligations de gouvernance, un dirigeant peut être individuellement sanctionne, voire écarte temporairement de ses fonctions. Cette disposition est inedite dans le paysage reglementaire cyber europeen.
Le detail du bareme et des cas concrets est documente sur notre page sanctions NIS2.
Le rôle de l'ANSSI dans NIS2
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est l'autorite nationale unique désignée par la France pour l'application de NIS2. Elle herite des missions déjà exercees au titre de NIS1 et les voit considerablement etendues.
Les missions de l'ANSSI sous NIS2
- Identification et enregistrement des entités essentielles et importantes, avec creation d'un registre national.
- Supervision des entités essentielles via des contrôles ex ante (audits, inspections programmees).
- Reception des notifications d'incidents et coordination avec les CSIRT sectoriels.
- Pouvoir d'injonction et de sanction administrative.
- Coopération europeenne via le groupe de coopération NIS et le réseau CSIRTs.
- Publication de guides et d'outils pour aider les entités a se conformer.
L'ANSSI a lancé la plateforme MonEspaceNIS2 (monespace.cyber.gouv.fr) pour le pré-enregistrement des entités, et publié le ReCyF le 17 mars 2026. Elle propose également plusieurs ressources, notamment un guide d'auto-diagnostic et un kit d'accompagnement. Le detail des pouvoirs et de la procédure de contrôle est expose sur notre page ANSSI et NIS2.
Comment se mettre en conformité avec NIS2 ?
La mise en conformité NIS2 est un projet structurant qui mobilise direction, équipes IT, RH, juridique et achats. Voici les cinq étapes cles que toute entité doit suivre.
Les 5 étapes cles
- Évaluation d'éligibilité : confirmer que l'entité est concernee, déterminer son statut (essentielle ou importante) et identifier les obligations applicables.
- Analyse d'écart (gap analysis) : mesurer l'écart entre la posture cyber actuelle et les exigences NIS2, en cartographiant les processus et systèmes critiques.
- Plan de remediation : prioriser les actions, allouer les budgets, définir un calendrier de mise en oeuvre realiste.
- Mise en oeuvre des mesures techniques (chiffrement, authentification multifactorielle, sauvegardes) et organisationnelles (politique de gestion des incidents, formation, gouvernance).
- Audit et amelioration continue : vérifier l'efficacite des mesures, organiser des exercices de crise, documenter les incidents et tirer les lecons pour iterer.
Cette démarche est détaillée sur notre page mise en conformité NIS2, qui propose egalement un modele de feuille de route et des conseils opérationnels.
Questions frequentes
NIS2 remplace-t-elle le RGPD ?
Non. NIS2 et le RGPD sont deux textes complémentaires. Le RGPD protege les donnees personnelles, NIS2 protege les systèmes d'information et la continuite des services essentiels. Une entité peut être soumise aux deux simultanement.
Les sous-traitants sont-ils concernes ?
Indirectement, oui. NIS2 impose aux entités concernees d'évaluer la sécurité de leur chaîne d'approvisionnement. Tout sous-traitant critique sera donc soumis à des exigences contractuelles renforcees, même s'il n'est pas formellement désigné comme entité NIS2.
Existe-t-il une certification NIS2 ?
Pas a ce jour. NIS2 reconnait toutefois les schemas de certification europeens existants (notamment ceux issus du Cyber Security Act) comme moyens de demontrer la conformité. La norme ISO 27001 est largement utilisee comme référence d'implementation.
Que se passe-t-il si je suis identifie tardivement ?
L'autorite peut accorder un délai de mise en conformité, mais en cas d'incident survenant pendant cette période, votre responsabilité peut être engagee. Il est donc preferable d'anticiper et de ne pas attendre la notification officielle.
NIS2 s'applique-t-elle aux collectivités territoriales ?
Oui, l'administration publique figure parmi les secteurs hautement critiques de l'Annexe I. Les collectivités territoriales d'une certaine taille sont concernees, avec des modalites précisees par chaque État membre.