Les obligations concretes imposees par la directive NIS2
La directive NIS2 impose un socle minimal de mesures techniques et organisationnelles, une gouvernance impliquant les dirigeants, et un schema de notification d'incidents en trois temps. Voici le detail de chaque obligation, article par article.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
1. Gouvernance et formation des dirigeants (article 20)
L'article 20 est l'une des innovations majeures de NIS2. Il impose aux organes de direction des entités essentielles et importantes deux obligations explicites : approuver les mesures de gestion des risques cyber et superviser leur mise en oeuvre. Les dirigeants doivent en outre suivre des formations régulières pour acquerir les connaissances nécessaires a l'identification des risques et a l'évaluation des pratiques de gestion de ces risques.
Cette responsabilisation est renforcee par la possibilite, pour l'autorite competente, d'engager la responsabilité personnelle du dirigeant en cas de manquement, voire de l'écarter temporairement de ses fonctions.
2. Les 10 mesures de gestion des risques (article 21)
L'article 21 enumere les mesures minimales que toute entité concernee doit mettre en oeuvre. Elles couvrent l'ensemble du spectre cyber, du technique a l'organisationnel.
2.1 Politique d'analyse des risques et de sécurité des SI
L'entité doit formaliser une politique de sécurité approuvee par la direction, basee sur une analyse des risques régulièrement mise à jour. Elle identifie les actifs critiques, les menaces, les vulnérabilités et les mesures de protection.
2.2 Gestion des incidents
Procédures de détection, de triage, de traitement et de retour d'expérience. L'entité doit être capable d'identifier rapidement un incident, d'en limiter l'impact et d'en tirer les enseignements pour éviter la recidive.
2.3 Continuite des activités et gestion des crises
Plans de continuite d'activité (PCA), plans de reprise d'activité (PRA), strategie de sauvegarde, plans de gestion de crise. L'objectif est de garantir la résilience même apres un incident grave.
2.4 Sécurité de la chaîne d'approvisionnement
Évaluation de la posture de sécurité des fournisseurs critiques, integration de clauses cyber dans les contrats, prise en compte des vulnérabilités des composants logiciels et materiels.
2.5 Sécurité du développement et de la maintenance
Application des principes de security by design et security by default. Gestion des vulnérabilités, processus de patching, revues de code et tests de sécurité.
2.6 Politiques d'évaluation de l'efficacite des mesures
Mise en place d'indicateurs (KPI) et d'audits internes ou externes pour mesurer l'efficacite des mesures de gestion des risques cyber. NIS2 ne se contente pas d'imposer des contrôles, elle exige qu'ils soient evalues régulièrement.
2.7 Cyberhygiene et formation
Pratiques de base : mises à jour, gestion des mots de passe, authentification forte, sauvegardes. Formation régulière de tous les employes à la cybersécurité, sensibilisation au phishing.
2.8 Cryptographie
Politiques d'usage du chiffrement pour les donnees au repos et en transit, gestion des cles, protocoles à jour. NIS2 n'impose pas un algorithme spécifique mais exige une politique formalisee.
2.9 Sécurité RH, contrôle d'accès, gestion des actifs
Procédures de recrutement, gestion des droits d'accès selon le principe du moindre privilege, inventaire des actifs (materiels, logiciels, donnees) et de leur criticite.
2.10 Authentification multifactorielle et communications securisees
MFA pour les accès aux systèmes critiques et aux comptes a privilege. Communications securisees, plans de communication d'urgence pour gerer une crise même en cas de compromission des systèmes.
3. Notification d'incidents (article 23)
NIS2 impose un schema de notification en trois temps a destination du CSIRT national ou de l'autorite competente.
| Echeance | Action | Contenu attendu |
|---|---|---|
| 24 heures | Alerte precoce | Déclaration initiale, suspicion d'origine malveillante, impact transfrontalier potentiel |
| 72 heures | Notification d'incident | Évaluation de la gravite et de l'impact, indicateurs de compromission, mesures prises |
| 1 mois | Rapport final | Description détaillée, type de menace, causes profondes, mesures correctives |
Le seuil declenchant l'obligation de notification est l'incident significatif, défini comme un incident causant ou susceptible de causer une perturbation opérationnelle grave des services ou une perte financière importante.
L'autorite peut imposer a l'entité d'informer ses utilisateurs lorsque l'incident peut leur porter prejudice. Une mauvaise gestion de la communication d'incident peut avoir un impact reputationnel majeur.
4. Enregistrement et coopération
Les entités concernees doivent s'enregistrer aupres de l'autorite competente (en France, l'ANSSI) en fournissant leurs coordonnees, leurs secteurs d'activité, la liste des États membres ou elles fournissent des services, et leurs adresses IP publiques. Elles doivent maintenir ces informations à jour et cooperer avec l'autorite en cas de contrôle.
Comment se mettre en conformité ?
La mise en oeuvre concrete de ces obligations passe par une démarche structuree : analyse d'écart, plan de remediation, déploiement, audit. Notre page mise en conformité NIS2 détaillé la méthodologie. Pour rappel, les sanctions NIS2 peuvent atteindre 10 millions d'euros ou 2 pourcent du CA mondial.