NIS2

01 — DéfinitionQu'est-ce que NIS2 ?

NIS2 est la directive européenne 2022/2555, adoptée le 14 décembre 2022, qui remplace et renforce significativement la première directive NIS de 2016. Son objectif est d'harmoniser et d'élever le niveau de cybersécurité à travers toute l'Union européenne, en imposant un socle commun d'obligations à un large éventail d'entités considérées comme essentielles ou importantes pour le fonctionnement de l'économie et de la société.

Le constat qui a motivé cette refonte est simple : NIS1 couvrait environ 500 opérateurs en France (OIV et OSE), principalement de très grands groupes. Or les cyberattaques ne ciblent plus seulement les grands acteurs : les PME, les ETI, les collectivités, les établissements de santé, les sous-traitants industriels sont devenus des cibles de choix, précisément parce qu'ils étaient moins bien protégés. NIS2 étend donc massivement le périmètre et harmonise les exigences.

Si vous êtes une entreprise de plus de 50 salariés dans l'un des 18 secteurs couverts, vous êtes probablement concerné par NIS2. Le temps où la cybersécurité était une affaire de grands comptes est révolu : c'est désormais un cadre réglementaire pour toute l'économie.

02 — ÉvolutionCe qui change par rapport à NIS1

Périmètre élargi

• NIS1 : 7 secteurs, environ 500 entités en France (OIV, OSE).
• NIS2 : 18 secteurs, environ 15 000 entités en France.

Classification refondue

NIS2 distingue deux catégories : les entités essentielles (critères de taille élevés + secteurs hautement critiques) et les entités importantes (taille et secteurs moins critiques). Chaque catégorie a ses propres exigences de contrôle a priori ou a posteriori, et ses plafonds de sanctions.

Exigences renforcées

Les mesures techniques et organisationnelles attendues sont détaillées plus précisément (analyse de risque, politique de sécurité, gestion des incidents, continuité, sécurité de la chaîne d'approvisionnement, chiffrement, MFA…).

Responsabilité des dirigeants

NIS1 reposait sur l'organisation. NIS2 implique directement les dirigeants, qui peuvent être sanctionnés personnellement, tenus de suivre des formations et voir leur mandat suspendu en cas de manquement grave.

Sanctions harmonisées et dissuasives

Les plafonds financiers sont désormais fixés au niveau européen et harmonisés sur le modèle RGPD : pourcentage du chiffre d'affaires mondial, ce qui peut représenter des montants considérables pour les grands groupes.

Chaîne d'approvisionnement

NIS2 impose aux entités concernées d'évaluer la sécurité de leurs fournisseurs et prestataires critiques. Cela crée un effet de ruissellement : les entreprises non directement concernées mais fournisseurs d'entités NIS2 devront quand même se mettre à niveau.

03 — PérimètreQui est concerné

Les 18 secteurs couverts

Les secteurs sont répartis entre annexe I (hautement critiques) et annexe II (critiques).

• Annexe I (hautement critiques) : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administration publique, espace.
• Annexe II (critiques) : services postaux et de livraison, gestion des déchets, fabrication/distribution de produits chimiques, production/distribution alimentaire, fabrication (dispositifs médicaux, informatique, électronique, équipements, machines, véhicules, transport, etc.), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.

Les seuils

Le principe général :

• Entité essentielle : au moins 250 salariés, ou chiffre d'affaires annuel supérieur à 50 M€ et bilan supérieur à 43 M€, ET activité dans un secteur de l'annexe I.
• Entité importante : 50 à 250 salariés, ou chiffre d'affaires entre 10 et 50 M€, dans un secteur annexe I ou II — ou grande entité dans un secteur annexe II.
• Exceptions : certaines catégories (fournisseurs DNS, registres TLD, administrations publiques, opérateurs critiques) sont concernées quelle que soit leur taille.

Effet chaîne d'approvisionnement

Une PME non directement dans le périmètre peut se voir imposer par son client NIS2 des exigences contractuelles fortes (audits, certifications, mesures techniques) qui reviennent à appliquer NIS2 de fait.

04 — MesuresLes obligations concrètes

L'article 21 de la directive liste dix catégories de mesures techniques, opérationnelles et organisationnelles attendues. Elles doivent être proportionnées au risque et au profil de l'entité.

• Analyse de risque et politique de sécurité — cartographier les risques, documenter une politique, la faire approuver au plus haut niveau.
• Gestion des incidents — détection, traitement, retour d'expérience (cf. section suivante sur la notification).
• Continuité d'activité et gestion de crise — sauvegardes testées, PRA/PCA, gestion de crise répétée.
• Sécurité de la chaîne d'approvisionnement — évaluer les risques liés aux fournisseurs critiques, intégrer des clauses cyber dans les contrats.
• Sécurité des réseaux et systèmes — architecture, segmentation, EDR, durcissement, tests de pénétration.
• Évaluation de l'efficacité des mesures — audit régulier, tests, KPI.
• Hygiène cyber et formation — sensibilisation régulière des équipes, incluant direction et fonctions supports.
• Chiffrement — politique et usage documenté (transit, repos, clés).
• Gestion des accès — IAM, MFA, moindre privilège, revues d'habilitations.
• Sécurité physique et environnementale — accès locaux, gestion des supports.

05 — NotificationDéclarer un incident

L'obligation de notification des incidents significatifs est l'un des éléments les plus concrets de NIS2. Elle se décline en trois temps.

Alerte précoce — 24 heures

Dans les 24 heures suivant la connaissance d'un incident significatif, l'entité doit émettre une alerte précoce à son CSIRT national (en France, le CERT-FR rattaché à l'ANSSI). Elle précise si l'incident est présumé d'origine malveillante et s'il a un impact transfrontalier.

Notification détaillée — 72 heures

Dans les 72 heures, une notification complète doit apporter une évaluation initiale (gravité, impact, indicateurs de compromission si disponibles).

Rapport final — un mois

Un rapport final doit être transmis dans le mois suivant la notification détaillée, avec une description précise de l'incident, de sa cause racine, des mesures correctives et des mesures de prévention envisagées.

Entre les trois, des rapports intermédiaires peuvent être exigés si l'incident évolue significativement. Un incident est considéré comme « significatif » dès lors qu'il a causé ou pourrait causer une perturbation opérationnelle grave ou des pertes financières importantes.

06 — SanctionsLes conséquences en cas de manquement

Sanctions financières

• Entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel (le plus élevé des deux).
• Entités importantes : jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial annuel (le plus élevé des deux).

Sanctions sur les dirigeants

C'est la vraie rupture avec NIS1. En plus des sanctions financières applicables à l'entité, NIS2 prévoit :

• L'obligation pour les dirigeants de suivre des formations cyber spécifiques.
• La possibilité, pour l'autorité de contrôle (ANSSI en France), de suspendre temporairement le mandat d'un dirigeant en cas de manquements graves et répétés.
• L'engagement possible de leur responsabilité personnelle en cas de carence dans leur supervision.

Autres mesures

L'autorité peut aussi imposer des audits indépendants à la charge de l'entité, publier les manquements constatés, et exiger des mises en conformité dans des délais contraints.

07 — CalendrierLa transposition française

Le calendrier européen fixait au 17 octobre 2024 la date limite de transposition dans le droit national. La France a adopté sa loi de transposition entre fin 2024 et courant 2025, avec une mise en œuvre progressive :

• 2024-2025 : adoption de la loi de transposition, décrets d'application, identification progressive des entités concernées.
• 2025-2026 : application effective des premières obligations. Les entités doivent déclarer leur statut, mettre en œuvre les mesures, former leurs dirigeants.
• 2026-2027 : durcissement des contrôles et premiers audits. Mise en application des sanctions pour manquements avérés.

L'ANSSI joue le rôle d'autorité nationale de supervision. Elle met à disposition des outils d'auto-évaluation (MonServiceSécurisé, questionnaires sectoriels) et accompagne les entités les plus petites qui découvrent le cadre.

08 — FAQQuestions fréquentes

Si mon entreprise fournit une entité NIS2, suis-je concerné ?

Pas directement, sauf si vous êtes vous-même dans le périmètre. Mais l'entité cliente est tenue d'évaluer le risque lié à ses fournisseurs critiques et appliquera vraisemblablement des exigences contractuelles (clauses cyber, certifications, audits). De facto, beaucoup de PME seront concernées indirectement.

Comment savoir si je suis entité essentielle ou importante ?

L'ANSSI met à disposition un outil d'auto-évaluation en ligne (MonEspaceNIS2) qui croise secteur d'activité, effectifs et chiffre d'affaires. Pour les cas limites, se rapprocher d'un conseil spécialisé : les erreurs de classification sont difficiles à corriger ensuite.

NIS2 remplace-t-elle le RGPD ?

Non, les deux cohabitent. Le RGPD concerne la protection des données personnelles, NIS2 concerne la sécurité des réseaux et systèmes d'information au sens large. Une entreprise peut être concernée par les deux avec des obligations qui se chevauchent (ex. notification d'incident) sans se confondre.

Les collectivités locales sont-elles concernées ?

Oui, les administrations publiques font partie des secteurs couverts en annexe I. La transposition française a précisé le périmètre : l'État, les collectivités territoriales significatives, certains établissements publics. Les petites communes peuvent être exclues mais restent exposées aux exigences via leurs mutualisations.

Que faire concrètement en premier ?

Dans l'ordre : auto-évaluer son périmètre, désigner un responsable de la conformité NIS2 (souvent le RSSI ou un binôme RSSI/DSI), réaliser une analyse d'écart entre la directive et l'existant, prioriser les mesures à fort impact (MFA, EDR, sauvegardes testées, gestion des accès, sensibilisation), formaliser une politique et un plan d'action avec jalons, remonter au plus haut niveau.