Directive NIS2 : le guide de reference pour comprendre vos obligations
La directive NIS2 (UE 2022/2555) est la pierre angulaire de la nouvelle politique europeenne de cybersecurite. Adoptee en decembre 2022, elle redessine le paysage reglementaire pour plus de 100 000 entites en Europe et impose des standards eleves de gestion des risques cyber, de gouvernance et de notification d'incidents. Ce guide complet vous explique tout, du perimetre aux sanctions.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
NIS2 est entree en vigueur le 16 janvier 2023. Les Etats membres avaient jusqu'au 17 octobre 2024 pour la transposer. La France poursuit la transposition via la loi Résilience, avec un examen en hémicycle prévu en juillet 2026. Toute entite concernee doit deja avoir engage sa demarche de mise en conformite.
Qu'est-ce que la directive NIS2 ?
La directive (UE) 2022/2555, plus connue sous le nom de directive NIS2 (Network and Information Security 2), est un texte legislatif europeen qui vise a etablir un niveau eleve commun de cybersecurite dans l'Union europeenne. Elle remplace et abroge la directive NIS1 de 2016, jugee insuffisante face a l'evolution des cybermenaces et a l'heterogeneite de sa transposition entre Etats membres.
NIS2 s'inscrit dans une strategie europeenne plus large qui inclut le reglement DORA pour le secteur financier, le Cyber Resilience Act pour les produits connectes et le futur Cyber Solidarity Act. L'objectif affiche par la Commission europeenne est de faire de l'Union une zone resiliente face aux attaques d'origine criminelle ou etatique, dans un contexte ou les incidents touchant des hopitaux, des collectivites ou des operateurs energetiques se sont multiplies.
Le contexte geopolitique
Entre 2020 et 2022, l'Europe a subi une vague d'incidents majeurs : ransomware contre des hopitaux francais, attaques sur des infrastructures energetiques, espionnage etatique cible. La guerre en Ukraine a accentue la pression sur les operateurs critiques. Face a cette realite, la Commission a propose en decembre 2020 une refonte ambitieuse de NIS1, finalisee deux ans plus tard.
Le texte de reference
La directive officielle est consultable sur EUR-Lex sous la reference Directive (UE) 2022/2555 du Parlement europeen et du Conseil du 14 decembre 2022. Elle compte 46 articles, plusieurs annexes detaillant les secteurs concernes, et fixe des obligations harmonisees a l'echelle europeenne tout en laissant aux Etats membres une marge d'adaptation pour la mise en oeuvre.
Les apports majeurs par rapport a NIS1
- Elargissement du perimetre : 18 secteurs contre 7 sous NIS1, et plus de 100 000 entites concernees en Europe contre quelques milliers auparavant.
- Classification binaire : entites essentielles et entites importantes, avec des regimes de supervision differents.
- Responsabilite des dirigeants : les organes de direction sont juridiquement responsables de l'approbation et du suivi des mesures de gestion des risques cyber.
- Sanctions harmonisees : amendes pouvant atteindre 10 millions d'euros ou 2 pourcent du CA mondial.
- Notification accelerees des incidents : alerte precoce sous 24 heures, notification detaillee sous 72 heures.
Pour une comparaison detaillee, consultez notre page dediee NIS2 vs NIS1.
Qui est concerne par la directive NIS2 ?
La directive NIS2 cible deux categories d'entites : les entites essentielles (Annexe I) et les entites importantes (Annexe II). Cette distinction conditionne le niveau de supervision applique par l'autorite competente, ainsi que le bareme des sanctions encourues.
Entites essentielles vs entites importantes
Les entites essentielles relevent des secteurs hautement critiques definis a l'Annexe I de la directive : energie, transport, banque, infrastructures de marche financier, sante, eau potable, eaux usees, infrastructures numeriques, gestion des services TIC, administration publique, espace. Elles sont soumises a une supervision ex ante, c'est-a-dire que l'autorite peut realiser des controles avant tout incident.
Les entites importantes relevent des secteurs critiques de l'Annexe II : services postaux, gestion des dechets, fabrication, production et distribution de produits chimiques, production agroalimentaire, fournisseurs numeriques, organismes de recherche. Elles sont soumises a une supervision ex post, declenchee a la suite d'un incident ou d'un signalement.
Les criteres de taille
NIS2 applique le principe du seuil de taille. Sont automatiquement concernees les entites moyennes et grandes au sens de la recommandation 2003/361/CE, c'est-a-dire celles qui emploient au moins 50 salaries ou realisent un chiffre d'affaires annuel ou un total de bilan superieur a 10 millions d'euros.
Les micro-entreprises et petites entreprises sont en principe exclues, sauf cas particuliers : fournisseurs de services DNS, registres de noms de domaine, fournisseurs de services de confiance qualifies, operateurs critiques designes par l'Etat. Les administrations publiques sont egalement concernees independamment de leur taille.
Pour savoir si vous etes concerne, posez-vous trois questions : 1) Mon activite figure-t-elle dans l'un des 18 secteurs des annexes ? 2) Mon entreprise depasse-t-elle 50 salaries ou 10 millions d'euros de CA ? 3) Suis-je sous-traitant critique d'une entite NIS2 ? Si vous repondez oui a la question 1 et a la question 2 ou 3, vous etes vraisemblablement concerne. Notre page dediee detaille tous les cas particuliers.
Quelles sont les obligations imposees par NIS2 ?
Les obligations NIS2 se structurent autour de quatre grands axes : la gouvernance cyber, les mesures de gestion des risques, la notification des incidents et la securite de la chaine d'approvisionnement. Ces obligations s'appliquent quel que soit le statut, mais le niveau d'exigence et de controle varie selon que l'entite est essentielle ou importante.
Gouvernance et responsabilite des dirigeants (article 20)
L'article 20 de la directive est l'une des innovations majeures de NIS2. Il impose aux organes de direction des entites concernees d'approuver les mesures de gestion des risques cyber et de superviser leur mise en oeuvre. Les dirigeants doivent suivre une formation reguliere et offrir une formation similaire a leurs employes.
En cas de manquement, ces dirigeants peuvent etre tenus personnellement responsables. C'est une rupture par rapport a NIS1, qui se contentait d'imposer des obligations a l'entite sans nommer de responsable identifie. Cette responsabilisation rapproche la directive du modele du RGPD.
Les 10 mesures de l'article 21
L'article 21 enumere les mesures techniques, operationnelles et organisationnelles minimales que toute entite concernee doit mettre en place :
- Politique d'analyse des risques et de securite des systemes d'information.
- Gestion des incidents (detection, traitement, retour d'experience).
- Continuite des activites et gestion des crises (sauvegardes, plans de reprise).
- Securite de la chaine d'approvisionnement, y compris fournisseurs et prestataires.
- Securite de l'acquisition, du developpement et de la maintenance des systemes.
- Politiques d'evaluation de l'efficacite des mesures de gestion des risques cyber.
- Pratiques de base en cyberhygiene et formation a la cybersecurite.
- Politiques et procedures relatives a l'usage de la cryptographie.
- Securite des ressources humaines, controle d'acces et gestion des actifs.
- Authentification multifactorielle, communications securisees et plans de communication d'urgence.
Le detail de chaque mesure est documente sur notre page obligations NIS2.
Notification des incidents (article 23)
NIS2 impose un schema de notification en trois temps a destination du CSIRT national ou de l'autorite competente :
| Echeance | Action | Contenu |
|---|---|---|
| Dans les 24h | Alerte precoce | Declaration initiale qualifiant l'incident, suspicion d'origine malveillante, impact transfrontalier potentiel. |
| Dans les 72h | Notification d'incident | Evaluation de la gravite, indicateurs de compromission, mesures prises ou envisagees. |
| Dans 1 mois | Rapport final | Description detaillee de l'incident, type de menace, mesures correctives et lecons tirees. |
Le seuil de notification est l'incident significatif, c'est-a-dire un incident causant ou susceptible de causer une perturbation operationnelle grave ou une perte financiere importante.
Securite de la chaine d'approvisionnement
NIS2 introduit une responsabilite explicite sur la securite supply chain. Toute entite doit evaluer la posture cyber de ses fournisseurs critiques, integrer des clauses de cybersecurite dans ses contrats, et prendre en compte les vulnerabilites des composants logiciels et materiels qu'elle utilise. C'est un point essentiel a la lumiere des attaques de type SolarWinds ou Log4Shell qui ont demontre la fragilite des chaines d'approvisionnement numeriques.
Quel est le calendrier de la directive NIS2 ?
La directive NIS2 a ete adoptee par le Parlement europeen et le Conseil le 14 decembre 2022, publiee au Journal officiel de l'Union europeenne le 27 decembre 2022, et est entree en vigueur le 16 janvier 2023. A partir de cette date, les Etats membres disposaient de 21 mois pour la transposer dans leur droit national.
La date butoir du 17 octobre 2024
Le 17 octobre 2024 etait l'echeance fixee aux 27 Etats membres pour publier leurs textes de transposition. A cette date, plusieurs Etats avaient pris du retard, dont la France, ou la loi Résilience a été adoptée en 1ère lecture au Sénat et l'examen en hémicycle est prévu pour juillet 2026. La Commission européenne a engagé 19 procédures d'infraction en novembre 2024 contre les États n'ayant pas transposé dans les délais, dont la France.
Etat de la transposition en France
La France a presente un projet de loi specifique baptise loi de resilience, qui transpose simultanement NIS2, la directive REC (resilience des entites critiques) et le reglement DORA. Le texte definit les autorites nationales competentes, les seuils d'application, les obligations precises et les sanctions. L'ANSSI est designee comme autorite nationale unique pour l'application de NIS2.
Pour le calendrier complet et l'etat d'avancement reglementaire, consultez notre page calendrier NIS2.
Quelles sanctions en cas de non-conformite ?
Le regime de sanctions NIS2 est inspire de celui du RGPD : il combine amendes administratives lourdes, pouvoirs d'injonction et responsabilite des dirigeants.
Le bareme des amendes
| Type d'entite | Plafond fixe | Plafond proportionnel |
|---|---|---|
| Entite essentielle | 10 millions d'euros | 2 pourcent du CA mondial |
| Entite importante | 7 millions d'euros | 1,4 pourcent du CA mondial |
L'autorite competente retient le montant le plus eleve. Au-dela de l'amende, elle peut imposer des injonctions de mise en conformite, suspendre temporairement une certification, ou interdire a un dirigeant l'exercice de fonctions de direction dans l'entite concernee.
La directive NIS2 introduit explicitement la responsabilite personnelle des organes de direction. En cas de manquement grave aux obligations de gouvernance, un dirigeant peut etre individuellement sanctionne, voire ecarte temporairement de ses fonctions. Cette disposition est inedite dans le paysage reglementaire cyber europeen.
Le detail du bareme et des cas concrets est documente sur notre page sanctions NIS2.
Le role de l'ANSSI dans NIS2
L'Agence nationale de la securite des systemes d'information (ANSSI) est l'autorite nationale unique designee par la France pour l'application de NIS2. Elle herite des missions deja exercees au titre de NIS1 et les voit considerablement etendues.
Les missions de l'ANSSI sous NIS2
- Identification et enregistrement des entites essentielles et importantes, avec creation d'un registre national.
- Supervision des entites essentielles via des controles ex ante (audits, inspections programmees).
- Reception des notifications d'incidents et coordination avec les CSIRT sectoriels.
- Pouvoir d'injonction et de sanction administrative.
- Cooperation europeenne via le groupe de cooperation NIS et le reseau CSIRTs.
- Publication de guides et d'outils pour aider les entites a se conformer.
L'ANSSI a lancé la plateforme MonEspaceNIS2 (monespace.cyber.gouv.fr) pour le pré-enregistrement des entités, et publié le ReCyF le 17 mars 2026. Elle propose également plusieurs ressources, notamment un guide d'auto-diagnostic et un kit d'accompagnement. Le detail des pouvoirs et de la procedure de controle est expose sur notre page ANSSI et NIS2.
Comment se mettre en conformite avec NIS2 ?
La mise en conformite NIS2 est un projet structurant qui mobilise direction, equipes IT, RH, juridique et achats. Voici les cinq etapes cles que toute entite doit suivre.
Les 5 etapes cles
- Evaluation d'eligibilite : confirmer que l'entite est concernee, determiner son statut (essentielle ou importante) et identifier les obligations applicables.
- Analyse d'ecart (gap analysis) : mesurer l'ecart entre la posture cyber actuelle et les exigences NIS2, en cartographiant les processus et systemes critiques.
- Plan de remediation : prioriser les actions, allouer les budgets, definir un calendrier de mise en oeuvre realiste.
- Mise en oeuvre des mesures techniques (chiffrement, authentification multifactorielle, sauvegardes) et organisationnelles (politique de gestion des incidents, formation, gouvernance).
- Audit et amelioration continue : verifier l'efficacite des mesures, organiser des exercices de crise, documenter les incidents et tirer les lecons pour iterer.
Cette demarche est detaillee sur notre page mise en conformite NIS2, qui propose egalement un modele de feuille de route et des conseils operationnels.
Questions frequentes
NIS2 remplace-t-elle le RGPD ?
Non. NIS2 et le RGPD sont deux textes complementaires. Le RGPD protege les donnees personnelles, NIS2 protege les systemes d'information et la continuite des services essentiels. Une entite peut etre soumise aux deux simultanement.
Les sous-traitants sont-ils concernes ?
Indirectement, oui. NIS2 impose aux entites concernees d'evaluer la securite de leur chaine d'approvisionnement. Tout sous-traitant critique sera donc soumis a des exigences contractuelles renforcees, meme s'il n'est pas formellement designe comme entite NIS2.
Existe-t-il une certification NIS2 ?
Pas a ce jour. NIS2 reconnait toutefois les schemas de certification europeens existants (notamment ceux issus du Cyber Security Act) comme moyens de demontrer la conformite. La norme ISO 27001 est largement utilisee comme reference d'implementation.
Que se passe-t-il si je suis identifie tardivement ?
L'autorite peut accorder un delai de mise en conformite, mais en cas d'incident survenant pendant cette periode, votre responsabilite peut etre engagee. Il est donc preferable d'anticiper et de ne pas attendre la notification officielle.
NIS2 s'applique-t-elle aux collectivites territoriales ?
Oui, l'administration publique figure parmi les secteurs hautement critiques de l'Annexe I. Les collectivites territoriales d'une certaine taille sont concernees, avec des modalites precisees par chaque Etat membre.