Les obligations concretes imposees par la directive NIS2
La directive NIS2 impose un socle minimal de mesures techniques et organisationnelles, une gouvernance impliquant les dirigeants, et un schema de notification d'incidents en trois temps. Voici le detail de chaque obligation, article par article.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
1. Gouvernance et formation des dirigeants (article 20)
L'article 20 est l'une des innovations majeures de NIS2. Il impose aux organes de direction des entites essentielles et importantes deux obligations explicites : approuver les mesures de gestion des risques cyber et superviser leur mise en oeuvre. Les dirigeants doivent en outre suivre des formations regulieres pour acquerir les connaissances necessaires a l'identification des risques et a l'evaluation des pratiques de gestion de ces risques.
Cette responsabilisation est renforcee par la possibilite, pour l'autorite competente, d'engager la responsabilite personnelle du dirigeant en cas de manquement, voire de l'ecarter temporairement de ses fonctions.
2. Les 10 mesures de gestion des risques (article 21)
L'article 21 enumere les mesures minimales que toute entite concernee doit mettre en oeuvre. Elles couvrent l'ensemble du spectre cyber, du technique a l'organisationnel.
2.1 Politique d'analyse des risques et de securite des SI
L'entite doit formaliser une politique de securite approuvee par la direction, basee sur une analyse des risques regulierement mise a jour. Elle identifie les actifs critiques, les menaces, les vulnerabilites et les mesures de protection.
2.2 Gestion des incidents
Procedures de detection, de triage, de traitement et de retour d'experience. L'entite doit etre capable d'identifier rapidement un incident, d'en limiter l'impact et d'en tirer les enseignements pour eviter la recidive.
2.3 Continuite des activites et gestion des crises
Plans de continuite d'activite (PCA), plans de reprise d'activite (PRA), strategie de sauvegarde, plans de gestion de crise. L'objectif est de garantir la resilience meme apres un incident grave.
2.4 Securite de la chaine d'approvisionnement
Evaluation de la posture de securite des fournisseurs critiques, integration de clauses cyber dans les contrats, prise en compte des vulnerabilites des composants logiciels et materiels.
2.5 Securite du developpement et de la maintenance
Application des principes de security by design et security by default. Gestion des vulnerabilites, processus de patching, revues de code et tests de securite.
2.6 Politiques d'evaluation de l'efficacite des mesures
Mise en place d'indicateurs (KPI) et d'audits internes ou externes pour mesurer l'efficacite des mesures de gestion des risques cyber. NIS2 ne se contente pas d'imposer des controles, elle exige qu'ils soient evalues regulierement.
2.7 Cyberhygiene et formation
Pratiques de base : mises a jour, gestion des mots de passe, authentification forte, sauvegardes. Formation reguliere de tous les employes a la cybersecurite, sensibilisation au phishing.
2.8 Cryptographie
Politiques d'usage du chiffrement pour les donnees au repos et en transit, gestion des cles, protocoles a jour. NIS2 n'impose pas un algorithme specifique mais exige une politique formalisee.
2.9 Securite RH, controle d'acces, gestion des actifs
Procedures de recrutement, gestion des droits d'acces selon le principe du moindre privilege, inventaire des actifs (materiels, logiciels, donnees) et de leur criticite.
2.10 Authentification multifactorielle et communications securisees
MFA pour les acces aux systemes critiques et aux comptes a privilege. Communications securisees, plans de communication d'urgence pour gerer une crise meme en cas de compromission des systemes.
3. Notification d'incidents (article 23)
NIS2 impose un schema de notification en trois temps a destination du CSIRT national ou de l'autorite competente.
| Echeance | Action | Contenu attendu |
|---|---|---|
| 24 heures | Alerte precoce | Declaration initiale, suspicion d'origine malveillante, impact transfrontalier potentiel |
| 72 heures | Notification d'incident | Evaluation de la gravite et de l'impact, indicateurs de compromission, mesures prises |
| 1 mois | Rapport final | Description detaillee, type de menace, causes profondes, mesures correctives |
Le seuil declenchant l'obligation de notification est l'incident significatif, defini comme un incident causant ou susceptible de causer une perturbation operationnelle grave des services ou une perte financiere importante.
L'autorite peut imposer a l'entite d'informer ses utilisateurs lorsque l'incident peut leur porter prejudice. Une mauvaise gestion de la communication d'incident peut avoir un impact reputationnel majeur.
4. Enregistrement et cooperation
Les entites concernees doivent s'enregistrer aupres de l'autorite competente (en France, l'ANSSI) en fournissant leurs coordonnees, leurs secteurs d'activite, la liste des Etats membres ou elles fournissent des services, et leurs adresses IP publiques. Elles doivent maintenir ces informations a jour et cooperer avec l'autorite en cas de controle.
Comment se mettre en conformite ?
La mise en oeuvre concrete de ces obligations passe par une demarche structuree : analyse d'ecart, plan de remediation, deploiement, audit. Notre page mise en conformite NIS2 detaille la methodologie. Pour rappel, les sanctions NIS2 peuvent atteindre 10 millions d'euros ou 2 pourcent du CA mondial.