Guide NIS2 : tout ce que votre entreprise doit savoir

Qu’est-ce que la directive NIS2 ?

Adoptee le 14 decembre 2022 par le Parlement européen et le Conseil de l’Union européenne, la directive NIS2 (Network and Information Security 2) remplace la première directive NIS de 2016. Son objectif : relever significativement le niveau de cybersécurité a l’echelle européenne face a des menaces qui ont explose de 38 % entre 2021 et 2023 selon l’ENISA.

Pourquoi un tel changement ? La première directive NIS avait pose les bases, mais son application restait heterogene. Chaque Etat membre l’interpretait differemment, creant des disparites de protection entre pays voisins. Les opérateurs de services essentiels (OSE) constituaient un périmètre trop restreint : environ 500 entités en France.

Les differences majeures entre NIS1 et NIS2

NIS2 marque une rupture sur trois plans. Le périmètre d’abord : la directive passe de 7 a 18 secteurs d’activité. Les obligations ensuite : elles deviennent plus precises, avec des délais de notification fixes et des mesures techniques imposees. Les sanctions enfin : calquees sur le modèle du RGPD, elles atteignent des montants dissuasifs.

Le champ d’application s’elargit considerablement. On estime a 15 000 le nombre d’entités concernées en France, contre 500 auparavant. Les collectivités territoriales, les fournisseurs de services numériques, les sous-traitants de la supply chain : tous entrent dans le radar. Cette multiplication par trente du périmètre explique l’urgence ressentie par les DSI et RSSI depuis la publication du texte au Journal officiel de l’UE (L 333, 27 decembre 2022).

Qui est concerné par NIS2 en France ?

NIS2 distingue deux catégories d’entités, chacune soumise a un niveau d’obligations et de sanctions différent. Cette classification repose sur la taille de l’organisation, son secteur d’activité et son rôle dans l’economie nationale.

Entités essentielles vs entités importantes

Les entités essentielles et importantes se distinguent par leurs seuils. Une entité essentielle compte généralement plus de 250 salariés ou réalisé un chiffre d’affaires supérieur a 50 millions d’euros, et opere dans un secteur hautement critique. Une entité importante dépassé les 50 salariés ou 10 millions d’euros de CA, dans un secteur critique ou hautement critique.

Attention : certaines organisations sont classees essentielles independamment de leur taille. Les fournisseurs de DNS, les registres de noms de domaine et les prestataires de services de confiance qualifies entrent automatiquement dans cette catégorie.

Les 18 secteurs concernés

NIS2 identifié 11 secteurs hautement critiques : énergie, transports, secteur bancaire, infrastructures des marches financiers, santé, eau potable, eaux usees, infrastructures numériques, gestion des services TIC, administration publique et espace. S’y ajoutent 7 secteurs critiques : services postaux, gestion des dechets, fabrication, chimie, alimentation, fabrication de dispositifs medicaux et recherche.

Un point souvent sous-estime : la sécurité de la supply chain constitue une obligation explicite. Concretement, si vous êtes sous-traitant d’une entité essentielle, celle-ci pourra vous imposer contractuellement des exigences de cybersécurité alignees sur NIS2. Les obligations pour les PME ne sont donc pas limitees aux seules entités directement visees.

Les obligations NIS2 pour les entreprises

La directive structure ses exigences autour de quatre piliers. Chacun suppose des investissements spécifiques en termes de temps, de budget et de compétences humaines.

Gouvernance (article 20)

Les organes de direction doivent approuver les mesures de gestion des risques cyber et superviser leur mise en oeuvre. La gouvernance cybersécurité devient un sujet de comite de direction, pas seulement un dossier technique relegue a la DSI. Les dirigeants doivent suivre une formation en cybersécurité. Ce n’est pas une recommandation : c’est une obligation legale dont le non-respect peut engager leur responsabilité personnelle.

Mesures techniques et organisationnelles (article 21)

L’article 21 enumere dix catégories de mesures minimales :

• Politiques d’analyse des risques et de sécurité des systèmes d’information
• Gestion des incidents (détection, réponse, retour d’expérience)
• Continuite d’activité, gestion de crise, sauvegardes
• Sécurité de la chaine d’approvisionnement
• Sécurité dans l’acquisition, le développement et la maintenance des SI
• Évaluation de l’efficacité des mesures de gestion des risques
• Pratiques de base en cyber-hygiene et formation
• Utilisation de la cryptographie et du chiffrement
• Sécurité des ressources humaines, contrôle d’accès et gestion des actifs
• Authentification multi-facteurs (MFA) et communications sécurisées

Notification d’incidents (articles 23-24)

L’obligation de notification suit un calendrier strict en trois étapes. Première étape : une alerte initiale doit parvenir au CSIRT national (l’ANSSI en France) dans les 24 heures suivant la prise de connaissance de l’incident. Deuxieme étape : un rapport intermédiaire détaillé sous 72 heures. Troisieme étape : un rapport final complet dans un délai d’un mois, incluant la description de l’incident, son impact, les causes probables et les mesures correctives appliquees.

Manquer un de ces délais expose l’entité a des sanctions supplementaires. Le seuil de declenchement est précis : tout incident ayant un impact significatif sur la fourniture des services.

Enregistrement auprès de l’ANSSI

Chaque entité concernée devra s’enregistrer auprès de l’ANSSI dans un registre national. Cette formalite administrative conditionnera l’accès aux services d’assistance en cas d’incident et permettra a l’autorité nationale de cartographier le tissu d’entités soumises a NIS2.

Sanctions NIS2 : les risques concrets

Les sanctions prevues par NIS2 s’inspirent directement du mécanisme du RGPD. Le legislateur européen a voulu des montants suffisamment dissuasifs pour que la cybersécurité cesse d’etre un poste budgétaire optionnel.

Entités essentielles

Amende maximale de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total, le montant le plus élevé etant retenu. Pour une entreprise realisant 500 millions d’euros de CA, cela represente potentiellement 10 millions d’euros de sanction. Ce plafond place NIS2 au même niveau de sévérité que le RGPD.

Entités importantes

Amende maximale de 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial. Le regime est legerement plus souple, mais reste consequent : une PME a 20 millions d’euros de CA s’expose a 280 000 euros de sanction.

Responsabilite des dirigeants

NIS2 introduit une responsabilité personnelle des organes de direction. Concretement, les dirigeants qui negligent leurs obligations de supervision peuvent etre temporairement interdits d’exercer des fonctions de direction. Cette disposition, inedite dans le droit européen de la cybersécurité, vise a ancrer la sécurité informatique au plus haut niveau decisionnel.

Les autorités nationales disposeront par ailleurs de pouvoirs d’enquête elargis : audits, inspections sur site, accès aux documents, scans de sécurité. Faire l’autruche n’est pas une stratégie viable.

Calendrier NIS2 : dates clés 2024-2027

La transposition de NIS2 dans le droit français suit un calendrier des échéances que chaque entreprise doit connaitre pour planifier sa mise en conformité.

2022-2024 : adoption et préparation

Le texte européen a ete adopte le 14 decembre 2022 et publie au JO UE le 27 decembre 2022. Les Etats membres disposaient d’un délai de 21 mois pour le transposer, soit jusqu’au 17 octobre 2024. La plupart des pays, dont la France, n’ont pas respecte cette échéance initiale.

2025-2026 : transposition française

En France, la loi Résilience constitue le vehicule legislatif de transposition. Presentee au Parlement en 2025, elle integre les dispositions NIS2 et les adapté au cadre juridique national. L’ANSSI publie progressivement les decrets d’application et les guides pratiques. L’annee 2026 verra l’ouverture du registre d’enregistrement des entités et les premières campagnes de sensibilisation ciblees par secteur.

2026-2027 : entree en vigueur et premiers contrôles

Les premiers contrôles de conformité sont attendus a partir du second semestre 2026. L’ANSSI disposera de prerogatives renforcees pour mener des audits, emettre des injonctions et prononcer des sanctions. Les entreprises qui n’auront pas entame leur demarche de mise en conformité d’ici la s’exposent a des sanctions des les premiers mois d’application effective.

Comment se préparer : 6 étapes concrètes

La mise en conformité NIS2 n’est pas un projet ponctuel : c’est un processus continu. Voici les six étapes structurantes pour lancer votre demarche.

1. Determiner si vous êtes concerné

Première question a trancher : votre organisation tombe-t-elle dans le périmètre NIS2 ? Verifiez si vous êtes concerné en croisant votre secteur d’activité, votre taille (effectif et CA) et votre rôle dans la chaine d’approvisionnement d’entités essentielles. Un sous-traitant IT d’un hôpital ou d’un opérateur energetique peut etre indirectement soumis aux exigences NIS2.

2. Realiser un audit cybersécurité

Un audit cyber constitue le point de depart indispensable. Evaluez votre posture actuelle : politiques de sécurité en place, outils déployés, gouvernance existante, capacités de détection et de réponse aux incidents. Cet etat des lieux revele les ecarts entre votre situation et les exigences de l’article 21.

3. Construire votre gap analysis

L’audit permet d’identifier les manques. Priorisez-les selon deux critères : le risque metier (impact d’un incident) et la difficulte de mise en oeuvre. Les mesures a forte réduction de risque et faible coût (MFA, sauvegardes, formation) passent en premier.

4. Definir la gouvernance cyber

Designez un responsable cybersécurité rattache a la direction. La gouvernance cybersécurité implique de créer ou renforcer un comite de pilotage cyber, de definir les rôles et responsabilites, et de planifier les formations obligatoires pour les organes de direction.

5. Choisir et déployer les solutions techniques

Les dix catégories de mesures de l’article 21 necessitent généralement une combinaison d’outils : EDR/XDR pour la détection, PAM pour la gestion des accès privilégiés, SIEM pour la supervision, scanner de vulnérabilités pour l’évaluation continue. Le choix depend de votre maturite, de votre budget et de votre secteur. Vous pouvez comparer les solutions du marche parmi nos 15 éditeurs analysés.

6. Documenter et tester

NIS2 exige une documentation complète : politiques, procédures de notification, PCA/PRA, registre des incidents. Testez régulièrement vos dispositifs par des exercices de crise et des audits de suivi. La conformité n’est jamais acquise : elle se maintient dans la duree.

Les solutions cybersécurité pour NIS2

Repondre aux exigences de NIS2 requiert des outils adaptes. Le marche des solutions cybersécurité s’est structure autour de cette nouvelle donne réglementaire. Nous avons analyse 15 éditeurs sur 5 critères objectifs (conformité NIS2, facilite de déploiement, coût, support, avis utilisateurs) pour vous aider a choisir.

Top 5 des éditeurs pour la conformité NIS2

CrowdStrike Falcon (9.4/10) se distingue par sa plateforme XDR cloud-native et sa détection avancée. Fortinet FortiGate (9.3/10) couvre un large spectre avec son approche UTM et SD-WAN integre. Wallix PAM (9.2/10), certifié ANSSI, reste la référence française en gestion des accès privilégiés. Sekoia.io XDR (9.1/10) propose une plateforme SecOps souveraine avec threat intelligence intégrée. Stormshield SNS (9.0/10), filiale d’Airbus certifiée ANSSI, répond aux besoins des entités soumises a des contraintes de souveraineté.

Chaque profil d’entreprise correspond a un type de solution différent. Un hôpital n’a pas les mêmes besoins qu’un fournisseur cloud ou une collectivite territoriale. Pour identifier la solution la plus adaptée a votre contexte, consultez notre classement complet des éditeurs ou utilisez notre quiz de matching.