1. Qu'est-ce que la directive NIS2 ?
La directive (UE) 2022/2555, dite NIS2 (Network and Information Security 2), est entrée en vigueur le 16 janvier 2023. Elle remplace la directive NIS1 de 2016 et fixe un cadre commun de cybersécurité pour l'ensemble des États membres de l'Union européenne. Le délai de transposition en droit national était fixé au 17 octobre 2024.
La principale rupture avec NIS1 : alors que la première directive s'appuyait sur une désignation individuelle par les autorités nationales, NIS2 s'applique automatiquement à toutes les entités qui remplissent les critères de taille et d'appartenance sectorielle — sans qu'une notification administrative soit nécessaire. En France, la transposition s'appuie sur la loi cybersécurité et le cadre défini par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).
Deux catégories d'entités
NIS2 distingue deux niveaux avec des obligations et une surveillance différenciées :
- Entités essentielles (EE) — secteurs à très haute criticité ; soumises à une supervision proactive et aux sanctions les plus lourdes.
- Entités importantes (EI) — secteurs critiques supplémentaires ; supervision réactive (après incident ou signalement).
2. Qui est concerné — entités essentielles et importantes
Taille minimale : ≥ 250 salariés OU ≥ 50 M€ de chiffre d'affaires + ≥ 43 M€ de bilan annuel.
Les petites entreprises (moins de 50 salariés et moins de 10 M€) sont en principe exclues — sauf pour les DNS, TLD, services de confiance qualifiés et certaines infrastructures critiques.
| Secteur | Catégorie | Exemples |
|---|---|---|
| Énergie | EE | RTE, EDF, opérateurs de réseau gaz, électricité, hydrogène |
| Transport | EE | SNCF, aéroports, ports maritimes, gestionnaires de trafic routier |
| Banque / Finance | EE | Établissements de crédit, bourses, contreparties centrales |
| Santé | EE | CHU, hôpitaux de plus de 250 salariés, fabricants de dispositifs médicaux et de médicaments |
| Eau potable | EE | Gestionnaires de réseaux d'eau (≥ 50 000 personnes desservies) |
| Infrastructure numérique | EE | Opérateurs télécom, points d'échange Internet (IXP), DNS, CDN, cloud |
| Services numériques | EI | Places de marché en ligne, moteurs de recherche, réseaux sociaux |
| Services postaux | EI | La Poste, opérateurs colis (DHL, UPS, DPD) |
| Gestion des déchets | EI | Opérateurs de traitement et valorisation des déchets |
| Fabrication | EI | Fabricants de produits critiques : médical, chimie, alimentaire, machines |
3. NIS2 en France — transposition nationale (ANSSI)
En France, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est l'autorité compétente chargée de la mise en œuvre de la directive NIS2. Elle est à la fois l'autorité de supervision, le CSIRT national et la principale source de guides pratiques pour les entités concernées.
La transposition française de NIS2 s'appuie sur une loi cybersécurité nationale et des décrets d'application qui précisent les exigences sectorielles spécifiques au-delà du socle commun européen. Les entités concernées doivent s'enregistrer dans le registre de l'ANSSI selon un calendrier défini par décret, et désigner un point de contact joignable 24h/24 pour la gestion des incidents.
Calendrier de mise en conformité
La directive NIS2 est entrée en vigueur le 16 janvier 2023. La date limite de transposition nationale était le 17 octobre 2024. Les obligations techniques et organisationnelles s'appliquent dès la transposition. L'enregistrement auprès de l'ANSSI suit le calendrier défini dans les décrets d'application. Les entités qui n'ont pas encore entamé leur démarche de conformité sont exposées à des sanctions immédiates.
4. Les 10 obligations de sécurité (Art. 21)
L'article 21 de la directive NIS2 — transposé dans le droit français — impose dix catégories de mesures techniques et organisationnelles que les entités concernées doivent mettre en œuvre selon un principe de proportionnalité au risque.
- Politique de sécurité des systèmes d'information Analyse documentée des risques pour tous les systèmes de réseau et d'information ; politiques de sécurité écrites avec objectifs, responsabilités et cycles de révision.
- Gestion des incidents Procédures de détection, classification, réponse et notification des incidents de sécurité significatifs ; capacités équivalentes à un SOC (Security Operations Center).
- Continuité d'activité et reprise après sinistre Plans de continuité d'activité (PCA), sauvegardes (règle 3-2-1), plans de reprise après sinistre (PRS) et procédures de gestion de crise — tous à tester régulièrement.
- Sécurité de la chaîne d'approvisionnement Évaluation des risques liés aux fournisseurs et prestataires ; exigences contractuelles de sécurité ; droit d'audit ; obligation de signalement des fournisseurs en cas d'incident.
- Sécurité des réseaux et des systèmes d'information Segmentation du réseau, gestion des vulnérabilités (patch management), contrôle des accès, gestion de la configuration et surveillance de la sécurité.
- Évaluation de l'efficacité des mesures de sécurité Audits réguliers, tests d'intrusion et évaluations de l'efficacité des mesures mises en œuvre ; documentation des résultats et des actions correctives.
- Hygiène informatique et formations Politiques de base (gestion des mots de passe, mises à jour logicielles, détection du phishing) ; formations régulières pour tous les collaborateurs ; formation obligatoire de la direction.
- Cryptographie et chiffrement Politiques d'utilisation de la cryptographie et du chiffrement des données en transit et au repos ; procédures de gestion des clés cryptographiques.
- Sécurité des ressources humaines et contrôle d'accès Principe du moindre privilège, gestion des identités et des accès (IAM), gestion des comptes privilégiés, procédures de départ des collaborateurs.
- Authentification multifacteur (MFA) MFA obligatoire ou authentification continue pour tous les systèmes critiques, accès distants et comptes privilégiés ; canaux de communication sécurisés en situation de crise.
5. Notification des incidents — délais et procédure
L'un des aspects les plus exigeants de NIS2 est l'obligation de notification échelonnée en cas d'incident significatif. Les délais sont très courts : sans procédures préparées à l'avance, il est quasi impossible de les respecter lors d'un vrai incident.
| Étape | Délai | Contenu |
|---|---|---|
| Alerte précoce | 24 heures après la prise de connaissance | Incident survenu, nature de l'incident (suspicion d'attaque possible), évaluation initiale ; aucun rapport complet requis à ce stade |
| Notification d'incident | 72 heures après la prise de connaissance | Évaluation détaillée : systèmes affectés, ampleur, indicateurs de compromission (IoC), mesures prises |
| Rapport intermédiaire | Sur demande du CSIRT | Mise à jour de l'état de traitement, avancées dans la maîtrise de l'incident |
| Rapport final | 1 mois après la notification détaillée | Description complète, analyse des causes racines, mesures correctives mises en place, enseignements tirés |
Qu'est-ce qu'un « incident significatif » ?
Un incident est considéré comme significatif (et donc soumis à notification) lorsqu'il a causé ou est susceptible de causer des perturbations opérationnelles graves, ou lorsqu'il affecte d'autres entités ou personnes avec des dommages matériels ou immatériels substantiels. Le seuil est bas : la plupart des attaques par rançongiciel, des attaques DDoS et des violations de données entrent dans ce périmètre.
6. Responsabilité des dirigeants
NIS2 introduit, dans son article 20, une responsabilité personnelle explicite des organes de direction. Les dirigeants des entités concernées doivent approuver les mesures de gestion des risques liées à la cybersécurité, suivre des formations régulières, et s'assurer que ces obligations sont respectées dans leur organisation.
Plus grave encore pour les entités essentielles : l'article 32 paragraphe 7 de la directive prévoit la possibilité d'une interdiction temporaire d'exercer des fonctions de direction pour les personnes physiques responsables en cas de violations répétées ou graves. Cette disposition est sans précédent dans le droit européen de la cybersécurité.
7. Amendes et sanctions
NIS2 impose un plancher commun pour les amendes administratives dans tous les États membres. En France, la transposition nationale respecte ces minima et octroie à l'ANSSI un pouvoir de sanction gradué.
| Catégorie | Amende maximale |
|---|---|
| Entités essentielles | 10 000 000 EUR ou 2 % du chiffre d'affaires mondial annuel — le montant le plus élevé étant retenu |
| Entités importantes | 7 000 000 EUR ou 1,4 % du chiffre d'affaires mondial annuel — le montant le plus élevé étant retenu |
En plus des amendes, les autorités peuvent prononcer :
- Publication de la violation (naming and shaming) — communication publique sur l'entité et la nature de la violation
- Suspension temporaire d'activité ou retrait temporaire de certifications
- Audit obligatoire aux frais de l'entité, réalisé par un auditeur externe accrédité
- Interdiction temporaire d'exercer des fonctions de direction pour les responsables des entités essentielles en cas de manquements répétés
8. Par où commencer : nis2.saaslab.pl
La mise en conformité NIS2 peut sembler intimidante, mais une approche structurée en cinq étapes permet de progresser rapidement et de réduire l'exposition au risque de sanction.
Identifier votre catégorie — essentielle ou importante ?
Vérifiez votre secteur d'activité et votre taille. Utilisez l'outil de questionnaire sur nis2.saaslab.pl — résultat en 10 minutes, sans inscription.
S'enregistrer auprès de l'ANSSI
Déposer l'enregistrement dans le registre NIS2 de l'ANSSI, désigner un point de contact joignable 24h/24 pour les notifications d'incident. L'enregistrement est une obligation en soi — son absence est sanctionnable.
Réaliser un inventaire des systèmes d'information
Cartographier tous les systèmes de réseau et d'information, logiciels, matériels et données traitées. Sans inventaire à jour, ni l'analyse de risques ni la notification d'incident ne peuvent être réalisées correctement.
Mettre en œuvre les 10 mesures techniques et organisationnelles
Sur la base de l'analyse de risques : MFA pour les systèmes critiques, segmentation réseau, chiffrement, sauvegardes 3-2-1, gestion des correctifs, formation du personnel. Documenter chaque mesure avec date et responsable.
Tester la procédure de notification d'incident
Définir et tester le processus avant qu'un incident réel ne survienne : qui classifie, qui notifie, où sont conservées les preuves. Réaliser un exercice de simulation — 24 heures est insuffisant pour improviser.
Vérifiez le statut NIS2 de votre entreprise — gratuitement
L'outil nis2.saaslab.pl vous guide à travers les questions clés et détermine si votre entreprise est une entité essentielle ou importante au sens de NIS2.
Vérifier mon statut NIS2 →Sans carte de crédit. Accès de base gratuit.