NIS2: la directive pour la cyber-résilience de l’UE.

Directive (UE) 2022/2555

Direct answer

NIS2, la directive (UE) 2022/2555, est la directive européenne sur la sécurité des réseaux et de l’information, qui remplace la directive NIS de 2016 avec une date limite de transposition au 17 octobre 2024. Elle couvre les entités essentielles (secteurs de l’Annexe I, grandes) et les entités importantes (Annexe I de taille moyenne, secteurs de l’Annexe II), exige dix catégories de mesures de sécurité, impose une alerte précoce à 24 heures et une notification d’incident à 72 heures, et rend les organes de direction personnellement responsables.

Ce qu’est NIS2

NIS2, la directive (UE) 2022/2555, est le cadre juridique de l’UE pour la sécurité des réseaux et de l’information dans les secteurs critiques et importants. Publiée le 27 décembre 2022 et entrée en vigueur le 16 janvier 2023, elle a remplacé la directive NIS de 2016 (directive (UE) 2016/1148) avec un périmètre nettement élargi, des obligations de sécurité renforcées, une déclaration d’incidents harmonisée et une responsabilité personnelle de la direction.

NIS2 est une directive, non un règlement. Cette distinction compte : un règlement s’applique directement dans toute l’UE sans mesures nationales de mise en œuvre, tandis qu’une directive doit être transposée dans le droit national de chaque État membre. La date limite de transposition était le 17 octobre 2024. En pratique, tous les États membres n’ont pas respecté ce délai, ce qui signifie que les obligations exactes, l’organe de supervision et l’approche d’application diffèrent selon l’UE. Lorsque votre équipe juridique évalue l’exposition à NIS2, elle doit évaluer la loi nationale de transposition des États membres où vous opérez, et non seulement le texte de la directive.

Ce que signifie NIS2 : sécurité des réseaux et de l’information. NIS2 est l’abréviation de la directive de cybersécurité de deuxième génération, qui succède à NIS1.

Ce qui a changé entre la directive NIS et NIS2

NIS2 n’est pas une mise à jour mineure. La version 2022 a refondu la directive de 2016 sur le périmètre, les obligations, la responsabilité et l’application.

Directive NIS (2016) vs NIS2 (2022)
DimensionNIS1 (2016)NIS2 (2022)
Secteurs couverts7 secteurs (opérateurs de services essentiels)18 secteurs répartis entre l’Annexe I et l’Annexe II
Classification des entitésOpérateurs de services essentiels + fournisseurs de services numériquesEntités essentielles (Annexe I, grandes) et entités importantes (Annexe I moyennes, Annexe II toutes)
Seuil de tailleDiscrétion des États membresMoyenne (50+ employés ou 10M+ de chiffre d’affaires) et au-delà, avec exceptions indépendantes de la taille
Mesures de sécuritéLarges, définies par les États membres10 catégories précises, article 21, contraignantes
Déclaration d’incidentsIncohérente entre États membresHarmonisée : alerte précoce à 24 heures, notification à 72 heures, rapport final à 1 mois
Responsabilité de la directionNon traitéeOrganes de direction personnellement responsables ; formation obligatoire (article 20)
SanctionsDiscrétion des États membresPlafond maximal : 10M EUR ou 2 % (essentielles), 7M EUR ou 1,4 % (importantes)
Modèle de supervisionRéactif pour les fournisseurs numériquesProactif ex ante pour les essentielles ; réactif ex post pour les importantes
Chaîne d’approvisionnementNon traitée explicitementExigence explicite de sécurité de la chaîne d’approvisionnement (article 21(d))

À qui s’applique NIS2

Le périmètre est la question pratique la plus difficile. La plupart des équipes conformité sous-estiment sa portée. NIS2 s’applique aux entités qui : (1) sont d’un type listé à l’Annexe I ou à l’Annexe II, (2) fournissent des services ou opèrent dans l’UE, et (3) atteignent ou dépassent le seuil de taille (moyenne : 50 employés ou plus, ou 10 millions d’EUR ou plus de chiffre d’affaires ou de bilan annuel). Certaines entités sont dans le périmètre quelle que soit leur taille.

NIS2 distingue deux types d’entités. Les entités essentielles font l’objet d’une supervision plus stricte : une surveillance proactive, ex ante, par l’autorité nationale compétente, qui peut auditer sans déclencheur d’incident. Les entités importantes font l’objet d’une supervision réactive : l’autorité agit après un incident, une plainte ou des éléments de non-conformité. Les deux doivent mettre en œuvre les mêmes dix mesures de sécurité de l’article 21. La distinction affecte l’intensité de la supervision et certains plafonds de sanction, non l’ensemble des obligations.

NIS2 étant une directive, « dans le périmètre » signifie dans le périmètre au titre de la loi nationale de transposition de l’État membre concerné. Les lois nationales peuvent étendre le périmètre au-delà du minimum de la directive, et plusieurs États membres l’ont fait.

Entités essentielles vs importantes au titre de NIS2
DimensionEntités essentiellesEntités importantes
SourceSecteurs de l’Annexe I ET grandes (250+ employés ou 50M+ de chiffre d’affaires ou 43M+ de bilan)Secteurs de l’Annexe I ET moyennes (50-249 employés ou 10-49M de chiffre d’affaires) ; OU secteurs de l’Annexe II ET moyennes+
Inclusions indépendantes de la taillePrestataires de services de confiance qualifiés, registres de noms TLD, fournisseurs de services DNS, fournisseurs de réseaux/services de communications électroniques publics (moyennes+), administration publiqueCertaines entités désignées par l’État membre
Modèle de supervisionProactif, ex ante : audits, inspections sur site, analyses de sécurité ciblées sans déclencheur d’incidentRéactif, ex post : investigation déclenchée par un incident, une plainte ou des éléments de non-conformité
Obligations (article 21)Les dix mesures de sécuritéLes dix mesures de sécurité (ensemble d’obligations identique)
Plafond de sanctionAu moins 10M EUR ou 2 % du chiffre d’affaires mondial annuel, le plus élevé étant retenuAu moins 7M EUR ou 1,4 % du chiffre d’affaires mondial annuel, le plus élevé étant retenu
Responsabilité personnelleOrgane de direction personnellement responsable (article 20)Organe de direction personnellement responsable (article 20)
ExemplesGrand opérateur d’énergie, grande banque, grand hôpital, grand fournisseur de cloud, prestataire de services de confiance qualifiéFabricant de dispositifs médicaux de taille moyenne, place de marché en ligne, producteur alimentaire, entreprise d’énergie de taille moyenne

Secteurs de l’Annexe I et de l’Annexe II

NIS2 couvre 18 secteurs répartis entre deux annexes. Les secteurs de l’Annexe I sont traités comme d’une criticité plus élevée : les grandes entités de ces secteurs sont des entités essentielles, les entités moyennes sont des entités importantes. Les secteurs de l’Annexe II produisent des entités importantes, que l’entité soit grande ou moyenne.

La catégorisation sectorielle compte pour l’auto-évaluation, mais le test définitif est toujours la loi nationale de transposition. Certains États membres ont ajouté des secteurs ou ajusté les définitions.

Couverture sectorielle de NIS2 : Annexe I (essentielles si grandes) et Annexe II (importantes)
AnnexeSecteurExemples
IÉnergieOpérateurs d’électricité, transport et stockage de pétrole, fourniture/distribution/transport/stockage de gaz, production/stockage/transport d’hydrogène, opérateurs de chauffage/refroidissement urbain
ITransportsTransporteurs aériens, gestionnaires d’aéroports, compagnies maritimes, gestionnaires de ports, autorités routières, gestionnaires d’infrastructure ferroviaire
ISecteur bancaireÉtablissements de crédit
IInfrastructures des marchés financiersOpérateurs de plates-formes de négociation, contreparties centrales (CCP)
ISantéPrestataires de soins, laboratoires de référence de l’UE, entités de R+D, fabricants de médicaments critiques, fabricants de dispositifs médicaux pour les urgences de santé publique
IEau potableFournisseurs et distributeurs d’eau destinée à la consommation humaine (hors distributeurs pour qui ce n’est pas une activité principale)
IEaux uséesCollecte, traitement et rejet des eaux usées et du ruissellement urbain
IInfrastructure numériquePoints d’échange internet (IXP), fournisseurs de services DNS, registres de noms TLD, fournisseurs de services de cloud, fournisseurs de services de centres de données, réseaux de diffusion de contenu (CDN), prestataires de services de confiance, fournisseurs de réseaux/services de communications électroniques publics
IGestion des services TIC (interentreprises)Fournisseurs de services gérés (MSP), fournisseurs de services de sécurité gérés (MSSP)
IAdministration publiqueEntités de l’administration centrale ; entités de niveau régional (selon la décision de chaque État membre)
IEspaceOpérateurs d’infrastructures au sol soutenant les services spatiaux
IIServices postaux et d’expéditionPrestataires du service universel et autres opérateurs postaux/de messagerie
IIGestion des déchetsOpérateurs de gestion des déchets
IIProduits chimiquesFabricants, producteurs et distributeurs de produits chimiques
IIDenrées alimentairesProduction, transformation et distribution alimentaires à grande échelle
IIFabricationDispositifs médicaux, ordinateurs et électronique, machines, véhicules automobiles, autres équipements de transport
IIFournisseurs numériquesPlaces de marché en ligne, moteurs de recherche en ligne, plates-formes de réseaux sociaux
IIRechercheOrganismes de recherche

Le seuil de taille, et pourquoi la chaîne d’approvisionnement compte

Le seuil de taille de référence pour le périmètre NIS2 est la définition européenne de l’entreprise de taille moyenne : 50 employés ou plus, ou 10 millions d’EUR ou plus de chiffre d’affaires ou de bilan annuel. Les entités sous ce seuil dans les secteurs de l’Annexe I ou II sont généralement hors périmètre, sauf exceptions ci-dessous.

Inclusions indépendantes de la taille : les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau (TLD) sont des entités essentielles quelle que soit leur taille. Les fournisseurs de services DNS et les fournisseurs de réseaux ou services de communications électroniques publics de taille au moins moyenne sont essentiels. Les entités de l’administration publique sont essentielles quelle que soit leur taille. Les États membres peuvent désigner des entités supplémentaires.

L’angle chaîne d’approvisionnement : l’article 21(d) de NIS2 exige des entités couvertes qu’elles gèrent la sécurité de la chaîne d’approvisionnement, y compris les pratiques de sécurité des fournisseurs et prestataires directs. Cela signifie qu’une entité suisse ou hors UE qui fournit un logiciel, une infrastructure cloud ou des services gérés à une entité couverte de l’UE fera face à des exigences de sécurité NIS2 contractuelles dans le cadre de cette relation client, même si le fournisseur n’est pas lui-même directement soumis à la directive. C’est le mécanisme par lequel NIS2 dépasse les frontières de l’UE.

Pour les entités suisses en particulier : la Suisse n’est pas un État membre de l’UE et NIS2 ne s’applique pas directement. Le droit suisse prévoit des exigences de sécurité de l’information au titre de la LSI (loi sur la sécurité de l’information) et de la législation connexe pour les organes fédéraux et les infrastructures critiques. Toutefois, les entreprises suisses qui exploitent des filiales dans l’UE, fournissent des services numériques à des utilisateurs de l’UE ou approvisionnent des entités couvertes de l’UE rencontreront des obligations NIS2 via leurs activités dans l’UE ou leurs contrats clients.

Calendrier de NIS2 et transposition nationale

NIS2 a été publiée au Journal officiel de l’UE le 27 décembre 2022 et est entrée en vigueur le 16 janvier 2023. Les États membres avaient jusqu’au 17 octobre 2024 pour la transposer en droit national et le notifier à la Commission. Tous les États membres n’ont pas respecté ce délai. À la mi-2025, plusieurs avaient transposé tardivement, et certaines transpositions étaient encore en attente.

NIS2 étant une directive plutôt qu’un règlement, les obligations applicables dans un État membre proviennent de la loi nationale de cet État, non directement du texte de la directive. Cela a des conséquences pratiques : les définitions utilisées, l’autorité compétente désignée, les fourchettes de sanction exactes (dans les plafonds de la directive) et les obligations d’enregistrement varient toutes selon l’État membre. Les entités opérant dans plusieurs pays de l’UE doivent évaluer leur conformité par rapport à chaque loi nationale pertinente.

Dates clés de NIS2
DateÉvénement
27 décembre 2022Publiée au Journal officiel de l’UE (JO L 333/80)
16 janvier 2023Entrée en vigueur (20 jours après la publication au JO)
17 octobre 2024Date limite de transposition : les États membres devaient adopter et publier les mesures nationales de mise en œuvre
17 octobre 2024NIS1 (directive (UE) 2016/1148) abrogée
17 avril 2025Entités tenues de s’enregistrer auprès des autorités nationales compétentes (18 mois après la date limite de transposition)
En coursTranspositions nationales : plusieurs États membres ont transposé tardivement ou avec une mise en œuvre variable ; consultez l’annuaire des autorités nationales de l’ENISA pour le statut le plus récent

Article 21 : les dix mesures de sécurité requises

L’article 21 est l’article central des obligations. Il exige des entités essentielles et importantes qu’elles prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité et prévenir ou minimiser l’impact des incidents. Les mesures doivent reposer sur une approche tous risques et être proportionnées au niveau de risque, à la taille de l’entité et à l’impact qu’aurait un incident potentiel.

Les dix catégories de mesures sont spécifiées à l’article 21(2). Les États membres ne peuvent pas imposer d’exigences de cybersécurité supplémentaires au-delà de celles-ci, sauf autorisation spécifique du droit national.

Mesures de gestion des risques de cybersécurité de l’article 21
Art. 21(2)Catégorie de mesureCe qu’elle exige en pratique
(a)Analyse des risques et politiques de sécurité des systèmes d’informationMéthodologie d’appréciation des risques documentée, politique de sécurité de l’information, inventaire des actifs, traitement continu des risques
(b)Traitement des incidentsPlan de réponse aux incidents, critères de classification, chaîne de remontée interne, flux de notification au CSIRT
(c)Continuité d’activité, sauvegarde, reprise après sinistre et gestion de criseAnalyse d’impact pour les services critiques, procédures de sauvegarde et de reprise testées, plan de communication de crise
(d)Sécurité de la chaîne d’approvisionnementÉvaluation de sécurité des fournisseurs et prestataires directs, exigences de sécurité contractuelles, surveillance continue
(e)Sécurité dans l’acquisition, le développement et la maintenance des systèmesCycle de développement sécurisé, programme de gestion des vulnérabilités, politique de divulgation responsable
(f)Politiques d’évaluation de l’efficacité des mesures de gestion des risquesTests périodiques (tests d’intrusion, audits, exercices sur table), indicateurs, reporting à la direction
(g)Pratiques de cyberhygiène et formation à la cybersécuritéProgramme d’hygiène de base (correctifs, politique de mots de passe, hygiène des actifs), formation de sensibilisation pour tout le personnel
(h)Cryptographie et, le cas échéant, chiffrementPolitique de chiffrement, gestion des clés, standards cryptographiques pour les données au repos et en transit
(i)Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifsProcessus arrivée/mobilité/départ, contrôles d’accès au moindre privilège, gestion des accès à privilèges, registre des actifs
(j)Authentification multifacteur ou continue, et communications sécuriséesMFA pour tous les accès à privilèges et à distance, communications voix/vidéo/texte sécurisées pour les échanges sensibles

Le calendrier de déclaration d’incident de NIS2

L’article 23 fixe les obligations de déclaration pour les incidents importants. Un incident important est un incident qui cause ou est susceptible de causer une perturbation opérationnelle grave, une perte financière ou un préjudice à autrui. L’horloge de déclaration court à partir du moment où l’entité a connaissance de l’incident, non du moment où il s’est produit.

Les entités déclarent à leur CSIRT national (ou à l’autorité compétente lorsqu’aucun CSIRT n’est désigné). Les entités également soumises à la déclaration d’incident de DORA utilisent le régime DORA pour les incidents liés aux TIC ; voir la section NIS2 et DORA ci-dessous.

Le défi pratique : l’horloge de 24 heures est très serrée. De nombreuses organisations constatent que détecter un incident, le classer comme important, escalader vers l’équipe habilitée à notifier, et déposer effectivement l’alerte précoce dans les 24 heures nécessite des flux préétablis, des messages pré-approuvés et un arbre de décision clair, tout cela avant tout incident. Construire ce flux après le début d’un incident, c’est trop tard.

Calendrier de déclaration des incidents importants de NIS2 (article 23)
ÉtapeDélaiContenu requis
Alerte précoceDans les 24 heures suivant la prise de connaissanceSi l’incident est soupcçonné d’être causé par une action illégale ou malveillante ; s’il peut avoir un impact transfrontalier
Notification d’incidentDans les 72 heures suivant la prise de connaissanceÉvaluation initiale : gravité, indicateurs de compromission (si disponibles), hypothèse initiale de cause
Rapport intermédiaireSur demande du CSIRT ou de l’autoritéMise à jour de statut : évaluation actuelle, mesures d’atténuation en cours
Rapport finalAu plus tard 1 mois après la notification d’incidentDescription complète, type d’incident, cause profonde, impact transfrontalier, mesures d’atténuation prises, risque de récurrence

Responsabilité du conseil et de la direction au titre de NIS2

L’article 20 est l’une des dispositions les plus lourdes de conséquences opérationnelles dans NIS2, et celle qui surprend le plus souvent les conseils qui la découvrent. Il exige des organes de direction qu’ils approuvent les mesures de gestion des risques de cybersécurité et supervisent leur mise en œuvre. Les membres de l’organe de direction sont personnellement responsables des infractions.

La disposition de responsabilité personnelle signifie que le dirigeant de l’organe de direction ou, lorsque le droit national le prévoit, chaque membre de l’organe de direction peut être tenu directement responsable des violations des obligations NIS2. Les conséquences précises (amendes, interdictions temporaires de fonctions de direction) dépendent des transpositions nationales, mais la directive elle-même crée explicitement cette responsabilité.

L’article 20 exige aussi des États membres qu’ils veillent à ce que les organes de direction des entités essentielles et importantes suivent une formation à la cybersécurité, et qu’ils offrent une formation similaire à leurs employés régulièrement. Ce n’est pas optionnel : c’est une obligation de conformité, non une bonne pratique.

Là où les entités peinent réellement : traduire l’article 20 en pratique de conseil. La supervision requise n’est pas une approbation unique d’une politique de sécurité. Elle implique un reporting régulier au niveau du conseil sur les mesures de sécurité, une conscience des risques significatifs, et des preuves documentées que le conseil a revu et approuvé les mesures. Lors d’une inspection de l’autorité compétente, le conseil ne peut pas simplement désigner une équipe de sécurité et dire « c’est elle qui s’en occupe ».

Le cadre de sanctions de NIS2

Les articles 36 et 37 fixent les plafonds de sanction maximaux. La directive spécifie des minimums de ce que les États membres doivent rendre disponible ; les transpositions nationales peuvent fixer des structures de sanction précises dans ces plafonds. Certains États membres ont introduit des amendes administratives ; d’autres recourent à la responsabilité pénale de la direction ou à des mécanismes d’application civile.

Les plafonds de sanction sont exprimés comme le plus élevé d’un maximum fixe ou d’un pourcentage du chiffre d’affaires annuel mondial, s’appliquant au chiffre d’affaires mondial de l’entité et de son groupe le cas échéant. Cela reflète la structure du RGPD et est conçu de façon similaire pour être proportionné à la taille des grandes organisations mondiales.

Des mesures non financières sont aussi disponibles : les autorités compétentes peuvent émettre des instructions contraignantes, exiger la mise en œuvre de mesures de sécurité spécifiques, divulguer publiquement la non-conformité, et interdire temporairement à des membres de l’organe de direction d’exercer des fonctions de direction.

Plafonds maximaux d’amende administrative de NIS2 (articles 36 et 37)
Type d’entitéAmende maximalePlafond alternatifMesures supplémentaires disponibles
Entités essentielles10 000 000 EUR2 % du chiffre d’affaires annuel mondial total (le plus élevé étant retenu)Instructions contraignantes, mesures de sécurité obligatoires, divulgation publique, interdiction temporaire de direction
Entités importantes7 000 000 EUR1,4 % du chiffre d’affaires annuel mondial total (le plus élevé étant retenu)Instructions contraignantes, mesures de sécurité obligatoires, divulgation publique

NIS2 et DORA : le recoupement pour les entités financières

Pour les entités soumises à DORA (règlement (UE) 2022/2554), la relation entre les deux cadres est régie par une règle lex specialis. DORA est le texte sectoriel de l’UE pour le risque TIC dans les services financiers. Au titre de l’article 4(2) de NIS2, lorsqu’un acte juridique sectoriel de l’Union exige des entités essentielles ou importantes qu’elles adoptent des mesures de gestion des risques de cybersécurité ou notifient les incidents aux autorités compétentes, et lorsque ces exigences sont au moins équivalentes à NIS2, les dispositions sectorielles s’appliquent.

En pratique : les entités financières soumises à DORA suivent DORA pour la gestion des risques TIC (chapitre II), la classification et la déclaration des incidents TIC majeurs (chapitre III), les tests de résilience opérationnelle numérique (chapitre IV), la gestion du risque TIC lié aux tiers (chapitre V) et le partage d’informations (chapitre VI). Elles ne mènent pas de programme de conformité NIS2 distinct pour ces domaines. Là où DORA n’offre pas de couverture équivalente (ce qui est limité), NIS2 s’applique comme socle.

Le canal de supervision diffère aussi. Les entités financières DORA déclarent les incidents TIC majeurs à leur superviseur financier national (banque centrale, autorité des marchés financiers, superviseur des assurances) plutôt qu’à l’autorité nationale compétente NIS2. Pour les entités relevant des deux, cela suppose de garder au clair quel canal de déclaration s’applique à quel type d’incident.

L’implication pratique : une banque ou une entreprise d’investissement déjà conforme à DORA est en grande partie conforme aux exigences NIS2 équivalentes. Les cadres de gestion des risques, les flux d’incidents, le programme de risque lié aux tiers et les tests de résilience couverts par DORA recoupent étroitement l’article 21 de NIS2. Mener les deux dans Acuna avec une bibliothèque de mesures partagée signifie que le recoupement est cartographié une fois, non maintenu deux fois.

NIS2 vs DORA : dimensions clés
DimensionNIS2 (directive (UE) 2022/2555)DORA (règlement (UE) 2022/2554)
Instrument juridiqueDirective — nécessite une transposition nationaleRèglement — directement applicable dans toute l’UE
Périmètre18 secteurs, Annexe I (essentielles et importantes) et Annexe II (importantes)Entités financières : établissements de crédit, établissements de paiement, entreprises d’investissement, assurances, prestataires de services sur crypto-actifs, prestataires TIC tiers
ObjetSécurité des réseaux et de l’information pour les secteurs critiques et importantsRésilience opérationnelle numérique spécifiquement pour les TIC du secteur financier
Mesures de sécuritéArticle 21 : 10 catégories de mesures, proportionnées au risqueChapitre II : cadre de gestion des risques TIC avec exigences prescriptives détaillées
Déclaration d’incidentsArticle 23 : alerte précoce à 24 heures, notification à 72 heures, rapport final à 1 mois au CSIRT nationalArticle 19 et règlement délégué (UE) 2025/301 : notification initiale à 4 heures après classification (au plus tard 24 heures après en avoir eu connaissance), intermédiaire à 72 heures, final à 1 mois au superviseur financier
Tests de résilienceArticle 21(f) : politiques d’évaluation de l’efficacité des mesures (y compris tests)Chapitre IV : tests de résilience opérationnelle numérique, TLPT obligatoires pour les entités significatives
Risque lié aux tiersArticle 21(d) : obligations de sécurité de la chaîne d’approvisionnementChapitre V : exigences détaillées de gestion du risque TIC lié aux tiers, registre d’informations
SupervisionAutorité nationale compétente : entités essentielles proactive ex ante ; entités importantes réactive ex postAutorités de supervision financière (EBA, EIOPA, ESMA pour la surveillance des prestataires TIC tiers critiques)
Précédence lorsque les deux s’appliquentNIS2 s’applique là où DORA n’offre pas de couverture équivalenteDORA est lex specialis : s’applique de préférence à NIS2 pour les entités financières couvertes sur les piliers couverts
Applicable à partir du17 octobre 2024 (date limite de transposition)17 janvier 2025

Comment NIS2 se cartographie vers ISO 27001 et DORA

NIS2 et ISO 27001 se recoupent étroitement au niveau des mesures. Une organisation menant ISO 27001 dispose déjà d’une grande partie du socle de l’article 21 : appréciation des risques, contrôle d’accès, gestion des incidents, continuité d’activité, sécurité des fournisseurs, cryptographie et formation se cartographient toutes vers les mesures de l’Annexe A d’ISO 27001. NIS2 n’exige pas la certification ISO 27001, mais les organisations dotées d’un SMSI mature verront leur effort de conformité nettement réduit.

Le tableau cartographie des mesures sélectionnées de l’article 21 de NIS2 vers leurs équivalents ISO 27001 et, lorsque DORA s’applique, vers les chapitres DORA. Mener les trois dans Acuna signifie que la bibliothèque de mesures est construite une fois et réutilisée entre référentiels, et que la cartographie inter-référentiels est maintenue automatiquement.

Cartographie inter-référentiels des mesures de l’article 21 de NIS2 (domaines sélectionnés)
Mesure de l’article 21 de NIS2Domaine de mesure ISO 27001:2022Chapitre DORA (le cas échéant)
Art. 21(a) — Analyse des risques et politiques de sécuritéChapitre 6.1 (appréciation et traitement des risques) ; 5.1 (politiques)Chapitre II, art. 6 (cadre de gestion des risques TIC)
Art. 21(b) — Traitement des incidents5.24 à 5.27 (mesures de gestion des incidents)Chapitre III, art. 17 à 23 (gestion des incidents liés aux TIC)
Art. 21(c) — Continuité d’activité, sauvegarde, reprise5.29, 5.30, 8.13, 8.14 (continuité et redondance)Chapitre II, art. 11 (continuité d’activité des TIC)
Art. 21(d) — Sécurité de la chaîne d’approvisionnement5.19 à 5.22 (mesures de sécurité fournisseurs)Chapitre V, art. 28 à 44 (risque TIC lié aux tiers)
Art. 21(e) — Acquisition, développement et maintenance sécurisés8.25 à 8.32 (mesures de développement sécurisé)Chapitre II, art. 9 (protection)
Art. 21(f) — Tests d’efficacité et audit9.2, 9.3 (audit interne, revue de direction)Chapitre IV, art. 24 à 27 (TLPT et tests)
Art. 21(g) — Cyberhygiène et formation6.3, 6.6 (sensibilisation et formation, accord de confidentialité)Chapitre II, art. 13 (apprentissage et évolution)
Art. 21(h) — Cryptographie et chiffrement8.24 (cryptographie)Chapitre II, art. 9 (mesures de protection)
Art. 21(i) — Sécurité RH, contrôle d’accès, gestion des actifs5.9 à 5.14 (gestion des actifs) ; 5.15 à 5.18 (contrôle d’accès) ; 6.1 à 6.5 (sécurité RH)Chapitre II, art. 9 (protection)
Art. 21(j) — MFA et communications sécurisées8.5 (authentification sécurisée) ; 8.20 (sécurité réseau)Chapitre II, art. 9 (protection)

Exécuter NIS2 dans Acuna

Acuna est conçue pour la façon dont NIS2 arrive réellement sur les équipes conformité : aux côtés d’ISO 27001, de DORA et du RGPD, partageant mesures, preuves et données de risque entre référentiels plutôt que de mener chacun comme un projet isolé.

Pour NIS2 en particulier : le volet Comply guide le cadrage essentielle vs importante, cartographie les dix mesures de l’article 21 sur votre périmètre organisationnel, et documente le cadre de gestion des risques de cybersécurité. Supplier Shield gère les obligations de chaîne d’approvisionnement de l’article 21(d) : évaluations des risques liés aux tiers, exigences de sécurité contractuelles et surveillance continue. Le flux d’incidents applique les horloges de notification de 24 et 72 heures avec des chemins de remontée préétablis et des modèles de notification en brouillon. Le volet Assure tient la piste de preuves pour le contrôle de l’autorité compétente, y compris l’approbation au niveau du conseil et les registres de formation exigés par l’article 20.

Pour les entités soumises à la fois à NIS2 et à DORA : le moteur de cartographie inter-référentiels d’Acuna identifie quelles mesures satisfont les deux ensembles d’exigences, de sorte qu’une seule mise en œuvre de mesure produit des preuves pour les deux référentiels. Les équipes menant déjà DORA dans Acuna étendent leur programme vers NIS2 sans reconstruire la bibliothèque de mesures.

Voyez comment Acuna soutient la conformité NIS2.

EXPLORER

NIS2

Périmètre et applicabilité de NIS2Bientôt disponible

À qui s’applique NIS2 : entités essentielles vs importantes, seuils de taille, secteurs des Annexes I et II, et la portée de la chaîne d’approvisionnement vers les entités hors UE.

NIS2 vs DORABientôt disponible

Comment NIS2 et DORA se recoupent pour les entités financières, la règle lex specialis, quel canal de déclaration s’applique, et comment mener les deux dans une bibliothèque de mesures partagée.

Déclaration d’incident au titre de NIS2Bientôt disponible

Construire le flux derrière l’alerte précoce à 24 heures et la notification à 72 heures : critères de classification, chemins de remontée et modèles de notification.

Liste de contrôle de préparation NIS2Bientôt disponible

Une liste de contrôle structurée en 40 points couvrant la détermination du périmètre, les mesures de l’article 21, la préparation à la déclaration d’incidents, la chaîne d’approvisionnement et la responsabilité du conseil.

NIS2 par État membreBientôt disponible

Comment la transposition s’est concrétisée dans les principales juridictions de l’UE : autorités nationales compétentes, obligations d’enregistrement et postures d’application.

NIS2: questions fréquentes.

Réponses associées

Questions que les praticiens se posent.

Qu’est-ce que NIS2 et à qui s’applique-t-il ?

NIS2 (Directive (UE) 2022/2555) est la directive européenne sur la cybersécurité pour les entités essentielles et importantes. Elle étend le périmètre de NIS1, introduit des exigences de sécurité renforcées en vertu de l’article 21, et impose le signalement des incidents dans les 24 heures (alerte précoce), 72 heures (notification) et un mois (rapport final). Les entités essentielles comprennent l’énergie, les transports, le secteur bancaire, la santé, l’eau et l’infrastructure numérique. Les entités importantes couvrent les services postaux, la gestion des déchets, la chimie, l’alimentation, l’industrie manufacturière et les fournisseurs numériques comptant 50 employés ou plus, ou un chiffre d’affaires de 10 millions d’euros ou plus. Acuna cartographie les articles NIS2 sur les contrôles, gère le risque de la chaîne d’approvisionnement et suit les délais de signalement des incidents.

À qui s’applique NIS2 ?

NIS2 (Directive (UE) 2022/2555) s’applique aux organisations publiques et privées qui exercent leur activité dans l’un des secteurs listés dans ses annexes et qui atteignent un seuil de taille, en général les organisations de taille moyenne et supérieure. Les organisations concernées sont classées en entités essentielles ou entités importantes — distinction qui détermine l’intensité de la supervision et le niveau des sanctions, et non l’existence des obligations. Comme NIS2 est une directive, le périmètre précis est fixé par la transposition nationale de chaque État membre. En France, la directive a été transposée par la loi de programmation militaire (LPM) et la loi organique relative à la LPM (LOPMI), avec l’ANSSI comme autorité nationale de cybersécurité. NIS2 distingue deux niveaux. Les entités essentielles sont les plus grandes organisations des secteurs à criticité maximale ; les entités importantes, le reste du périmètre. Les deux niveaux doivent respecter les mêmes obligations fondamentales de gestion des risques et de signalement. La différence porte sur la supervision : les entités essentielles font l’objet d’une supervision proactive ex ante, les entités importantes d’une supervision réactive ex post, généralement après un incident ou des signes de non-conformité. NIS2 organise les secteurs couverts en deux annexes. L’annexe I liste les secteurs à haute criticité : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructure numérique, gestion des services TIC, administration publique et espace. L’annexe II couvre d’autres secteurs critiques : services postaux et de courrier, gestion des déchets, produits chimiques, alimentation, fabrication de certains produits, fournisseurs numériques et recherche.

Quelle est la différence entre NIS2 et DORA ?

NIS2 et DORA sont deux cadres européens de cybersécurité et de résilience opérationnelle entrés en vigueur à peu près au même moment et qui se recoupent largement, mais ils ne sont pas interchangeables. NIS2 (Directive (UE) 2022/2555) est une directive transsectorielle de cybersécurité couvrant de nombreux secteurs ; DORA (Règlement (UE) 2022/2554) est un règlement spécifique au secteur financier pour la résilience opérationnelle numérique. Lorsque les deux pourraient s’appliquer à la même organisation, DORA prime généralement pour le risque TIC dans les services financiers en tant que loi plus spécifique — le principe de lex specialis. Une entité financière peut donc être dans le périmètre des deux, DORA régissant son risque TIC et NIS2 restant pertinent dans la mesure où DORA ne couvre pas. Les deux diffèrent par l’instrument, le périmètre et le niveau de précision. NIS2 est une directive transposée en droit national — en France via la LPM et la LOPMI, sous la supervision de l’ANSSI. DORA est un règlement d’application directe et uniforme dans l’UE, supervisé par l’AMF et l’ACPR pour les entités françaises. NIS2 couvre de nombreux secteurs ; DORA se limite aux entités financières et à leurs prestataires TIC. DORA est aussi plus prescriptif sur les détails TIC — registre d’informations, TLPT — que les mesures plus générales de gestion des risques de NIS2. Pour une entité financière concernée par les deux : déterminez d’abord vos obligations DORA pour le risque TIC, car elles sont les plus spécifiques et prescriptives. Puis vérifiez ce que NIS2 ajoute au-delà de la couverture DORA pour votre organisation.

Comment fonctionne la notification des incidents au titre de NIS2 ?

En vertu de l’article 23 de NIS2, les entités essentielles et importantes doivent signaler les incidents significatifs à leur CSIRT national ou à l’autorité compétente par étapes : une alerte précoce dans les 24 heures suivant la prise de connaissance de l’incident, une notification d’incident plus complète dans les 72 heures, et un rapport final dans le mois suivant cette notification. En France, l’ANSSI est l’autorité nationale de cybersécurité chargée de recevoir ces signalements. Un incident est significatif s’il a causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière importante, ou s’il a affecté d’autres personnes par des dommages matériels ou immatériels considérables. Ces délais sont fixés à l’article 23(4) de la directive et sont identiques dans chaque État membre. La structure par étapes permet aux autorités d’obtenir un signal rapide, puis une image complète au fil de la résolution. Le délai de signalement ne commence qu’une fois l’incident qualifié de significatif — d’où l’importance d’une classification rapide et exacte, autant que du signalement lui-même. Le signalement est une séquence, et non un dépôt unique : alerte précoce à 24 heures, notification à 72 heures avec une évaluation plus détaillée, rapport final dans le mois couvrant la cause racine et les mesures d’atténuation. Si l’incident est toujours ouvert au bout d’un mois, vous déposez un rapport d’avancement puis un rapport final une fois résolu.

Que doit contenir une checklist de mise en conformité NIS2 ?

Un programme de conformité NIS2 se résume à quelques éléments bien exécutés : confirmer si vous êtes dans le périmètre et à quel niveau, mettre en place les mesures de gestion des risques de l’article 21, organiser la détection et le signalement par étapes des incidents, traiter la sécurité de la chaîne d’approvisionnement, et obtenir l’approbation et la supervision de l’organe de direction. La checklist ci-dessous couvre les domaines essentiels ; elle ne remplace pas les exigences transposées en droit français via la LPM et la LOPMI, qui ajoutent les spécificités nationales. Déterminer le périmètre et le niveau : confirmer si vous êtes concerné, dans quel secteur des annexes I ou II, et si vous êtes une entité essentielle ou importante. S’enregistrer auprès de l’autorité : respecter les obligations d’enregistrement et d’information fixées par la transposition française, auprès de l’ANSSI. Mettre en œuvre les mesures de l’article 21 : déployer les dix catégories de mesures de gestion des risques — analyse des risques et politique de sécurité, gestion des incidents, continuité d’activité et gestion de crise, sécurité de la chaîne d’approvisionnement, sécurité dans l’acquisition et le développement, politiques d’évaluation de l’efficacité, cyberhygiène de base et formation, cryptographie, ressources humaines et contrôle d’accès, authentification multifacteur et communications sécurisées. Organiser le signalement des incidents : construire le processus de détection, classification et signalement par étapes exigé par l’article 23, et identifier votre CSIRT ou autorité compétente. Traiter la sécurité de la chaîne d’approvisionnement : évaluer et gérer la sécurité de vos fournisseurs et prestataires directs, comme l’exige l’article 21. Obtenir l’approbation de l’organe de direction : en vertu de l’article 20, l’organe de direction approuve les mesures de gestion des risques, les supervise et peut être tenu responsable.

Pourquoi NIS2 varie-t-il selon les pays ?

NIS2 est une directive, et non un règlement, ce qui signifie qu’elle ne s’applique pas directement. Chaque État membre de l’UE doit la transposer en droit national, et c’est ce droit national que vous respectez réellement. Le délai de transposition était fixé au 17 octobre 2024, mais les États membres ont transposé à des rythmes et avec des spécificités différents. En France, la transposition s’est opérée via la loi de programmation militaire (LPM) et la loi organique relative à la LPM (LOPMI), avec l’ANSSI comme autorité nationale de cybersécurité. Pour une organisation multi-pays, cette variation nationale est la caractéristique pratique déterminante de NIS2. C’est la différence de nature la plus marquante entre NIS2 et DORA. DORA, en tant que règlement, est uniforme dans toute l’UE et supervisé par l’AMF et l’ACPR pour les entités financières françaises. NIS2, en tant que directive, constitue un socle commun que chaque pays met en œuvre dans sa propre législation. Une directive fixe les objectifs que chaque État membre doit atteindre, mais laisse la forme et les modalités aux gouvernements nationaux. Deux organisations du même secteur dans des États membres différents peuvent faire face à des variations en matière d’enregistrement, de modalités de signalement et d’approche de supervision. Pour une organisation mono-pays en France : identifiez la loi de transposition nationale et l’ANSSI comme autorité compétente, et conformez-vous à ce droit. Pour une organisation multi-pays : cartographiez le socle commun NIS2 une fois, puis suivez les écarts nationaux par État membre.

CONFORMITÉ NIS2

Connaissez votre périmètre. Comblez les écarts.

Acuna cartographie les obligations de l’article 21 de NIS2 sur votre type d’entité, mène la gestion des risques de l’article 21 aux côtés d’ISO 27001 et de DORA dans une bibliothèque de mesures partagée, et tient la piste de preuves que les autorités compétentes inspectent réellement.

Voir Acuna pour NIS2Parler à un praticien
Conçu pour :RSSIResponsables conformitéMSSP