Directive (UE) 2022/2555
Direct answer
NIS2, la directive (UE) 2022/2555, est la directive européenne sur la sécurité des réseaux et de l’information, qui remplace la directive NIS de 2016 avec une date limite de transposition au 17 octobre 2024. Elle couvre les entités essentielles (secteurs de l’Annexe I, grandes) et les entités importantes (Annexe I de taille moyenne, secteurs de l’Annexe II), exige dix catégories de mesures de sécurité, impose une alerte précoce à 24 heures et une notification d’incident à 72 heures, et rend les organes de direction personnellement responsables.
NIS2, la directive (UE) 2022/2555, est le cadre juridique de l’UE pour la sécurité des réseaux et de l’information dans les secteurs critiques et importants. Publiée le 27 décembre 2022 et entrée en vigueur le 16 janvier 2023, elle a remplacé la directive NIS de 2016 (directive (UE) 2016/1148) avec un périmètre nettement élargi, des obligations de sécurité renforcées, une déclaration d’incidents harmonisée et une responsabilité personnelle de la direction.
NIS2 est une directive, non un règlement. Cette distinction compte : un règlement s’applique directement dans toute l’UE sans mesures nationales de mise en œuvre, tandis qu’une directive doit être transposée dans le droit national de chaque État membre. La date limite de transposition était le 17 octobre 2024. En pratique, tous les États membres n’ont pas respecté ce délai, ce qui signifie que les obligations exactes, l’organe de supervision et l’approche d’application diffèrent selon l’UE. Lorsque votre équipe juridique évalue l’exposition à NIS2, elle doit évaluer la loi nationale de transposition des États membres où vous opérez, et non seulement le texte de la directive.
Ce que signifie NIS2 : sécurité des réseaux et de l’information. NIS2 est l’abréviation de la directive de cybersécurité de deuxième génération, qui succède à NIS1.
NIS2 n’est pas une mise à jour mineure. La version 2022 a refondu la directive de 2016 sur le périmètre, les obligations, la responsabilité et l’application.
| Dimension | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Secteurs couverts | 7 secteurs (opérateurs de services essentiels) | 18 secteurs répartis entre l’Annexe I et l’Annexe II |
| Classification des entités | Opérateurs de services essentiels + fournisseurs de services numériques | Entités essentielles (Annexe I, grandes) et entités importantes (Annexe I moyennes, Annexe II toutes) |
| Seuil de taille | Discrétion des États membres | Moyenne (50+ employés ou 10M+ de chiffre d’affaires) et au-delà, avec exceptions indépendantes de la taille |
| Mesures de sécurité | Larges, définies par les États membres | 10 catégories précises, article 21, contraignantes |
| Déclaration d’incidents | Incohérente entre États membres | Harmonisée : alerte précoce à 24 heures, notification à 72 heures, rapport final à 1 mois |
| Responsabilité de la direction | Non traitée | Organes de direction personnellement responsables ; formation obligatoire (article 20) |
| Sanctions | Discrétion des États membres | Plafond maximal : 10M EUR ou 2 % (essentielles), 7M EUR ou 1,4 % (importantes) |
| Modèle de supervision | Réactif pour les fournisseurs numériques | Proactif ex ante pour les essentielles ; réactif ex post pour les importantes |
| Chaîne d’approvisionnement | Non traitée explicitement | Exigence explicite de sécurité de la chaîne d’approvisionnement (article 21(d)) |
Le périmètre est la question pratique la plus difficile. La plupart des équipes conformité sous-estiment sa portée. NIS2 s’applique aux entités qui : (1) sont d’un type listé à l’Annexe I ou à l’Annexe II, (2) fournissent des services ou opèrent dans l’UE, et (3) atteignent ou dépassent le seuil de taille (moyenne : 50 employés ou plus, ou 10 millions d’EUR ou plus de chiffre d’affaires ou de bilan annuel). Certaines entités sont dans le périmètre quelle que soit leur taille.
NIS2 distingue deux types d’entités. Les entités essentielles font l’objet d’une supervision plus stricte : une surveillance proactive, ex ante, par l’autorité nationale compétente, qui peut auditer sans déclencheur d’incident. Les entités importantes font l’objet d’une supervision réactive : l’autorité agit après un incident, une plainte ou des éléments de non-conformité. Les deux doivent mettre en œuvre les mêmes dix mesures de sécurité de l’article 21. La distinction affecte l’intensité de la supervision et certains plafonds de sanction, non l’ensemble des obligations.
NIS2 étant une directive, « dans le périmètre » signifie dans le périmètre au titre de la loi nationale de transposition de l’État membre concerné. Les lois nationales peuvent étendre le périmètre au-delà du minimum de la directive, et plusieurs États membres l’ont fait.
| Dimension | Entités essentielles | Entités importantes |
|---|---|---|
| Source | Secteurs de l’Annexe I ET grandes (250+ employés ou 50M+ de chiffre d’affaires ou 43M+ de bilan) | Secteurs de l’Annexe I ET moyennes (50-249 employés ou 10-49M de chiffre d’affaires) ; OU secteurs de l’Annexe II ET moyennes+ |
| Inclusions indépendantes de la taille | Prestataires de services de confiance qualifiés, registres de noms TLD, fournisseurs de services DNS, fournisseurs de réseaux/services de communications électroniques publics (moyennes+), administration publique | Certaines entités désignées par l’État membre |
| Modèle de supervision | Proactif, ex ante : audits, inspections sur site, analyses de sécurité ciblées sans déclencheur d’incident | Réactif, ex post : investigation déclenchée par un incident, une plainte ou des éléments de non-conformité |
| Obligations (article 21) | Les dix mesures de sécurité | Les dix mesures de sécurité (ensemble d’obligations identique) |
| Plafond de sanction | Au moins 10M EUR ou 2 % du chiffre d’affaires mondial annuel, le plus élevé étant retenu | Au moins 7M EUR ou 1,4 % du chiffre d’affaires mondial annuel, le plus élevé étant retenu |
| Responsabilité personnelle | Organe de direction personnellement responsable (article 20) | Organe de direction personnellement responsable (article 20) |
| Exemples | Grand opérateur d’énergie, grande banque, grand hôpital, grand fournisseur de cloud, prestataire de services de confiance qualifié | Fabricant de dispositifs médicaux de taille moyenne, place de marché en ligne, producteur alimentaire, entreprise d’énergie de taille moyenne |
NIS2 couvre 18 secteurs répartis entre deux annexes. Les secteurs de l’Annexe I sont traités comme d’une criticité plus élevée : les grandes entités de ces secteurs sont des entités essentielles, les entités moyennes sont des entités importantes. Les secteurs de l’Annexe II produisent des entités importantes, que l’entité soit grande ou moyenne.
La catégorisation sectorielle compte pour l’auto-évaluation, mais le test définitif est toujours la loi nationale de transposition. Certains États membres ont ajouté des secteurs ou ajusté les définitions.
| Annexe | Secteur | Exemples |
|---|---|---|
| I | Énergie | Opérateurs d’électricité, transport et stockage de pétrole, fourniture/distribution/transport/stockage de gaz, production/stockage/transport d’hydrogène, opérateurs de chauffage/refroidissement urbain |
| I | Transports | Transporteurs aériens, gestionnaires d’aéroports, compagnies maritimes, gestionnaires de ports, autorités routières, gestionnaires d’infrastructure ferroviaire |
| I | Secteur bancaire | Établissements de crédit |
| I | Infrastructures des marchés financiers | Opérateurs de plates-formes de négociation, contreparties centrales (CCP) |
| I | Santé | Prestataires de soins, laboratoires de référence de l’UE, entités de R+D, fabricants de médicaments critiques, fabricants de dispositifs médicaux pour les urgences de santé publique |
| I | Eau potable | Fournisseurs et distributeurs d’eau destinée à la consommation humaine (hors distributeurs pour qui ce n’est pas une activité principale) |
| I | Eaux usées | Collecte, traitement et rejet des eaux usées et du ruissellement urbain |
| I | Infrastructure numérique | Points d’échange internet (IXP), fournisseurs de services DNS, registres de noms TLD, fournisseurs de services de cloud, fournisseurs de services de centres de données, réseaux de diffusion de contenu (CDN), prestataires de services de confiance, fournisseurs de réseaux/services de communications électroniques publics |
| I | Gestion des services TIC (interentreprises) | Fournisseurs de services gérés (MSP), fournisseurs de services de sécurité gérés (MSSP) |
| I | Administration publique | Entités de l’administration centrale ; entités de niveau régional (selon la décision de chaque État membre) |
| I | Espace | Opérateurs d’infrastructures au sol soutenant les services spatiaux |
| II | Services postaux et d’expédition | Prestataires du service universel et autres opérateurs postaux/de messagerie |
| II | Gestion des déchets | Opérateurs de gestion des déchets |
| II | Produits chimiques | Fabricants, producteurs et distributeurs de produits chimiques |
| II | Denrées alimentaires | Production, transformation et distribution alimentaires à grande échelle |
| II | Fabrication | Dispositifs médicaux, ordinateurs et électronique, machines, véhicules automobiles, autres équipements de transport |
| II | Fournisseurs numériques | Places de marché en ligne, moteurs de recherche en ligne, plates-formes de réseaux sociaux |
| II | Recherche | Organismes de recherche |
Le seuil de taille de référence pour le périmètre NIS2 est la définition européenne de l’entreprise de taille moyenne : 50 employés ou plus, ou 10 millions d’EUR ou plus de chiffre d’affaires ou de bilan annuel. Les entités sous ce seuil dans les secteurs de l’Annexe I ou II sont généralement hors périmètre, sauf exceptions ci-dessous.
Inclusions indépendantes de la taille : les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau (TLD) sont des entités essentielles quelle que soit leur taille. Les fournisseurs de services DNS et les fournisseurs de réseaux ou services de communications électroniques publics de taille au moins moyenne sont essentiels. Les entités de l’administration publique sont essentielles quelle que soit leur taille. Les États membres peuvent désigner des entités supplémentaires.
L’angle chaîne d’approvisionnement : l’article 21(d) de NIS2 exige des entités couvertes qu’elles gèrent la sécurité de la chaîne d’approvisionnement, y compris les pratiques de sécurité des fournisseurs et prestataires directs. Cela signifie qu’une entité suisse ou hors UE qui fournit un logiciel, une infrastructure cloud ou des services gérés à une entité couverte de l’UE fera face à des exigences de sécurité NIS2 contractuelles dans le cadre de cette relation client, même si le fournisseur n’est pas lui-même directement soumis à la directive. C’est le mécanisme par lequel NIS2 dépasse les frontières de l’UE.
Pour les entités suisses en particulier : la Suisse n’est pas un État membre de l’UE et NIS2 ne s’applique pas directement. Le droit suisse prévoit des exigences de sécurité de l’information au titre de la LSI (loi sur la sécurité de l’information) et de la législation connexe pour les organes fédéraux et les infrastructures critiques. Toutefois, les entreprises suisses qui exploitent des filiales dans l’UE, fournissent des services numériques à des utilisateurs de l’UE ou approvisionnent des entités couvertes de l’UE rencontreront des obligations NIS2 via leurs activités dans l’UE ou leurs contrats clients.
NIS2 a été publiée au Journal officiel de l’UE le 27 décembre 2022 et est entrée en vigueur le 16 janvier 2023. Les États membres avaient jusqu’au 17 octobre 2024 pour la transposer en droit national et le notifier à la Commission. Tous les États membres n’ont pas respecté ce délai. À la mi-2025, plusieurs avaient transposé tardivement, et certaines transpositions étaient encore en attente.
NIS2 étant une directive plutôt qu’un règlement, les obligations applicables dans un État membre proviennent de la loi nationale de cet État, non directement du texte de la directive. Cela a des conséquences pratiques : les définitions utilisées, l’autorité compétente désignée, les fourchettes de sanction exactes (dans les plafonds de la directive) et les obligations d’enregistrement varient toutes selon l’État membre. Les entités opérant dans plusieurs pays de l’UE doivent évaluer leur conformité par rapport à chaque loi nationale pertinente.
| Date | Événement |
|---|---|
| 27 décembre 2022 | Publiée au Journal officiel de l’UE (JO L 333/80) |
| 16 janvier 2023 | Entrée en vigueur (20 jours après la publication au JO) |
| 17 octobre 2024 | Date limite de transposition : les États membres devaient adopter et publier les mesures nationales de mise en œuvre |
| 17 octobre 2024 | NIS1 (directive (UE) 2016/1148) abrogée |
| 17 avril 2025 | Entités tenues de s’enregistrer auprès des autorités nationales compétentes (18 mois après la date limite de transposition) |
| En cours | Transpositions nationales : plusieurs États membres ont transposé tardivement ou avec une mise en œuvre variable ; consultez l’annuaire des autorités nationales de l’ENISA pour le statut le plus récent |
L’article 21 est l’article central des obligations. Il exige des entités essentielles et importantes qu’elles prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité et prévenir ou minimiser l’impact des incidents. Les mesures doivent reposer sur une approche tous risques et être proportionnées au niveau de risque, à la taille de l’entité et à l’impact qu’aurait un incident potentiel.
Les dix catégories de mesures sont spécifiées à l’article 21(2). Les États membres ne peuvent pas imposer d’exigences de cybersécurité supplémentaires au-delà de celles-ci, sauf autorisation spécifique du droit national.
| Art. 21(2) | Catégorie de mesure | Ce qu’elle exige en pratique |
|---|---|---|
| (a) | Analyse des risques et politiques de sécurité des systèmes d’information | Méthodologie d’appréciation des risques documentée, politique de sécurité de l’information, inventaire des actifs, traitement continu des risques |
| (b) | Traitement des incidents | Plan de réponse aux incidents, critères de classification, chaîne de remontée interne, flux de notification au CSIRT |
| (c) | Continuité d’activité, sauvegarde, reprise après sinistre et gestion de crise | Analyse d’impact pour les services critiques, procédures de sauvegarde et de reprise testées, plan de communication de crise |
| (d) | Sécurité de la chaîne d’approvisionnement | Évaluation de sécurité des fournisseurs et prestataires directs, exigences de sécurité contractuelles, surveillance continue |
| (e) | Sécurité dans l’acquisition, le développement et la maintenance des systèmes | Cycle de développement sécurisé, programme de gestion des vulnérabilités, politique de divulgation responsable |
| (f) | Politiques d’évaluation de l’efficacité des mesures de gestion des risques | Tests périodiques (tests d’intrusion, audits, exercices sur table), indicateurs, reporting à la direction |
| (g) | Pratiques de cyberhygiène et formation à la cybersécurité | Programme d’hygiène de base (correctifs, politique de mots de passe, hygiène des actifs), formation de sensibilisation pour tout le personnel |
| (h) | Cryptographie et, le cas échéant, chiffrement | Politique de chiffrement, gestion des clés, standards cryptographiques pour les données au repos et en transit |
| (i) | Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs | Processus arrivée/mobilité/départ, contrôles d’accès au moindre privilège, gestion des accès à privilèges, registre des actifs |
| (j) | Authentification multifacteur ou continue, et communications sécurisées | MFA pour tous les accès à privilèges et à distance, communications voix/vidéo/texte sécurisées pour les échanges sensibles |
L’article 23 fixe les obligations de déclaration pour les incidents importants. Un incident important est un incident qui cause ou est susceptible de causer une perturbation opérationnelle grave, une perte financière ou un préjudice à autrui. L’horloge de déclaration court à partir du moment où l’entité a connaissance de l’incident, non du moment où il s’est produit.
Les entités déclarent à leur CSIRT national (ou à l’autorité compétente lorsqu’aucun CSIRT n’est désigné). Les entités également soumises à la déclaration d’incident de DORA utilisent le régime DORA pour les incidents liés aux TIC ; voir la section NIS2 et DORA ci-dessous.
Le défi pratique : l’horloge de 24 heures est très serrée. De nombreuses organisations constatent que détecter un incident, le classer comme important, escalader vers l’équipe habilitée à notifier, et déposer effectivement l’alerte précoce dans les 24 heures nécessite des flux préétablis, des messages pré-approuvés et un arbre de décision clair, tout cela avant tout incident. Construire ce flux après le début d’un incident, c’est trop tard.
| Étape | Délai | Contenu requis |
|---|---|---|
| Alerte précoce | Dans les 24 heures suivant la prise de connaissance | Si l’incident est soupcçonné d’être causé par une action illégale ou malveillante ; s’il peut avoir un impact transfrontalier |
| Notification d’incident | Dans les 72 heures suivant la prise de connaissance | Évaluation initiale : gravité, indicateurs de compromission (si disponibles), hypothèse initiale de cause |
| Rapport intermédiaire | Sur demande du CSIRT ou de l’autorité | Mise à jour de statut : évaluation actuelle, mesures d’atténuation en cours |
| Rapport final | Au plus tard 1 mois après la notification d’incident | Description complète, type d’incident, cause profonde, impact transfrontalier, mesures d’atténuation prises, risque de récurrence |
L’article 20 est l’une des dispositions les plus lourdes de conséquences opérationnelles dans NIS2, et celle qui surprend le plus souvent les conseils qui la découvrent. Il exige des organes de direction qu’ils approuvent les mesures de gestion des risques de cybersécurité et supervisent leur mise en œuvre. Les membres de l’organe de direction sont personnellement responsables des infractions.
La disposition de responsabilité personnelle signifie que le dirigeant de l’organe de direction ou, lorsque le droit national le prévoit, chaque membre de l’organe de direction peut être tenu directement responsable des violations des obligations NIS2. Les conséquences précises (amendes, interdictions temporaires de fonctions de direction) dépendent des transpositions nationales, mais la directive elle-même crée explicitement cette responsabilité.
L’article 20 exige aussi des États membres qu’ils veillent à ce que les organes de direction des entités essentielles et importantes suivent une formation à la cybersécurité, et qu’ils offrent une formation similaire à leurs employés régulièrement. Ce n’est pas optionnel : c’est une obligation de conformité, non une bonne pratique.
Là où les entités peinent réellement : traduire l’article 20 en pratique de conseil. La supervision requise n’est pas une approbation unique d’une politique de sécurité. Elle implique un reporting régulier au niveau du conseil sur les mesures de sécurité, une conscience des risques significatifs, et des preuves documentées que le conseil a revu et approuvé les mesures. Lors d’une inspection de l’autorité compétente, le conseil ne peut pas simplement désigner une équipe de sécurité et dire « c’est elle qui s’en occupe ».
Les articles 36 et 37 fixent les plafonds de sanction maximaux. La directive spécifie des minimums de ce que les États membres doivent rendre disponible ; les transpositions nationales peuvent fixer des structures de sanction précises dans ces plafonds. Certains États membres ont introduit des amendes administratives ; d’autres recourent à la responsabilité pénale de la direction ou à des mécanismes d’application civile.
Les plafonds de sanction sont exprimés comme le plus élevé d’un maximum fixe ou d’un pourcentage du chiffre d’affaires annuel mondial, s’appliquant au chiffre d’affaires mondial de l’entité et de son groupe le cas échéant. Cela reflète la structure du RGPD et est conçu de façon similaire pour être proportionné à la taille des grandes organisations mondiales.
Des mesures non financières sont aussi disponibles : les autorités compétentes peuvent émettre des instructions contraignantes, exiger la mise en œuvre de mesures de sécurité spécifiques, divulguer publiquement la non-conformité, et interdire temporairement à des membres de l’organe de direction d’exercer des fonctions de direction.
| Type d’entité | Amende maximale | Plafond alternatif | Mesures supplémentaires disponibles |
|---|---|---|---|
| Entités essentielles | 10 000 000 EUR | 2 % du chiffre d’affaires annuel mondial total (le plus élevé étant retenu) | Instructions contraignantes, mesures de sécurité obligatoires, divulgation publique, interdiction temporaire de direction |
| Entités importantes | 7 000 000 EUR | 1,4 % du chiffre d’affaires annuel mondial total (le plus élevé étant retenu) | Instructions contraignantes, mesures de sécurité obligatoires, divulgation publique |
Pour les entités soumises à DORA (règlement (UE) 2022/2554), la relation entre les deux cadres est régie par une règle lex specialis. DORA est le texte sectoriel de l’UE pour le risque TIC dans les services financiers. Au titre de l’article 4(2) de NIS2, lorsqu’un acte juridique sectoriel de l’Union exige des entités essentielles ou importantes qu’elles adoptent des mesures de gestion des risques de cybersécurité ou notifient les incidents aux autorités compétentes, et lorsque ces exigences sont au moins équivalentes à NIS2, les dispositions sectorielles s’appliquent.
En pratique : les entités financières soumises à DORA suivent DORA pour la gestion des risques TIC (chapitre II), la classification et la déclaration des incidents TIC majeurs (chapitre III), les tests de résilience opérationnelle numérique (chapitre IV), la gestion du risque TIC lié aux tiers (chapitre V) et le partage d’informations (chapitre VI). Elles ne mènent pas de programme de conformité NIS2 distinct pour ces domaines. Là où DORA n’offre pas de couverture équivalente (ce qui est limité), NIS2 s’applique comme socle.
Le canal de supervision diffère aussi. Les entités financières DORA déclarent les incidents TIC majeurs à leur superviseur financier national (banque centrale, autorité des marchés financiers, superviseur des assurances) plutôt qu’à l’autorité nationale compétente NIS2. Pour les entités relevant des deux, cela suppose de garder au clair quel canal de déclaration s’applique à quel type d’incident.
L’implication pratique : une banque ou une entreprise d’investissement déjà conforme à DORA est en grande partie conforme aux exigences NIS2 équivalentes. Les cadres de gestion des risques, les flux d’incidents, le programme de risque lié aux tiers et les tests de résilience couverts par DORA recoupent étroitement l’article 21 de NIS2. Mener les deux dans Acuna avec une bibliothèque de mesures partagée signifie que le recoupement est cartographié une fois, non maintenu deux fois.
| Dimension | NIS2 (directive (UE) 2022/2555) | DORA (règlement (UE) 2022/2554) |
|---|---|---|
| Instrument juridique | Directive — nécessite une transposition nationale | Règlement — directement applicable dans toute l’UE |
| Périmètre | 18 secteurs, Annexe I (essentielles et importantes) et Annexe II (importantes) | Entités financières : établissements de crédit, établissements de paiement, entreprises d’investissement, assurances, prestataires de services sur crypto-actifs, prestataires TIC tiers |
| Objet | Sécurité des réseaux et de l’information pour les secteurs critiques et importants | Résilience opérationnelle numérique spécifiquement pour les TIC du secteur financier |
| Mesures de sécurité | Article 21 : 10 catégories de mesures, proportionnées au risque | Chapitre II : cadre de gestion des risques TIC avec exigences prescriptives détaillées |
| Déclaration d’incidents | Article 23 : alerte précoce à 24 heures, notification à 72 heures, rapport final à 1 mois au CSIRT national | Article 19 et règlement délégué (UE) 2025/301 : notification initiale à 4 heures après classification (au plus tard 24 heures après en avoir eu connaissance), intermédiaire à 72 heures, final à 1 mois au superviseur financier |
| Tests de résilience | Article 21(f) : politiques d’évaluation de l’efficacité des mesures (y compris tests) | Chapitre IV : tests de résilience opérationnelle numérique, TLPT obligatoires pour les entités significatives |
| Risque lié aux tiers | Article 21(d) : obligations de sécurité de la chaîne d’approvisionnement | Chapitre V : exigences détaillées de gestion du risque TIC lié aux tiers, registre d’informations |
| Supervision | Autorité nationale compétente : entités essentielles proactive ex ante ; entités importantes réactive ex post | Autorités de supervision financière (EBA, EIOPA, ESMA pour la surveillance des prestataires TIC tiers critiques) |
| Précédence lorsque les deux s’appliquent | NIS2 s’applique là où DORA n’offre pas de couverture équivalente | DORA est lex specialis : s’applique de préférence à NIS2 pour les entités financières couvertes sur les piliers couverts |
| Applicable à partir du | 17 octobre 2024 (date limite de transposition) | 17 janvier 2025 |
Acuna est conçue pour la façon dont NIS2 arrive réellement sur les équipes conformité : aux côtés d’ISO 27001, de DORA et du RGPD, partageant mesures, preuves et données de risque entre référentiels plutôt que de mener chacun comme un projet isolé.
Pour NIS2 en particulier : le volet Comply guide le cadrage essentielle vs importante, cartographie les dix mesures de l’article 21 sur votre périmètre organisationnel, et documente le cadre de gestion des risques de cybersécurité. Supplier Shield gère les obligations de chaîne d’approvisionnement de l’article 21(d) : évaluations des risques liés aux tiers, exigences de sécurité contractuelles et surveillance continue. Le flux d’incidents applique les horloges de notification de 24 et 72 heures avec des chemins de remontée préétablis et des modèles de notification en brouillon. Le volet Assure tient la piste de preuves pour le contrôle de l’autorité compétente, y compris l’approbation au niveau du conseil et les registres de formation exigés par l’article 20.
Pour les entités soumises à la fois à NIS2 et à DORA : le moteur de cartographie inter-référentiels d’Acuna identifie quelles mesures satisfont les deux ensembles d’exigences, de sorte qu’une seule mise en œuvre de mesure produit des preuves pour les deux référentiels. Les équipes menant déjà DORA dans Acuna étendent leur programme vers NIS2 sans reconstruire la bibliothèque de mesures.
Voyez comment Acuna soutient la conformité NIS2.
EXPLORER
À qui s’applique NIS2 : entités essentielles vs importantes, seuils de taille, secteurs des Annexes I et II, et la portée de la chaîne d’approvisionnement vers les entités hors UE.
Comment NIS2 et DORA se recoupent pour les entités financières, la règle lex specialis, quel canal de déclaration s’applique, et comment mener les deux dans une bibliothèque de mesures partagée.
Construire le flux derrière l’alerte précoce à 24 heures et la notification à 72 heures : critères de classification, chemins de remontée et modèles de notification.
Une liste de contrôle structurée en 40 points couvrant la détermination du périmètre, les mesures de l’article 21, la préparation à la déclaration d’incidents, la chaîne d’approvisionnement et la responsabilité du conseil.
Comment la transposition s’est concrétisée dans les principales juridictions de l’UE : autorités nationales compétentes, obligations d’enregistrement et postures d’application.
Réponses associées
NIS2 (Directive (UE) 2022/2555) est la directive européenne sur la cybersécurité pour les entités essentielles et importantes. Elle étend le périmètre de NIS1, introduit des exigences de sécurité renforcées en vertu de l’article 21, et impose le signalement des incidents dans les 24 heures (alerte précoce), 72 heures (notification) et un mois (rapport final). Les entités essentielles comprennent l’énergie, les transports, le secteur bancaire, la santé, l’eau et l’infrastructure numérique. Les entités importantes couvrent les services postaux, la gestion des déchets, la chimie, l’alimentation, l’industrie manufacturière et les fournisseurs numériques comptant 50 employés ou plus, ou un chiffre d’affaires de 10 millions d’euros ou plus. Acuna cartographie les articles NIS2 sur les contrôles, gère le risque de la chaîne d’approvisionnement et suit les délais de signalement des incidents.
NIS2 (Directive (UE) 2022/2555) s’applique aux organisations publiques et privées qui exercent leur activité dans l’un des secteurs listés dans ses annexes et qui atteignent un seuil de taille, en général les organisations de taille moyenne et supérieure. Les organisations concernées sont classées en entités essentielles ou entités importantes — distinction qui détermine l’intensité de la supervision et le niveau des sanctions, et non l’existence des obligations. Comme NIS2 est une directive, le périmètre précis est fixé par la transposition nationale de chaque État membre. En France, la directive a été transposée par la loi de programmation militaire (LPM) et la loi organique relative à la LPM (LOPMI), avec l’ANSSI comme autorité nationale de cybersécurité. NIS2 distingue deux niveaux. Les entités essentielles sont les plus grandes organisations des secteurs à criticité maximale ; les entités importantes, le reste du périmètre. Les deux niveaux doivent respecter les mêmes obligations fondamentales de gestion des risques et de signalement. La différence porte sur la supervision : les entités essentielles font l’objet d’une supervision proactive ex ante, les entités importantes d’une supervision réactive ex post, généralement après un incident ou des signes de non-conformité. NIS2 organise les secteurs couverts en deux annexes. L’annexe I liste les secteurs à haute criticité : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructure numérique, gestion des services TIC, administration publique et espace. L’annexe II couvre d’autres secteurs critiques : services postaux et de courrier, gestion des déchets, produits chimiques, alimentation, fabrication de certains produits, fournisseurs numériques et recherche.
NIS2 et DORA sont deux cadres européens de cybersécurité et de résilience opérationnelle entrés en vigueur à peu près au même moment et qui se recoupent largement, mais ils ne sont pas interchangeables. NIS2 (Directive (UE) 2022/2555) est une directive transsectorielle de cybersécurité couvrant de nombreux secteurs ; DORA (Règlement (UE) 2022/2554) est un règlement spécifique au secteur financier pour la résilience opérationnelle numérique. Lorsque les deux pourraient s’appliquer à la même organisation, DORA prime généralement pour le risque TIC dans les services financiers en tant que loi plus spécifique — le principe de lex specialis. Une entité financière peut donc être dans le périmètre des deux, DORA régissant son risque TIC et NIS2 restant pertinent dans la mesure où DORA ne couvre pas. Les deux diffèrent par l’instrument, le périmètre et le niveau de précision. NIS2 est une directive transposée en droit national — en France via la LPM et la LOPMI, sous la supervision de l’ANSSI. DORA est un règlement d’application directe et uniforme dans l’UE, supervisé par l’AMF et l’ACPR pour les entités françaises. NIS2 couvre de nombreux secteurs ; DORA se limite aux entités financières et à leurs prestataires TIC. DORA est aussi plus prescriptif sur les détails TIC — registre d’informations, TLPT — que les mesures plus générales de gestion des risques de NIS2. Pour une entité financière concernée par les deux : déterminez d’abord vos obligations DORA pour le risque TIC, car elles sont les plus spécifiques et prescriptives. Puis vérifiez ce que NIS2 ajoute au-delà de la couverture DORA pour votre organisation.
En vertu de l’article 23 de NIS2, les entités essentielles et importantes doivent signaler les incidents significatifs à leur CSIRT national ou à l’autorité compétente par étapes : une alerte précoce dans les 24 heures suivant la prise de connaissance de l’incident, une notification d’incident plus complète dans les 72 heures, et un rapport final dans le mois suivant cette notification. En France, l’ANSSI est l’autorité nationale de cybersécurité chargée de recevoir ces signalements. Un incident est significatif s’il a causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière importante, ou s’il a affecté d’autres personnes par des dommages matériels ou immatériels considérables. Ces délais sont fixés à l’article 23(4) de la directive et sont identiques dans chaque État membre. La structure par étapes permet aux autorités d’obtenir un signal rapide, puis une image complète au fil de la résolution. Le délai de signalement ne commence qu’une fois l’incident qualifié de significatif — d’où l’importance d’une classification rapide et exacte, autant que du signalement lui-même. Le signalement est une séquence, et non un dépôt unique : alerte précoce à 24 heures, notification à 72 heures avec une évaluation plus détaillée, rapport final dans le mois couvrant la cause racine et les mesures d’atténuation. Si l’incident est toujours ouvert au bout d’un mois, vous déposez un rapport d’avancement puis un rapport final une fois résolu.
Un programme de conformité NIS2 se résume à quelques éléments bien exécutés : confirmer si vous êtes dans le périmètre et à quel niveau, mettre en place les mesures de gestion des risques de l’article 21, organiser la détection et le signalement par étapes des incidents, traiter la sécurité de la chaîne d’approvisionnement, et obtenir l’approbation et la supervision de l’organe de direction. La checklist ci-dessous couvre les domaines essentiels ; elle ne remplace pas les exigences transposées en droit français via la LPM et la LOPMI, qui ajoutent les spécificités nationales. Déterminer le périmètre et le niveau : confirmer si vous êtes concerné, dans quel secteur des annexes I ou II, et si vous êtes une entité essentielle ou importante. S’enregistrer auprès de l’autorité : respecter les obligations d’enregistrement et d’information fixées par la transposition française, auprès de l’ANSSI. Mettre en œuvre les mesures de l’article 21 : déployer les dix catégories de mesures de gestion des risques — analyse des risques et politique de sécurité, gestion des incidents, continuité d’activité et gestion de crise, sécurité de la chaîne d’approvisionnement, sécurité dans l’acquisition et le développement, politiques d’évaluation de l’efficacité, cyberhygiène de base et formation, cryptographie, ressources humaines et contrôle d’accès, authentification multifacteur et communications sécurisées. Organiser le signalement des incidents : construire le processus de détection, classification et signalement par étapes exigé par l’article 23, et identifier votre CSIRT ou autorité compétente. Traiter la sécurité de la chaîne d’approvisionnement : évaluer et gérer la sécurité de vos fournisseurs et prestataires directs, comme l’exige l’article 21. Obtenir l’approbation de l’organe de direction : en vertu de l’article 20, l’organe de direction approuve les mesures de gestion des risques, les supervise et peut être tenu responsable.
NIS2 est une directive, et non un règlement, ce qui signifie qu’elle ne s’applique pas directement. Chaque État membre de l’UE doit la transposer en droit national, et c’est ce droit national que vous respectez réellement. Le délai de transposition était fixé au 17 octobre 2024, mais les États membres ont transposé à des rythmes et avec des spécificités différents. En France, la transposition s’est opérée via la loi de programmation militaire (LPM) et la loi organique relative à la LPM (LOPMI), avec l’ANSSI comme autorité nationale de cybersécurité. Pour une organisation multi-pays, cette variation nationale est la caractéristique pratique déterminante de NIS2. C’est la différence de nature la plus marquante entre NIS2 et DORA. DORA, en tant que règlement, est uniforme dans toute l’UE et supervisé par l’AMF et l’ACPR pour les entités financières françaises. NIS2, en tant que directive, constitue un socle commun que chaque pays met en œuvre dans sa propre législation. Une directive fixe les objectifs que chaque État membre doit atteindre, mais laisse la forme et les modalités aux gouvernements nationaux. Deux organisations du même secteur dans des États membres différents peuvent faire face à des variations en matière d’enregistrement, de modalités de signalement et d’approche de supervision. Pour une organisation mono-pays en France : identifiez la loi de transposition nationale et l’ANSSI comme autorité compétente, et conformez-vous à ce droit. Pour une organisation multi-pays : cartographiez le socle commun NIS2 une fois, puis suivez les écarts nationaux par État membre.
CONFORMITÉ NIS2
Acuna cartographie les obligations de l’article 21 de NIS2 sur votre type d’entité, mène la gestion des risques de l’article 21 aux côtés d’ISO 27001 et de DORA dans une bibliothèque de mesures partagée, et tient la piste de preuves que les autorités compétentes inspectent réellement.
Comment NIS2 se cartographie vers ISO 27001 et DORA
NIS2 et ISO 27001 se recoupent étroitement au niveau des mesures. Une organisation menant ISO 27001 dispose déjà d’une grande partie du socle de l’article 21 : appréciation des risques, contrôle d’accès, gestion des incidents, continuité d’activité, sécurité des fournisseurs, cryptographie et formation se cartographient toutes vers les mesures de l’Annexe A d’ISO 27001. NIS2 n’exige pas la certification ISO 27001, mais les organisations dotées d’un SMSI mature verront leur effort de conformité nettement réduit.
Le tableau cartographie des mesures sélectionnées de l’article 21 de NIS2 vers leurs équivalents ISO 27001 et, lorsque DORA s’applique, vers les chapitres DORA. Mener les trois dans Acuna signifie que la bibliothèque de mesures est construite une fois et réutilisée entre référentiels, et que la cartographie inter-référentiels est maintenue automatiquement.