Quelle est la différence entre le Cyber Resilience Act et NIS2 ?

Alexis Hirschhorn· CEO, Acuna16 juillet 2026

Réponse directe

NIS2 régit la cybersécurité des entités essentielles et importantes dans 18 secteurs ; le Règlement sur la cyberrésilience régit la sécurité des produits comportant des éléments numériques mis sur le marché. De nombreuses organisations relèvent des deux textes. Les obligations ne se doublonnent pas : NIS2 couvre ce que fait votre organisation ; le RCR couvre ce qu'est votre produit.

Key Facts

  • NIS2 = cybersécurité organisationnelle (18 secteurs) ; RCR = cybersécurité des produits (chaîne d'approvisionnement).
  • Les deux imposent une alerte précoce sous 24 heures et une notification sous 72 heures.
  • Rapport final RCR : 14 jours après correction (vulnérabilité) ou 1 mois (incident). NIS2 : 1 mois.
  • Signalements RCR adressés à l'ENISA + CSIRT national ; signalements NIS2 au CSIRT / autorité compétente.
  • De nombreux fabricants relèvent des deux ; les contrôles se recoupent mais les obligations sont cumulatives, pas redondantes.
  • Plafond des sanctions RCR : 15 M€ ou 2,5 % ; NIS2 : 10 M€ ou 2 % pour les entités essentielles.

Les deux textes opèrent à des niveaux différents de la chaîne d'approvisionnement (art. 1 RCR ; art. 1 NIS2) : | | Règlement sur la cyberrésilience | Directive NIS2 | |---|---|---| | **Instrument** | Règlement (UE) 2024/2847 | Directive (UE) 2022/2555 | | **Objet** | Sécurité des produits comportant des éléments numériques | Cybersécurité des entités essentielles et importantes | | **Périmètre** | Fabricants, importateurs, distributeurs | Entités dans 18 secteurs critiques | | **Obligation centrale** | Sécurité du produit sur tout le cycle de vie | Gestion des risques organisationnels et traitement des incidents | | **Objet du signalement** | Vulnérabilités exploitées activement · incidents graves | Incidents significatifs | | **Alerte précoce** | 24 heures | 24 heures | | **Notification** | 72 heures | 72 heures | | **Rapport final** | 14 jours après correction (vulnérabilité) · 1 mois (incident) | 1 mois | | **Destinataire** | ENISA + CSIRT national (plateforme unique de signalement) | CSIRT / autorité compétente | | **Sanctions** | 15 M€ ou 2,5 % du CA | 10 M€ ou 2 % du CA (entités essentielles) | | **Application complète** | 11 décembre 2027 | Déjà en vigueur | Les étapes de signalement à 24 heures et 72 heures se ressemblent dans les deux régimes, mais le destinataire, la définition du déclencheur et le délai du rapport final diffèrent. Pour un fabricant de produits connectés qui opère aussi comme entité essentielle ou importante au titre de NIS2, le RCR ajoute des obligations propres au produit : classifier chaque produit, maintenir la SBOM, réaliser l'évaluation de conformité. Les contrôles sous-jacents — suivi des vulnérabilités, gestion des accès, documentation des preuves — se recoupent largement.

Et maintenant

Découvrez comment Acuna automatise ça

Quelle est la différence entre le Cyber Resilience Act et NIS2 ? | Acuna GRC Answers | Acuna