Qu’est-ce que la directive NIS2 ?
La directive NIS2 — directive (UE) 2022/2555 — est le cadre législatif européen pour la cybersécurité des organisations. Adoptée le 14 décembre 2022 par le Parlement européen et le Conseil, elle remplace la première directive NIS de 2016, dont le champ d’application s’est révélé trop restreint face à l’évolution des menaces.
NIS1 ne couvrait qu’une poignée de secteurs (énergie, transports, santé, eau potable, infrastructures numériques, banques) et laissait aux États membres une grande marge d’interprétation. Résultat : des niveaux de protection très inégaux entre pays de l’UE, et des milliers d’organisations exposées aux ransomwares et au phishing sans aucune obligation de sécurité.
NIS2 corrige ces lacunes sur trois plans :
- Périmètre élargi. Le nombre de secteurs couverts passe de 7 à 18. Le nombre d’organisations concernées dans l’UE est estimé à plus de 150 000, contre environ 15 000 sous NIS1, selon les estimations de la Commission européenne.
- Obligations uniformisées. Un socle commun de mesures de gestion des risques s’applique dans tous les États membres, réduisant les divergences nationales.
- Sanctions dissuasives. Des amendes alignées sur le modèle du RGPD, avec la responsabilité personnelle des dirigeants.
Chaque État membre devait transposer NIS2 dans son droit national avant le 17 octobre 2024. En France, l’ANSSI coordonne la transposition et l’application de la directive.
Qui est concerné par NIS2 en France ?
NIS2 classe les organisations en deux catégories selon leur taille et leur secteur d’activité.
Entités essentielles
Les entités essentielles sont les grandes organisations des secteurs à haute criticité. Elles sont soumises aux exigences les plus strictes et aux sanctions les plus lourdes. Sont concernées les organisations de 250 salariés et plus (ou 50 millions d’euros de chiffre d’affaires) dans les 11 secteurs à haute criticité :
énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC (B2B), administrations publiques, espace.
Entités importantes
Les entités importantes sont les organisations de taille intermédiaire dans un spectre de secteurs plus large. Seuil d’entrée : 50 salariés ou 10 millions d’euros de chiffre d’affaires annuel. Au-delà des 11 secteurs ci-dessus, NIS2 ajoute 7 secteurs supplémentaires :
services postaux et d’expédition, gestion des déchets, fabrication/production/distribution de produits chimiques, production/transformation/distribution de denrées alimentaires, fabrication (dispositifs médicaux, produits informatiques et électroniques, machines, véhicules à moteur), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.
Ce que cela signifie pour les PME françaises
Une PME de 50 salariés dans le secteur de la fabrication alimentaire, un prestataire informatique de 60 personnes, ou un fournisseur de services cloud dépassant 10 millions d’euros de chiffre d’affaires : tous sont dans le périmètre NIS2 en tant qu’entités importantes.
L’ANSSI publie des informations actualisées sur la transposition française et les critères de désignation sur cyber.gouv.fr. Les entreprises qui ne savent pas si elles sont concernées peuvent commencer par vérifier leur code NAF par rapport à la liste des secteurs de l’annexe I et II de la directive.
Les obligations de NIS2
L’article 21 de la directive NIS2 définit un ensemble de mesures de gestion des risques que chaque entité doit mettre en place. Ce ne sont pas des recommandations — ce sont des obligations légales.
Gouvernance et responsabilité de la direction
L’article 20 impose aux organes de direction d’approuver les mesures de gestion des risques de cybersécurité et de superviser leur mise en œuvre. Les dirigeants ne peuvent plus déléguer sans s’impliquer : ils doivent suivre des formations en cybersécurité pour comprendre les risques et les mesures adoptées. En cas de manquement, leur responsabilité personnelle peut être engagée.
Gestion des risques (article 21)
Les entités doivent adopter des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées. L’article 21 détaille les domaines couverts :
- Politiques de sécurité — Analyse des risques, politique de sécurité des systèmes d’information documentée
- Gestion des incidents — Procédures de détection, de réponse et de notification, appuyées par un SOC ou une capacité de détection équivalente
- Continuité d’activité — Plans de continuité, sauvegardes, reprise après sinistre
- Sécurité de la chaîne d’approvisionnement — Évaluation des risques liés aux fournisseurs directs, contractualisation des exigences de sécurité (en savoir plus sur les attaques supply chain)
- Sécurité des réseaux et des systèmes — Gestion des vulnérabilités, politiques de chiffrement, contrôle d’accès basé sur le zero trust et l’authentification multifacteur (MFA)
- Hygiène informatique et formation — Pratiques de base en cybersécurité et formations régulières pour l’ensemble des collaborateurs
Signalement des incidents
NIS2 impose un processus de notification en trois étapes auprès de l’autorité compétente (l’ANSSI en France) :
| Étape | Délai | Contenu |
|---|---|---|
| Alerte précoce | 24 heures après la découverte | Signaler qu’un incident significatif a eu lieu |
| Notification complète | 72 heures après la découverte | Évaluation initiale : gravité, impact, indicateurs de compromission |
| Rapport final | 1 mois après la notification | Analyse détaillée, cause, mesures correctives appliquées |
Un incident est considéré comme significatif s’il cause une perturbation opérationnelle grave ou des pertes financières conséquentes, ou s’il est susceptible d’affecter d’autres personnes physiques ou morales.
Ces délais sont plus stricts que le RGPD (72 h pour la notification CNIL). Une entreprise qui subit une attaque de phishing menant à une exfiltration de données doit potentiellement notifier l’ANSSI sous 24 h (NIS2) et la CNIL sous 72 h (RGPD).
NIS2 et la sensibilisation des collaborateurs
L’obligation de formation figure explicitement dans deux articles de la directive.
Ce que dit le texte
Article 20, paragraphe 2 : les membres des organes de direction sont tenus de suivre une formation afin d’acquérir des connaissances et des compétences suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité. Des formations similaires doivent être proposées régulièrement à leurs employés.
Article 21, paragraphe 2, point g) : les mesures de gestion des risques comprennent des pratiques de base en matière d’hygiène informatique et de formation à la cybersécurité.
Le texte ne précise pas le format exact de ces formations, mais les lignes directrices de l’ENISA soulignent que la sensibilisation doit être continue, mesurable et adaptée aux risques sectoriels de l’organisation.
Pourquoi la simulation de phishing répond à NIS2
Le phishing est le vecteur d’entrée dans plus de 60 % des incidents cyber touchant les organisations européennes, selon le panorama de la cybermenace 2024 de l’ANSSI. Un programme de simulation de phishing coche les exigences NIS2 sur plusieurs points :
- Formation régulière des employés (article 20§2) — Des campagnes de simulation mensuelles ou trimestrielles constituent une formation continue et mesurable
- Hygiène informatique (article 21§2g) — Les employés apprennent à identifier les emails suspects, à vérifier les expéditeurs, à ne pas cliquer sur des liens non vérifiés
- Documentation — Les résultats de chaque campagne (taux de clic, taux de signalement, progression) fournissent les preuves que l’obligation de formation est remplie
- Gestion des risques — La réduction mesurable du taux de clic sur des simulations de phishing démontre une réduction du risque humain, ce que l’ANSSI attend dans un cadre de conformité
Un programme de sensibilisation non documenté ou ponctuel (une présentation annuelle) ne suffit pas à démontrer la conformité. NIS2 exige des mesures appropriées et proportionnées, ce qui implique une approche récurrente, traçable et adaptée au profil de risque de l’entreprise.
Les sanctions NIS2
NIS2 introduit des sanctions financières alignées sur le modèle du RGPD, selon la catégorie de l’entité.
Entités essentielles
Amende pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent — le montant le plus élevé étant retenu. Ce plafond est identique à celui du RGPD.
Entités importantes
Amende pouvant atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total — le montant le plus élevé étant retenu.
Responsabilité personnelle des dirigeants
C’est la nouveauté majeure de NIS2 par rapport à la plupart des réglementations de cybersécurité existantes. L’article 20 prévoit que les États membres peuvent tenir les personnes physiques responsables — c’est-à-dire les membres de la direction — en cas de manquement aux obligations de gouvernance et de supervision. Un directeur général qui n’a pas approuvé les mesures de gestion des risques ou qui n’a pas suivi de formation en cybersécurité peut être personnellement sanctionné.
Les États membres peuvent aussi ordonner la suspension temporaire de certifications ou autorisations d’exercer pour les entités essentielles en cas de non-conformité grave et persistante.
NIS2 vs DORA : quelle différence ?
NIS2 et DORA (Digital Operational Resilience Act, règlement (UE) 2022/2554) ont été adoptés le même jour — le 14 décembre 2022. Ils poursuivent des objectifs proches mais sur des périmètres différents.
| NIS2 | DORA | |
|---|---|---|
| Nature juridique | Directive (transposition nationale requise) | Règlement (application directe, pas de transposition) |
| Périmètre | 18 secteurs d’activité (transversal) | Secteur financier uniquement (banques, assurances, gestion d’actifs, prestataires de paiement, fournisseurs IT critiques du secteur financier) |
| Entrée en application | 17 octobre 2024 (transposition) | 17 janvier 2025 (application directe) |
| Notification d’incident | 24 h (alerte) + 72 h (notification) + 1 mois (rapport) | 4 h (alerte initiale pour incidents majeurs) + 72 h + 1 mois |
| Formation | Dirigeants et employés (article 20) | Tests de résilience opérationnelle, threat-led penetration testing |
En pratique : une banque française est soumise à DORA pour ses obligations de résilience opérationnelle numérique. Mais si elle fournit aussi des services dans un secteur couvert par NIS2 (par exemple des infrastructures de paiement), elle peut être soumise aux deux textes. Le principe de lex specialis s’applique : DORA prévaut sur NIS2 pour les entités du secteur financier sur les aspects que DORA couvre, mais NIS2 reste applicable sur les aspects résiduels.
Pour les PME hors secteur financier, seul NIS2 s’applique. Pour les fintechs et prestataires IT servant des institutions financières, une analyse croisée NIS2/DORA est nécessaire.
Comment se préparer à NIS2
1. Vérifiez si vous êtes dans le périmètre
Croisez votre code NAF avec la liste des secteurs des annexes I et II de la directive NIS2. Si votre entreprise dépasse 50 salariés ou 10 millions d’euros de CA dans un secteur couvert, vous êtes concerné.
2. Réalisez un état des lieux de sécurité
Cartographiez vos actifs, vos systèmes d’information, vos flux de données. Identifiez les écarts avec les exigences de l’article 21. Un test de sécurité email est un bon point de départ rapide : il vérifie si vos configurations SPF, DKIM et DMARC protègent votre domaine contre l’usurpation d’identité.
3. Documentez votre politique de gestion des risques
Formalisez les mesures que vous prenez dans chaque domaine couvert par l’article 21 : sécurité des réseaux, gestion des accès, continuité d’activité, sécurité de la supply chain, gestion des incidents.
4. Mettez en place un programme de sensibilisation continu
Déployez des simulations de phishing régulières et tracez les résultats. Assurez-vous que la direction suit aussi les formations — NIS2 l’exige explicitement. Les preuves de participation et les indicateurs de progression (taux de clic, taux de signalement) constituent votre dossier de conformité. Consultez notre page conformité pour voir comment structurer ce programme, et notre guide de conformité NIS2 pour les PME pour un plan d’action détaillé.
5. Préparez votre processus de notification d’incident
Définissez qui fait quoi en cas d’incident significatif. Le délai de 24 h pour l’alerte précoce ne laisse aucune place à l’improvisation. Identifiez votre point de contact ANSSI, préparez les modèles de notification, testez le processus avec un exercice de simulation.
6. Évaluez vos fournisseurs
NIS2 vous rend responsable de la sécurité de votre chaîne d’approvisionnement. Demandez à vos fournisseurs leur politique de sécurité, leurs certifications, et incluez des clauses de cybersécurité dans vos contrats. Un SIEM ou une solution de monitoring peut vous aider à détecter les anomalies provenant de connexions tierces.
Votre conformité NIS2 commence par la protection de votre surface d’attaque la plus exposée : l’email. Testez gratuitement la sécurité de votre domaine avec notre vérificateur de sécurité email et identifiez les failles que les attaquants exploitent en premier.
Questions fréquentes
Qu'est-ce que la directive NIS2 ?
NIS2 (Network and Information Security 2) est une directive européenne adoptée le 14 décembre 2022 qui remplace la directive NIS1 de 2016. Elle élargit le périmètre des organisations soumises à des obligations de cybersécurité : gestion des risques, signalement des incidents sous 24 h et 72 h, sécurité de la chaîne d'approvisionnement, et sensibilisation obligatoire des dirigeants et des collaborateurs. Chaque État membre transpose NIS2 dans son droit national. En France, l'ANSSI pilote cette transposition.
Mon entreprise est-elle concernée par NIS2 ?
NIS2 s'applique aux entités de 18 secteurs d'activité qui emploient au moins 50 personnes ou réalisent un chiffre d'affaires annuel supérieur à 10 millions d'euros. Les secteurs couverts incluent l'énergie, les transports, la santé, le numérique, les services postaux, la gestion des déchets, l'agroalimentaire et les administrations publiques. Les entreprises sont classées en entités essentielles ou entités importantes, avec des niveaux d'exigences et de sanctions différents.
Quelles sont les sanctions en cas de non-conformité NIS2 ?
Les entités essentielles risquent une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé s'applique). Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial. NIS2 prévoit aussi la responsabilité personnelle des dirigeants : les organes de direction peuvent être tenus responsables s'ils n'ont pas approuvé et supervisé les mesures de gestion des risques.
NIS2 impose-t-elle la sensibilisation au phishing ?
Oui. L'article 20 de la directive NIS2 impose que les membres des organes de direction suivent des formations en cybersécurité et que des formations similaires soient proposées régulièrement aux employés. L'article 21 inclut explicitement les pratiques d'hygiène informatique et la formation à la cybersécurité parmi les mesures de gestion des risques obligatoires. Un programme de simulation de phishing documenté répond directement à ces exigences.
Quelle est la différence entre NIS2 et DORA ?
NIS2 est une directive transversale qui couvre 18 secteurs d'activité (énergie, transports, santé, numérique, etc.). DORA (Digital Operational Resilience Act) est un règlement spécifique au secteur financier : banques, assurances, sociétés de gestion, prestataires de services de paiement et leurs fournisseurs IT critiques. Une entreprise du secteur financier est soumise à DORA en priorité, mais NIS2 s'applique en complément sur les aspects non couverts par DORA.