Glossaire · Cybersécurité européenne NIS2 (Network and Information Security Directive 2)
Directive européenne sur la cybersécurité s'appliquant aux entités essentielles et importantes dans 18+ secteurs, avec une date limite de transposition nationale en octobre 2024.
## Ce que fait réellement NIS2
NIS2 (Directive (UE) 2022/2555) est la directive européenne de cybersécurité qui a remplacé la directive NIS originale de 2016. Elle élargit considérablement le champ des obligations de cybersécurité et harmonise les exigences entre les États membres de l'UE.
La directive est entrée en vigueur en janvier 2023 avec une date limite de transposition nationale au 17 octobre 2024. La mise en œuvre dans les États membres a été inégale — certains à temps, d'autres significativement en retard.
## À qui NIS2 s'applique
NIS2 a considérablement élargi son périmètre par rapport à son prédécesseur. Elle s'applique :
**Entités essentielles** (secteurs à criticité élevée) :
- Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
- Transport (aérien, ferroviaire, maritime, routier)
- Banque et infrastructures de marché financier
- Santé (soins de santé, pharmacie)
- Eau potable et eaux usées
- Infrastructure numérique (fournisseurs cloud, data centres, DNS, distribution de contenus)
- Gestion des services TIC (B2B)
- Administration publique
- Espace
**Entités importantes** (autres secteurs critiques) :
- Services postaux et de courrier
- Gestion des déchets
- Fabrication de certains produits critiques (chimie, dispositifs médicaux, électronique, machines, véhicules)
- Production, transformation et distribution alimentaires
- Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
- Recherche
Des seuils de taille s'appliquent : les entités de taille moyenne (50+ employés, 10 M€+ de chiffre d'affaires) et les grandes entités sont généralement concernées ; les petites/micro entités sont généralement exclues.
## Exigences fondamentales
Les organisations relevant de NIS2 doivent mettre en œuvre :
**1. Mesures de gestion des risques** — au moins 10 catégories spécifiques :
- Analyse des risques et politiques de sécurité des systèmes d'information
- Procédures de gestion des incidents
- Continuité des activités (sauvegardes, reprise après sinistre, gestion de crise)
- Sécurité de la chaîne d'approvisionnement
- Sécurité des réseaux/systèmes d'information lors de l'acquisition, du développement, de la maintenance
- Politiques d'évaluation de l'efficacité des mesures de cybersécurité
- Cyber-hygiène et formation
- Politiques de cryptographie (y compris le chiffrement)
- Sécurité RH, contrôles d'accès, gestion des actifs
- Authentification multifactorielle, communications sécurisées
**2. Notification des incidents** — les incidents significatifs doivent être notifiés :
- **Alerte précoce** sous 24 heures
- **Notification d'incident** sous 72 heures
- **Rapport final** sous un mois
**3. Sécurité de la chaîne d'approvisionnement** — les entités doivent évaluer et gérer les risques de cybersécurité de leurs fournisseurs et prestataires de services.
**4. Responsabilité de la direction** — la direction est personnellement responsable de la conformité, y compris l'approbation des mesures et la supervision de la mise en œuvre.
## Structure des sanctions
NIS2 introduit des sanctions importantes :
- **Entités essentielles** : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé)
- **Entités importantes** : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires
Les États membres peuvent imposer des sanctions supplémentaires à la direction en cas de non-conformité.
## Ce que cela signifie pour le choix d'outils
Les exigences de NIS2 en matière de sécurité de la chaîne d'approvisionnement affectent spécifiquement la sélection des fournisseurs technologiques. Les organisations soumises à NIS2 doivent évaluer la posture de cybersécurité de leurs fournisseurs et documenter cette évaluation.
Pour les organisations européennes, cela crée une pression pour :
**1. Choisir des fournisseurs avec de solides certifications de cybersécurité.** ISO 27001, SOC 2, BSI C5 ou équivalent. La plupart des grands fournisseurs cloud européens (Hetzner, Scaleway, OVHcloud, Infomaniak) disposent de ces certifications.
**2. Privilégier les fournisseurs résidant dans l'UE.** Les obligations de notification et la coordination de réponse aux incidents NIS2 fonctionnent mieux lorsque les fournisseurs sont soumis à des cadres réglementaires européens. Les fournisseurs américains peuvent se conformer mais nécessitent des mécanismes contractuels supplémentaires.
**3. Documenter l'évaluation des fournisseurs.** NIS2 exige de démontrer que les considérations de cybersécurité sont entrées dans les décisions d'achat, et pas seulement de constater qu'elles l'ont fait.
**4. Pour les fournisseurs d'infrastructure numérique eux-mêmes :** si votre activité est fournisseur cloud, data centre, fournisseur DNS ou réseau de distribution de contenus, vous êtes directement concerné comme entité essentielle.
## Pourquoi NIS2 compte au-delà de la conformité formelle
Même pour les organisations qui n'entrent pas formellement dans son périmètre, NIS2 fixe la base de référence européenne de fait en matière de cybersécurité. Les assureurs s'y réfèrent pour la couverture cyber. Les équipes achats utilisent de plus en plus les catégories NIS2 dans leurs évaluations fournisseurs. Les agences nationales de cybersécurité des États membres utilisent NIS2 comme cadre de référence.
Pour les entreprises européennes planifiant un investissement cybersécurité à long terme, traiter NIS2 comme la base de référence plutôt que comme un simple plafond de conformité est opérationnellement sain.
## État de mise en œuvre (en 2026)
La mise en œuvre a été inégale entre États membres :
- **Mise en œuvre dans les délais** : la plupart des pays nordiques, Allemagne, France
- **Mise en œuvre tardive** : plusieurs États d'Europe du sud et de l'est ont transposé fin 2024 ou 2025
- **Application active** : démarrant généralement en 2025-2026 à mesure que les autorités nationales montent en puissance
La Commission européenne a engagé des procédures d'infraction contre les États membres dont la mise en œuvre est très en retard. Attendez-vous à ce que l'application active de NIS2 soit une histoire majeure de cybersécurité jusqu'en 2026-2027.
## Cadres européens de cybersécurité connexes
NIS2 fait partie d'un paysage juridique européen plus large en matière de cybersécurité :
- **Cyber Resilience Act (CRA)** — couvre la cybersécurité des produits comportant des éléments numériques, en vigueur depuis 2024
- **DORA** — résilience opérationnelle pour les services financiers, en vigueur depuis janvier 2025
- **eIDAS 2.0** — services d'identité numérique et de confiance
- **RGPD** — protection des données, complémentaire mais distinct de la cybersécurité
Pour les organisations naviguant entre plusieurs cadres, cartographier les chevauchements et exigences spécifiques est essentiel. NIS2 fixe la base de cybersécurité ; les régulations sectorielles (DORA, CRA) s'appuient dessus.
Cela vous a-t-il été utile ?
Merci pour votre retour !