Seulement 3 % des entreprises disposent aujourd’hui d’une posture de cybersécurité réellement « mature ». Parallèlement, entre juin 2023 et juillet 2024, l’ENISA a recensé 11 079 incidents de sécurité, révélant une explosion des ransomwares, attaques DDoS et compromissions à grande échelle. Dans ce contexte de pression cyber permanente, la directive NIS 1, adoptée en 2016, a vite montré ses limites : trop ciblée, inégalement appliquée selon les États membres et insuffisamment structurante. C’est précisément pour répondre à cette réalité que la directive NIS 2 a vu le jour. De quoi s’agit-il ? Qui est concerné ? Quelles obligations impose-t-elle ? Et comment s’y conformer ? Vous saurez tout.
Axido est expert depuis plus de 30 ans dans l’accompagnement des entreprises ayant des besoins d’infogérance, de cloud, d’outil collaboratif et de cybersécurité. Nous avons à cœur de vous accompagner de A à Z dans vos démarches de sécurisation IT.
Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 est le nouveau cadre réglementaire européen visant à renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Entrée en vigueur en janvier 2025, elle remplace la directive NIS de 2016, devenue insuffisante face à l’augmentation des cyberattaques et à la transformation numérique accélérée des organisations.
Plus contraignante que son prédécesseur, NIS 2 élargit considérablement son périmètre à de nouveaux secteurs jugés critiques et impose des exigences renforcées en matière de gouvernance de la cybersécurité, de gestion des risques et de notification des incidents. Son objectif est clair : élever durablement le niveau de résilience cyber des entreprises et des services essentiels européens.
NIS 2 ne constitue toutefois pas un texte isolé. Elle s’inscrit dans un ensemble cohérent de réglementations européennes dédiées à la sécurité et à la résilience numériques (RGPD, règlement DORA, directive CER, Cyber Resilience Act…). Ces textes poursuivent un objectif commun : protéger les infrastructures critiques, sécuriser les chaînes d’approvisionnement numériques et renforcer la capacité de réaction collective face aux crises cyber.
NIS vs NIS 2 : ce qui change vraiment
La nouvelle directive NIS 2 marque une rupture nette avec la première directive NIS de 2016. Là où NIS 1 laissait une large marge d’interprétation aux États membres et reposait sur un périmètre limité, NIS 2 instaure par exemple un cadre harmonisé, obligatoire et beaucoup plus ambitieux. Pour les entreprises, il ne s’agit donc pas simplement d’un ajustement réglementaire, mais d’un véritable changement à la fois juridique, organisationnel et opérationnel.
Un élargissement des secteurs et entités concernés
Un élargissement des secteurs et entités concernés
Alors que NIS 1 ne ciblait que quelques secteurs jugés critiques, NIS 2 étend son champ d’application. Désormais, 18 secteurs d’activité sont concernés, incluant les fournisseurs de cloud computing et de services numériques, les moteurs de recherche, les plateformes sociales, l’eau, les déchets, l’agroalimentaire, l’industrie manufacturière, les services publics, les administrations, la recherche, la santé et les laboratoires.
Une nouvelle classification des entités
Une nouvelle classification des entités
Pour clarifier les niveaux d’exigence, NIS 2 introduit une distinction entre deux catégories :
- Essential Entities (EE) : organisations dont l’activité est critique pour la société et l’économie (énergie, santé, infrastructures numériques, administrations, transports…).
- Important Entities (IE) : organisations dont une défaillance aurait un impact significatif, mais moins systémique (services numériques, gestion des déchets, fabrication, agroalimentaire…).
Cette classification détermine alors la nature et l’intensité des contrôles. Les EE font l’objet de contrôles ex-ante, réguliers et proactifs par les autorités compétentes. Les IE sont, quant à elles, contrôlées ex-post, le plus souvent à la suite d’un incident ou d’une alerte.
Un renforcement des obligations de sécurité
Un renforcement des obligations de sécurité
NIS 2 impose un socle de mesures de sécurité beaucoup plus strict et détaillé, applicable de manière uniforme à l’ensemble des entités concernées. Parmi les exigences clés :
- une gestion structurée des risques cyber ;
- des mesures techniques renforcées (chiffrement, MFA, segmentation réseau, journalisation avancée…) ;
- une supervision continue avec des tests de sécurité réguliers ;
- des mesures de gestion des vulnérabilités et des correctifs ;
- la sécurisation de la chaîne d’approvisionnement, incluant filiales, prestataires et fournisseurs cloud opérant dans l’UE ;
- des plans de continuité d’activité et de gestion de crise formalisés.
Ce socle commun met fin aux interprétations hétérogènes observées sous NIS 1.
Une gouvernance renforcée et une responsabilité directe des dirigeants
Une gouvernance renforcée et une responsabilité directe des dirigeants
C’est l’un des changements les plus significatifs de NIS 2. La directive impose désormais une implication formelle de la direction générale. Cela passe par l’obligation de formation des dirigeants à la cybersécurité, un suivi documenté des risques et de la conformité, ainsi qu’une responsabilité personnelle en cas de manquement grave.
En ce sens, la cybersécurité ne peut plus être considérée comme un sujet purement technique délégué à la DSI ou à un prestataire externe. Elle devient un enjeu de gouvernance et de pilotage stratégique, traité au plus haut niveau de l’entreprise.
Des sanctions financières alignées sur le RGPD
Des sanctions financières alignées sur le RGPD
Enfin, NIS 2 introduit un régime de sanctions nettement plus dissuasif, comparable à celui du RGPD. Les amendes peuvent ainsi atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel (le montant le plus élevé étant retenu).
Ces sanctions financières peuvent s’accompagner de mesures administratives strictes : mises en demeure, obligations correctives, suspension d’activité, voire retrait d’autorisation en cas de non-conformité persistante.
Quels sont les principaux objectifs de NIS 2 ?
Renforcer la résilience des infrastructures critiques
Premier objectif de NIS 2 : garantir un niveau élevé de cybersécurité pour les services essentiels au bon fonctionnement de l’économie et de la société. La directive vise ainsi à protéger les infrastructures critiques contre les cyberattaques susceptibles de provoquer des interruptions majeures de service. Concrètement, cela passe par une meilleure anticipation des risques, des mesures de sécurité renforcées et des dispositifs de continuité d’activité capables de limiter l’impact des incidents.
Harmoniser la cybersécurité au niveau européen
NIS 2 cherche également à mettre fin aux disparités nationales observées avec la première directive. En instaurant un socle commun d’exigences, elle harmonise les règles applicables aux organisations dans l’ensemble de l’Union européenne. Cette approche permet de renforcer la sécurité globale du marché intérieur, de sécuriser les chaînes d’approvisionnement transfrontalières et de garantir un niveau de protection homogène.
Améliorer la gestion et la déclaration des incidents de sécurité
Un autre objectif clé de NIS 2 est d’améliorer la détection, la gestion et la remontée des incidents cyber. La directive impose des délais stricts de notification et encourage le partage d’informations entre acteurs publics et privés. Cette meilleure circulation de l’information permet aux autorités et aux entreprises de réagir plus rapidement, de limiter les effets de propagation et de renforcer la capacité de réponse collective face aux attaques majeures.
Responsabiliser les dirigeants et les instances de gouvernance
Enfin, NIS 2 place la responsabilité au plus haut niveau de l’organisation. Les dirigeants et instances de gouvernance doivent désormais piloter activement la stratégie de cybersécurité, comprendre les risques et arbitrer les moyens nécessaires à la protection des systèmes d’information. Cette approche marque un tournant. La cybersécurité devient un enjeu de gouvernance, au même titre que la conformité financière ou juridique.
Qui est concerné par la directive NIS 2 ?
Entités essentielles (EE)
Les Entités Essentielles regroupent les organisations dont les services sont indispensables au fonctionnement de la société et de l’économie. Une interruption, même temporaire, pourrait alors entraîner des conséquences majeures sur la sécurité, l’ordre public ou la continuité des activités essentielles. À ce titre, elles sont soumises au niveau d’exigence le plus élevé et à des contrôles renforcés, souvent ex-ante, par les autorités compétentes.
Secteurs concernés :
- Énergie : électricité, gaz, pétrole, hydrogène
- Transport : aérien, maritime, ferroviaire, routier
- Santé : hôpitaux, laboratoires médicaux, laboratoires pharmaceutiques critiques
- Eau potable et eaux usées : production, distribution, infrastructures d’assainissement
- Banques : établissements de crédit et institutions financières critiques
- Infrastructures des marchés financiers : plateformes de négociation, dépositaires centraux de titres
- Infrastructures numériques : fournisseurs de DNS, centres de données (datacenters)
Entités importantes (EI)
Les Entités Importantes regroupent des organisations jouant un rôle significatif dans l’économie ou la société, mais dont une défaillance aurait un impact important sans être systémique. Elles sont soumises à un régime de supervision plus souple, avec des contrôles principalement ex-post, généralement à la suite d’un incident ou d’un signalement.
Secteurs concernés :
- Services postaux et de messagerie
- Gestion des déchets, y compris les déchets dangereux
- Production et distribution de produits chimiques
- Fabrication, limitée aux sous-secteurs critiques définis par la directive NIS2
- Fournisseurs de services numériques : places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux
- Agroalimentaire
- Fournisseurs de services de cloud computing
- Fournisseurs de centres de données non classés EE
- Recherche, publique ou privée (hors santé essentielle)
- Services de réseaux et de communication non essentiels
- Fabrication et distribution de biens critiques, au sens strict de la NIS 2 directive (équipements médicaux non essentiels, composants industriels critiques, etc.)
Critères d’application de NIS 2
L’assujettissement à NIS 2 ne dépend pas uniquement du secteur d’activité. Plusieurs critères sont pris en compte :
- La taille de l’organisation : par défaut, la directive s’applique aux moyennes et grandes entreprises, soit plus de 10 salariés ou un chiffre d’affaires annuel supérieur à 2 millions d’euros.
- L’impact potentiel d’une interruption de service : une organisation de taille modeste peut être classée comme entité essentielle si son rôle est jugé critique.
- La place dans la chaîne d’approvisionnement : les prestataires IT, fournisseurs cloud, infogéreurs ou éditeurs peuvent être concernés indirectement s’ils contribuent à des services critiques.
Autrement dit, ce n’est pas seulement la taille qui compte, mais l’importance de l’organisation dans l’écosystème numérique et économique. C’est pourquoi un diagnostic préalable est essentiel. Axido accompagne les entreprises avec des diagnostics rapides pour évaluer leur exposition à NIS 2, analyser leur niveau de risque et définir les actions prioritaires, de l’audit de sécurité informatique aux scans réguliers de vulnérabilités.
Quelles sont les nouvelles obligations imposées par NIS 2 ?
Gouvernance et responsabilité des dirigeants
C’est l’une des évolutions majeures de la directive.
- Obligation de formation des dirigeants : Les dirigeants doivent être formés à la cybersécurité afin de comprendre les risques, arbitrer les ressources et superviser efficacement la stratégie cyber.
- Responsabilité personnelle : En cas de non-respect grave des obligations NIS 2, les dirigeants peuvent voir leur responsabilité personnelle engagée, notamment en cas de défaut de supervision, d’absence de mesures organisationnelles ou de carence manifeste dans la gestion des risques.
- Documentation et pilotage stratégique : Les entités doivent documenter leur politique de sécurité, leur gouvernance, leurs processus de gestion des incidents et leurs décisions stratégiques en matière de cybersécurité. Cette documentation sert de preuve en cas de contrôle ou d’incident.
Au cœur de NIS 2, la gouvernance exige également la désignation d’un référent cybersécurité, la mise en place d’un comité de pilotage et le déploiement d’une approche structurée de gestion des risques.
Socle obligatoire de mesures de sécurité
NIS 2 impose un ensemble de mesures couvrant l’ensemble du cycle de vie de la sécurité :
- Audit, supervision et contrôle : les organisations doivent produire des rapports périodiques sur leur niveau de sécurité, détaillant les risques identifiés, les mesures déployées et les résultats d’audits internes ou externes. Des audits de conformité, idéalement réalisés par un tiers indépendant, permettent de valider l’efficacité des dispositifs et la bonne application de la directive.
- Prévention, détection et réponse aux incidents : les entités doivent mettre en place des dispositifs de prévention (gestion des vulnérabilités, mises à jour, contrôles d’accès), de détection rapide des incidents (journalisation, supervision, outils de sécurité) et de réponse structurée pour limiter l’impact des attaques.
- Continuité des activités et résilience : NIS 2 impose également la formalisation de plans de continuité et de reprise d’activité (PCA/PRA), afin d’assurer la résilience des services critiques en cas d’incident majeur.
Sécurité de la chaîne d’approvisionnement et gestion des tiers
La directive étend explicitement les obligations de cybersécurité à la chaîne d’approvisionnement. Les organisations doivent ainsi s’assurer que leurs fournisseurs et sous-traitants (cloud, infogérance, éditeurs de solutions numériques…) appliquent des mesures de sécurité adaptées. Cela implique une évaluation des risques tiers, l’intégration de clauses contractuelles de cybersécurité et une surveillance continue des prestataires critiques.
Obligation de notification des incidents
Enfin, NIS 2 instaure un cadre de notification strict, avec des délais contraignants et une procédure en plusieurs étapes :
- Alerte préliminaire (sous 24 heures) : Notification de l’incident significatif à l’autorité compétente, avec une première évaluation de l’origine et de l’impact potentiel.
- Notification détaillée (sous 72 heures) : Transmission d’informations complémentaires comme les systèmes affectés, la propagation, les premières mesures correctives.
- Rapport final (sous 1 mois) : Analyse approfondie de l’incident, mesures correctives, actions de remédiation et plans de prévention.
- Communication aux utilisateurs (si nécessaire) : Lorsque l’incident est susceptible d’affecter les données ou les services fournis aux usagers.
La directive insiste sur l’analyse post-incident pour en tirer des enseignements et améliorer les processus internes. Les équipes doivent disposer d’outils de détection de vulnérabilités et de journaux d’audit centralisés pour accélérer la remédiation et limiter la surface d’exposition aux attaques.
Quelles sanctions en cas de non-conformité à NIS 2 ?
Une responsabilité directe des dirigeants
NIS 2 marque un tournant majeur en matière de gouvernance. Les dirigeants ne peuvent plus déléguer entièrement la cybersécurité aux équipes techniques ou à des prestataires externes. Au contraire, ils ont l’obligation de se former aux enjeux de la cybersécurité, de superviser activement la stratégie de gestion des risques et de garantir l’allocation des ressources nécessaires à la conformité.
En cas de manquement grave, leur responsabilité personnelle peut être engagée, notamment pour défaut de supervision, absence de mesures organisationnelles ou négligence avérée.
Des sanctions financières alignées sur le RGPD
Sur le plan financier, NIS 2 adopte une logique comparable à celle du RGPD, avec des amendes dissuasives :
- Entités Essentielles (EE) : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel.
- Entités Importantes (EI) : jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel.
Dans tous les cas, le montant le plus élevé est retenu, ce qui renforce considérablement la portée dissuasive du dispositif.
Des mesures administratives renforcées
Au-delà des amendes, les autorités compétentes disposent d’un large éventail de mesures administratives pour faire respecter la directive : mises en demeure, injonctions de mise en conformité, obligations de déployer des mesures correctives dans des délais imposés, suspension temporaire d’activité, voire retrait d’autorisation dans les cas les plus graves.
Pour les Entités Essentielles, soumises à une supervision ex-ante, ces mesures peuvent être appliquées même en l’absence d’incident, dès lors que des failles ou insuffisances sont constatées.
Des risques indirects souvent sous-estimés
Enfin, les conséquences d’une non-conformité à NIS 2 ne se limitent pas aux sanctions réglementaires. Elles peuvent également entraîner des risques indirects majeurs :
- atteinte à la réputation de l’entreprise,
- perte de confiance des clients et partenaires,
- interruptions de service et atteinte à la continuité d’activité,
- fragilisation des relations contractuelles, notamment avec les donneurs d’ordre soumis à NIS 2.
Se conformer à la directive NIS 2, c’est donc bien plus qu’éviter une sanction. C’est protéger durablement son activité, sa crédibilité et la confiance de son écosystème.
Comment se mettre en conformité avec NIS 2 ?
Étape 1 : évaluer le périmètre d’application NIS 2
Étape 1 : évaluer le périmètre d’application NIS 2
La première étape consiste à déterminer si votre organisation relève d’une Entité Essentielle (EE) ou d’une Entité Importante (EI). Pour cause, cette qualification conditionne le niveau d’exigence, les obligations de sécurité et la nature des contrôles auxquels vous serez soumis.
Étape 2 : identifier les risques et actifs critiques
Étape 2 : identifier les risques et actifs critiques
Cette phase repose sur une cartographie des actifs (applications, infrastructures, données…) et l’identification de leurs dépendances critiques. Ce travail préliminaire constitue le socle de l’analyse des risques et du périmètre de conformité.
Pour cause, vient ensuite le diagnostic de maturité cyber ou gap analysis. Ce dernier mesure l’écart entre vos pratiques actuelles et les exigences NIS 2 : gestion des risques, gouvernance, supervision, chaîne d’approvisionnement, documentation.
Étape 3 : structurer une gouvernance cybersécurité
Étape 3 : structurer une gouvernance cybersécurité
NIS 2 impose une implication directe de la direction. Il est donc nécessaire de formaliser une gouvernance claire : définition des rôles et responsabilités, pilotage centralisé de la cybersécurité, mise en place d’un comité de sécurité, reporting régulier et supervision stratégique des risques cyber. La cybersécurité devient ainsi un sujet de gouvernance à part entière.
Étape 4 : déployer des mesures de sécurité adaptées
Étape 4 : déployer des mesures de sécurité adaptées
La directive impose un ensemble de mesures techniques et organisationnelles obligatoires, parmi lesquelles : authentification multifacteur (MFA), segmentation réseau, journalisation avancée, gestion des vulnérabilités et correctifs, chiffrement, contrôle des accès, mises à jour régulières des systèmes…
Elle exige également de renforcer les mesures de détection et de réponse aux incidents : plan de réponse aux incidents, PCA/PRA, supervision continue (SOC, EDR, SIEM), procédures d’escalade et de remontée interne. Ces dispositifs sont indispensables pour respecter les délais de notification (24h, 72h, 1 mois).
Enfin, les prestataires et fournisseurs critiques doivent, eux aussi, être intégrés au sein du dispositif : évaluation des risques tiers, clauses contractuelles de cybersécurité, audits réguliers, suivi des dépendances et surveillance continue des acteurs sensibles (cloud, infogérance, éditeurs logiciels).
Étape 5 : préparer la documentation réglementaire
Étape 5 : préparer la documentation réglementaire
NIS 2 repose sur un principe de « responsabilité démontrable ». Autrement dit, les organisations doivent être en mesure de prouver leur conformité à tout moment. Cela implique de documenter les politiques de sécurité, les analyses de risques, les procédures de gestion des incidents, les plans de continuité et de reprise d’activité, les preuves d’audit, de contrôle et de supervision… Cette documentation est essentielle en cas de contrôle par les autorités compétentes.
Étape 6 : sensibiliser les équipes et former les dirigeants
Étape 6 : sensibiliser les équipes et former les dirigeants
La conformité NIS 2 repose aussi sur le facteur humain. Les collaborateurs doivent être sensibilisés aux bonnes pratiques cyber (mots de passe, phishing, gestion des données, posture sécuritaire…). Les dirigeants, quant à eux, étant légalement responsables, leur formation aux enjeux cyber est obligatoire.
Étape 7 : s’inscrire dans une démarche d’amélioration continue
Étape 7 : s’inscrire dans une démarche d’amélioration continue
Enfin, NIS 2 n’est pas un objectif figé. La cybersécurité doit s’inscrire dans une dynamique d’amélioration continue : suivi régulier des risques, audits périodiques, tests de sécurité, mises à jour des procédures et adaptation constante aux nouvelles menaces.
Quel est le calendrier d’application de NIS 2 ?
La directive NIS 2 est entrée en vigueur au niveau européen en janvier 2025. À compter de cette date, elle constituait le nouveau cadre de référence en matière de cybersécurité pour les entités essentielles et importantes opérant au sein de l’Union européenne.
Cependant, comme toute directive européenne, NIS 2 doit être transposée en droit national par chaque État membre pour devenir pleinement applicable et opposable aux organisations concernées. En France, la transposition de la directive a démarré par une phase de préparation du projet de loi, présenté en Conseil des Ministres le 15 octobre 2024. La transposition se poursuit aujourd’hui avec la phase de production des décrets et arrêtés. NIS 2 entrera en vigueur en France dès lors que l’ensemble des textes de transposition auront été promulgués.
Attention, cette phase de transposition ne constitue pas un délai de grâce. Les entreprises concernées doivent d’ores et déjà anticiper leur mise en conformité. Pour cause, les entreprises qui anticipent aujourd’hui seront celles qui subiront le moins de contraintes demain.
NIS 2, conclusion
La directive NIS 2 marque un changement majeur. Pour cause, la cybersécurité devient une obligation réglementaire structurante pour un nombre croissant d’entreprises européennes. Périmètre élargi, exigences renforcées, gouvernance impliquant directement les dirigeants et sanctions dissuasives… NIS 2 impose de passer d’une approche ponctuelle à une véritable stratégie de résilience du système d’information.
C’est précisément là qu’Axido peut vous accompagner. Nos équipes vous aident à évaluer votre exposition à NIS 2, réaliser un audit de cybersécurité, structurer votre gouvernance sécurité et déployer les mesures clés exigées par la directive.
Vous souhaitez rester en conformité avec NIS 2 et renforcer la cybersécurité de votre SI ? Contactez Axido dès maintenant.
FAQ
Qu’est-ce que la directive NIS 2 (définition) ?
Qu’est-ce que la directive NIS 2 (définition) ?
La directive NIS 2 est une réglementation européenne visant à renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle remplace la directive NIS de 2016 et impose des exigences plus strictes en matière de gouvernance, de gestion des risques cyber, de sécurité des systèmes d’information et de notification des incidents. Son objectif ? Élever durablement le niveau de résilience des entreprises et des services essentiels face aux cybermenaces.
Pourquoi la directive NIS 2 a-t-elle été mise en place ?
Pourquoi la directive NIS 2 a-t-elle été mise en place ?
La directive NIS 2 a été adoptée pour répondre à la hausse continue des cyberattaques et aux limites de la première directive NIS. Le cadre précédent était, en effet, jugé trop restreint et inégalement appliqué selon les États membres. NIS 2 vise donc à harmoniser les règles de cybersécurité en Europe, à élargir le nombre d’organisations concernées et à renforcer la responsabilité des dirigeants, afin de mieux protéger les infrastructures critiques et les chaînes d’approvisionnement numériques.
Quand la directive NIS 2 sera-t-elle effective ?
Quand la directive NIS 2 sera-t-elle effective ?
La directive NIS 2 est entrée en vigueur au niveau européen en janvier 2025. Elle devient toutefois pleinement applicable dans chaque pays après sa transposition en droit national. En France, cette transposition est en cours via une loi et des textes réglementaires (décrets, arrêtés). Les entreprises concernées sont néanmoins invitées à anticiper dès maintenant leur mise en conformité. Pourquoi ? Car les exigences de fond de NIS 2 sont déjà connues et seront appliquées par les autorités compétentes.
