Directive NIS 2

Comprendre la directive NIS 2

La directive NIS 2 est une directive européenne relative à la sécurité des réseaux et des systèmes d’information. Elle succède à la directive NIS 1, jugée insuffisante car trop hétérogène entre États membres et limitée dans son champ d’application.

Avec NIS 2, l’Union européenne souhaite un cadre plus uniforme, plus exigeant et plus opérationnel. La logique est claire : les organisations qui fournissent un service essentiel ou critique doivent prouver qu’elles disposent d’un niveau de sécurité adapté et qu’elles sont capables de résister, détecter, réagir et se rétablir en cas d’incident cyber.

Ce que NIS 2 change par rapport à NIS 1

Sans entrer dans tous les détails, NIS 2 apporte trois évolutions majeures :

• Un périmètre beaucoup plus large : plus de secteurs concernés et davantage d’acteurs soumis.
• Des obligations plus détaillées : un socle commun de mesures de cybersécurité attendues.
• Un cadre de supervision et de sanctions renforcé : contrôles, injonctions, amendes, responsabilité des dirigeants.

Quels sont les objectifs de la directive NIS 2 ?

NIS 2 poursuit plusieurs objectifs structurants, qui expliquent pourquoi elle prend une place centrale dans la conformité cyber des organisations :

• Harmoniser les exigences de cybersécurité dans tous les États membres, pour limiter les écarts de maturité.
• Améliorer la résilience des secteurs critiques : continuité des services, robustesse des systèmes, capacité de reprise.
• Réduire le risque “chaîne de sous-traitance” : une attaque via un prestataire peut être aussi impactante qu’une attaque directe.
• Renforcer la gestion des incidents : anticipation, détection, notification, traitement, retour d’expérience.
• Responsabiliser la gouvernance : la sécurité n’est plus “un sujet IT”, c’est un sujet de direction.

Qui est concerné par NIS 2 ?

NIS 2 élargit fortement le nombre d’organisations concernées. On distingue deux grandes catégories :

• les entités essentielles, dont l’activité est critique pour le fonctionnement du pays / de l’économie ;
• les entités importantes, dont les services sont critiques mais à un niveau de priorité différent.

Ces catégories couvrent notamment des secteurs comme l’énergie, les transports, la santé, l’eau, les infrastructures numériques, la finance, mais aussi des domaines élargis : administrations publiques, collectivités, certains industriels, plateformes numériques, etc.

Dans la majorité des cas, l’assujettissement dépend aussi de la taille (PME / ETI / grands groupes). Mais attention : certaines structures plus petites peuvent être concernées si elles jouent un rôle jugé stratégique.

Pour identifier précisément votre situation, consultez notre page dédiée : NIS 2 : Qui est concerné ?

Quelles obligations impose la directive NIS 2 ?

La directive NIS 2 impose des obligations concrètes de gestion des risques et de mesures de cybersécurité. Elle impose une logique de conformité dans la durée : il ne s’agit pas de “faire un audit” puis d’en rester là, mais de structurer une démarche robuste, traçable et pilotée.

Mesures de cybersécurité attendues

Les organisations concernées doivent notamment être capables de :

• formaliser une politique de sécurité (gouvernance, responsabilités, procédures) ;
• déployer une démarche de gestion des risques cyber ;
• maîtriser la sécurité des accès, des identités et des données ;
• renforcer les capacités de détection et de réponse aux incidents ;
• organiser la continuité d’activité et la reprise après incident ;
• mettre en place des actions de formation et sensibilisation adaptées.

Gestion et notification des incidents

NIS 2 renforce également les exigences en matière de notification : lorsqu’un incident est significatif, l’organisation doit pouvoir :

• détecter l’incident rapidement,
• le qualifier (impact, périmètre, cause probable),
• notifier l’autorité compétente dans les délais,
• suivre avec des rapports complémentaires.

Cette obligation implique des procédures claires, un pilotage interne bien identifié, et des équipes formées.

Chaîne de sous-traitance : l’un des plus grands changements

NIS 2 introduit une attente forte sur la sécurisation des prestataires et sous-traitants (notamment IT, cloud, infogérance, services managés…). Concrètement, les entités doivent mieux évaluer les risques tiers, intégrer des exigences contractuelles, et organiser le suivi des mesures de sécurité.

Pour approfondir ce point : Quelles obligations NIS 2 concernant les prestataires et sous-traitants ?

Quelles sanctions en cas de non-respect ?

La directive NIS 2 met en place un régime de sanctions dissuasif, avec :

• des contrôles et injonctions par l’autorité compétente,
• des amendes potentiellement élevées selon le type d’entité,
• et une notion importante : la responsabilité de la direction (NIS 2 implique clairement le top management dans la conformité).

Au-delà de l’amende, le risque principal est souvent opérationnel : incident majeur, arrêt de service, atteinte à l’image, rupture de confiance avec les clients / usagers / partenaires.

Pour connaître le niveau d’exposition : Quelles sanctions sont prévues en cas de non-respect de NIS 2 ?

Comment se mettre en conformité NIS 2 ?

La conformité NIS 2 ne se résume pas à une checklist. C’est une trajectoire structurée, à piloter comme un projet stratégique.

Voici une méthode simple en 5 étapes :

1. Confirmer l’assujettissement (secteur, taille, rôle critique)
2. Cartographier le SI et les actifs critiques (données, services, dépendances)
3. Évaluer les risques et les écarts de maturité (gap analysis)
4. Définir un plan d’action priorisé (sécurité + organisation + supply chain)
5. Former et maintenir la démarche (tests, exercices, amélioration continue)

La continuité d’activité est un pilier de cette démarche : NIS 2 attend une organisation capable d’assurer la résilience de ses activités essentielles.

Ressource utile : Plan de continuité d’activité (PCA) : comprendre son rôle et comment le mettre en place ?

Formation NIS 2 : pourquoi se former et pour qui ?

La directive NIS 2 transforme la cybersécurité en sujet de gouvernance et de conformité. Se former permet de :

• comprendre les exigences réelles (au-delà des interprétations floues),
• savoir structurer une démarche adaptée à son organisation,
• maîtriser les obligations incident / notification,
• sécuriser la relation prestataires,
• éviter les erreurs de pilotage (fréquentes lors des changements réglementaires).

Les formations NIS 2 s’adressent notamment :

• aux dirigeants, DSI, RSSI et responsables SI ;
• aux responsables conformité / gestion des risques ;
• aux équipes impliquées dans la continuité (PCA/PRA) et la gestion de crise ;
• aux prestataires IT qui accompagnent des entités concernées.

Sur oùFormer, vous pouvez comparer les programmes proposés par plusieurs organismes et réserver une session adaptée à vos besoins (inter, intra, sur mesure).

FAQ – Directive NIS 2

NIS 2 s’applique-t-elle déjà en France ?

NIS 2 est “en vigueur” au niveau européen, mais sa mise en œuvre concrète dépend encore de la transposition en France. Pour les organisations concernées, la meilleure stratégie consiste à se préparer dès aujourd’hui, notamment via la formation et la mise à niveau des dispositifs de cybersécurité.

Comment savoir si mon entreprise est concernée par NIS 2 ?

Le périmètre NIS 2 repose sur une logique secteur + criticité + taille. Les organisations des secteurs critiques sont classées en entités essentielles ou entités importantes. Dans la majorité des cas, les structures au-delà d’un certain seuil (taille/CA) sont incluses. Mais attention : certaines entités peuvent être concernées même sans atteindre ces seuils si leur activité est jugée stratégique.

Pour une analyse précise, voir : NIS 2 : Qui est concerné ?

Qu’est-ce qu’une “entité essentielle” et une “entité importante” ?

NIS 2 distingue deux niveaux de criticité :

• Entités essentielles : celles dont l’activité est vitale pour la société/l’économie (ex : énergie, santé, transport, infrastructures numériques…).
• Entités importantes : organisations critiques mais avec un niveau de supervision différent (ex : certains industriels, services numériques, gestion des déchets…).

Ce classement a des impacts concrets : niveau de contrôle, intensité des exigences, et plafonds de sanctions. En pratique, il faut surtout retenir que NIS 2 impose une conformité structurée pour les deux catégories, même si le régime de supervision n’est pas identique.

Les entreprises concernées par NIS 2 seront-elles notifiées ?

Non. La mise en conformité repose surtout sur une logique d’auto-identification et d’enregistrement auprès de l’ANSSI. Il est donc recommandé de ne pas attendre une notification officielle pour se préparer.

Voir plus