Avec la hausse continue des cyberattaques en Europe et la dépendance croissante aux services numériques et aux services TIC, la sécurité informatique est devenue un enjeu majeur. Or, la précédente directive NIS (2016) a très vite montré ses limites… C’est pourquoi la directive NIS 2, adoptée par le Parlement européen et applicable depuis octobre 2024, est venue renforcer le cadre européen et le règlement existant. Elle élargit le nombre d’entités concernées, impose des exigences plus strictes en matière de gouvernance, de gestion des risques et de mesures préventives, et durcit les procédures de notification des incidents. L’objectif ? Harmoniser les pratiques de cybersécurité au sein de l’UE et garantir un niveau de résilience élevé pour toutes les organisations essentielles au bon fonctionnement économique et sociétal.
Axido est expert depuis plus de 30 ans dans l’accompagnement des entreprises ayant des besoins d’infogérance, de cloud, d’outil collaboratif et de cybersécurité. Nous avons à cœur de vous accompagner de A à Z dans vos démarches de sécurisation IT.
Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 est le nouveau cadre réglementaire européen destiné à renforcer la sécurité des réseaux et des systèmes d’information. Elle remplace la première directive NIS de 2016, jugée insuffisante face à l’augmentation des cyberattaques et aux profondes transformations numériques de ces dernières années. Son rôle ? Renforcer la résilience des secteurs économiques et publics essentiels, tout en harmonisant les exigences de cybersécurité entre les États membres.
La directive poursuit ainsi trois objectifs prioritaires :
- Élargir le périmètre des organisations couvertes, y compris les acteurs fournissant des services depuis des pays tiers vers le marché intérieur ;
- Harmoniser les obligations au niveau européen, avec un socle commun de mesures ;
- Durcir les exigences de gouvernance, de gestion des risques et de notification des incidents, ainsi que les conséquences en cas de non conformité.
NIS 2 s’inscrit dans un ensemble plus large de régulations européennes : Cyber Resilience Act, DORA, directive CER… Tous ensemble, ils forment un socle commun destiné à protéger les infrastructures critiques, sécuriser les chaînes d’approvisionnement numériques et améliorer la capacité de réaction collective en cas de crise cyber.
NIS vs NIS 2 : ce qui change vraiment
La directive NIS 2 marque une rupture nette avec la première directive NIS de 2016. Alors que NIS laissait une grande marge d’interprétation aux États membres et reposait sur un périmètre relativement restreint, NIS 2 impose désormais un cadre harmonisé, obligatoire et beaucoup plus ambitieux. Pour les entreprises, cela représente un véritable changement de paradigme, autant juridique qu’opérationnel.
Un élargissement massif des secteurs et des entités concernées
Un élargissement massif des secteurs et des entités concernées
Là où NIS ne ciblait que quelques secteurs jugés critiques (énergie, transport, santé, finance…), NIS 2 étend considérablement son champ d’application. Désormais, 18 secteurs d’activité sont concernés, dont les fournisseurs d’informatique en nuage, les services numériques (places de marché, moteurs de recherche en ligne, plateformes sociales), l’eau, les déchets, l’agroalimentaire, l’industrie manufacturière, les services publics et les administrations, la recherche, la santé, les laboratoires…
De nombreuses activités, autrefois perçues comme périphériques, sont désormais considérées comme essentielles au fonctionnement économique et sociétal.
Une nouvelle classification, Essential Entities (EE) vs Important Entities (IE)
Une nouvelle classification, Essential Entities (EE) vs Important Entities (IE)
Pour clarifier le niveau d’exigence, NIS 2 introduit une distinction structurante :
- Essential Entities (EE) : acteurs dont l’activité est critique pour la société et l’économie (énergie, santé, infrastructures numériques, administrations, transports…).
- Important Entities (IE) : organisations dont une défaillance aurait un impact significatif mais moins systémique (services numériques, déchets, fabrication, agroalimentaire…).
Cette classification détermine la nature et l’intensité des contrôles. Les EE sont soumises à des contrôles ex-ante, réguliers et proactifs de la part des autorités compétentes en vertu de la directive. Les IE sont contrôlées ex-post, généralement après incident ou alerte.
Un renforcement global des obligations de cybersécurité
Un renforcement global des obligations de cybersécurité
NIS 2 impose un socle de mesures de sécurité beaucoup plus strict et détaillé, incluant notamment :
- gestion structurée des risques en matière de cybersécurité ;
- chiffrement, MFA, segmentation réseau, journalisation avancée ;
- supervision continue, détection des incidents, tests de sécurité ;
- mesures de gestion des vulnérabilités et correctifs ;
- sécurisation de la chaîne d’approvisionnement et des prestataires, y compris les filiales et fournisseurs cloud fournissant des services dans l’UE ;
- plan de continuité d’activité et gestion de crise.
Ce socle s’applique uniformément, mettant fin aux interprétations variables de NIS 1.
Une gouvernance renforcée et une responsabilité directe des dirigeants
Une gouvernance renforcée et une responsabilité directe des dirigeants
C’est l’un des changements les plus significatifs. NIS 2 impose désormais une implication formelle de la direction générale. Cela implique une obligation de formation des dirigeants à la cybersécurité, un suivi documenté des risques et de la conformité, ainsi qu’une responsabilité personnelle en cas de manquement grave.
Autrement dit, la cybersécurité n’est plus une simple prestation technique confiée à la DSI ou à une agence externe. Elle devient un sujet de gouvernance, de conseil stratégique et de pilotage au plus haut niveau.
Des obligations de reporting beaucoup plus strictes
Des obligations de reporting beaucoup plus strictes
NIS 2 impose un cadre de notification précis en cas d’incident significatif :
- 24 heures : alerte préliminaire ;
- 72 heures : notification détaillée ;
- 1 mois : rapport final.
Ce dispositif vise à améliorer la réactivité et la coopération entre États membres, via le réseau des CSIRT et le groupe de coopération. Mais cela impose aussi une organisation interne solide pour détecter, qualifier et remonter les incidents dans les délais, sans retard injustifié.
Des sanctions financières alignées sur le RGPD
Des sanctions financières alignées sur le RGPD
Le régime de sanctions est désormais comparable à celui du RGPD, soit jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel (selon le montant le plus élevé). Ces sanctions peuvent s’accompagner de mesures administratives strictes : mises en demeure, suspension d’activité, voire retrait d’autorisation en cas de non conformité persistante. Les États membres prévoient des mécanismes de contrôle afin de s’assurer que les entités respectent leurs obligations en vertu de la directive.
Une mise en conformité étendue
Une mise en conformité étendue
L’un des principaux défauts de NIS 1 était son interprétation fluctuante selon les États membres. Avec NIS 2 :
- les règles sont harmonisées au niveau européen ;
- le périmètre des entités est défini de manière automatique (critères de taille et de secteur) ;
- la conformité n’est plus une recommandation mais une obligation réglementaire.
La logique ? Mettre fin au volontariat, aux zones grises et aux disparités nationales qui affaiblissaient la résilience globale de l’Union.
Qui est concerné par la directive NIS 2 ?
La directive NIS 2 élargit considérablement son périmètre pour couvrir toutes les organisations dont la défaillance pourrait perturber le fonctionnement économique, sociétal ou institutionnel de l’Union européenne. Elle introduit une classification en deux catégories — Entités Essentielles (EE) et Entités Importantes (EI) — afin d’adopter un niveau élevé et adapté de supervision et de contrôle.
Les entités essentielles (EE)
Les Entités Essentielles regroupent les organisations dont les services sont indispensables au fonctionnement de la société. Leur interruption pourrait provoquer des impacts majeurs sur la sécurité, l’ordre public ou la continuité des activités essentielles. Elles sont soumises au niveau d’exigence et de contrôle le plus élevé.
Secteurs concernés :
- Énergie (électricité, gaz, pétrole, hydrogène…)
- Transport (aérien, maritime, ferroviaire, routier)
- Santé (hôpitaux, laboratoires médicaux, laboratoires pharmaceutiques critiques)
- Eau potable et eaux usées (production et distribution d’eau potable, infrastructures d’assainissement)
- Banques (établissements de crédit, institutions financières critiques au sens de la réglementation européenne)
- Infrastructures des marchés financiers (plateformes de négociation, dépositaires centraux de titres…)
- Infrastructures numériques (fournisseurs de DNS, datacenters…)
Les entités importantes (EI)
Les Entités Importantes regroupent les organisations ayant un rôle substantiel dans l’économie ou la société, mais dont une interruption aurait un impact significatif plutôt que systémique. Leur niveau de supervision est plus souple, avec des contrôles principalement ex-post.
Secteurs concernés :
- Services postaux et de messagerie
- Gestion des déchets (inclut déchets dangereux)
- Production et distribution de produits chimiques
- Fabrication (seulement les sous-secteurs critiques définis dans la directive)
- Fournisseurs de services numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux)
- Agroalimentaire
- Fournisseurs de services de cloud computing
- Fournisseurs de services de centres de données (datacenters non classés EE)
- Recherche (organismes publics ou privés hors santé essentielle)
- Fournisseurs de services de réseaux de distribution (télécoms et services de communication non essentiels)
- Fabrication et distribution de biens critiques (au sens strict listé par la directive : équipements médicaux non essentiels, composants industriels critiques, etc.)
Les critères d’application de NIS 2
L’inclusion d’une organisation dans le périmètre NIS 2 ne dépend pas uniquement de son secteur : plusieurs critères déterminent son assujettissement.
Pour commencer, la taille de l’entreprise. Par défaut, NIS 2 s’applique à toutes les moyennes et grandes entreprises du secteur concerné, selon la définition européenne (effectifs, chiffre d’affaires, bilan). Cela permet un périmètre automatique, plus clair et plus homogène qu’avec NIS 1.
Pour les autres structures, tout dépend du niveau d’importance systémique. Une organisation peut être classée « essentielle » même si sa taille est modeste. Ainsi, certaines petites structures peuvent être intégrées dans le champ NIS 2 si leur activité est particulièrement sensible.
Autrement dit, ce n’est pas seulement la taille qui compte, mais l’importance réelle de l’organisation dans l’écosystème numérique et économique.
Quelles sont les nouvelles obligations imposées par NIS 2 ?
La directive NIS 2 renforce les exigences imposées aux organisations, qu’elles soient classées entités essentielles (EE) ou importantes (EI). Ces obligations couvrent à la fois les mesures techniques, la gouvernance interne, la gestion des fournisseurs, la réponse aux incidents et les audits réglementaires. L’objectif ? Garantir un niveau de cybersécurité élevé, homogène et démontrable dans toute l’Union européenne.
Un socle obligatoire de mesures de cybersécurité
NIS 2 impose un ensemble de mesures minimales que toutes les entités concernées doivent mettre en œuvre, qu’elles soient déjà matures ou non :
- Évaluation et gestion des risques : Les organisations doivent établir une démarche formalisée de gestion des risques incluant identification et analyse des menaces, évaluation de l’impact potentiel sur les activités, priorisation des risques critiques et politiques de sécurité documentées.
- Sécurité des réseaux et des systèmes : La protection des infrastructures réseaux doit être renforcée via le contrôle des accès, la segmentation réseau, des mécanismes d’authentification forte (MFA), la journalisation et la surveillance renforcée, le chiffrement des données sensibles, la mise à jour régulière des systèmes.
- Sécurité de la chaîne d’approvisionnement : Les organisations doivent s’assurer que leurs fournisseurs et sous-traitants (cloud, infogérance, solutions numériques…) appliquent des mesures de sécurité adéquates. Cela implique une évaluation des risques tiers, des clauses contractuelles de cybersécurité ainsi qu’une surveillance continue des prestataires critiques.
Audit, supervision et contrôle
NIS 2 introduit un régime de supervision différencié selon la catégorie de l’entité :
- Contrôles ex-ante pour les entités essentielles (EE) : Les autorités peuvent mener des audits programmés, imposer des tests de sécurité, vérifier la conformité documentaire, exiger la mise en œuvre de mesures correctives.
- Contrôles ex-post pour les entités importantes (EI) : Les contrôles interviennent principalement après un incident majeur, en cas de suspicion de non-conformité ou suite à un signalement externe.
Cette approche proportionnée réduit la pression administrative tout en garantissant un niveau de sécurité suffisant.
Prévention, détection et réponse aux incidents
Les organisations doivent mettre en place :
- des outils de détection avancée (EDR, SIEM, SOC),
- des procédures internes de gestion d’incident,
- une organisation dédiée (équipe de réponse, rôles, responsabilités),
- des exercices réguliers (tests de crise, simulations d’attaque).
Continuité des activités et gestion de crise
NIS 2 impose également :
- un plan de continuité d’activité (PCA),
- un plan de reprise après sinistre (PRA),
- des scénarios de gestion de crise,
- la capacité à maintenir les services essentiels, même en cas d’incident majeur.
Gouvernance et responsabilité des dirigeants
C’est l’une des évolutions majeures de la directive :
- Obligations de formation : Les dirigeants doivent être formés à la cybersécurité afin de comprendre les risques, arbitrer les ressources et superviser efficacement la stratégie cyber.
- Responsabilité personnelle : En cas de non-respect grave, les dirigeants peuvent être tenus personnellement responsables, notamment pour défaut de supervision ou absence de mesures organisationnelles suffisantes.
- Documentation et pilotage stratégique : Les entités doivent documenter leur politique de sécurité, leur gouvernance, leurs processus de gestion des incidents, leurs décisions stratégiques en matière de cybersécurité. Cette documentation sert de preuve en cas de contrôle ou d’incident.
Obligations de notification des incidents de sécurité
NIS 2 impose un cadre de notification strict, avec une procédure en 4 étapes :
- Alerte préliminaire (sous 24 heures) : Notification de l’incident significatif à l’autorité compétente. Indication préliminaire de l’origine et de l’impact potentiel.
- Notification détaillée (sous 72 heures) : Informations complémentaires sur l’analyse, les systèmes affectés, la propagation et les premières mesures prises.
- Rapport final (sous 1 mois) : Analyse approfondie de l’incident, mesures correctives, actions de remédiation et plans de prévention.
- Communication aux utilisateurs (si nécessaire) : Lorsque l’incident est susceptible d’affecter les données ou services des usagers.
Ces délais très serrés imposent une organisation interne robuste, capable de détecter rapidement, qualifier et remonter les incidents.
Sanctions, contrôles et responsabilités
La directive NIS 2 instaure un cadre de sanctions nettement plus strict que son prédécesseur. L’objectif ? Garantir une mise en conformité réelle et homogène dans toute l’Union européenne.
Sur le plan financier, NIS 2 s’aligne sur la logique du RGPD, avec des amendes particulièrement dissuasives. Les entités essentielles (EE) s’exposent à des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, tandis que les entités importantes (EI) peuvent être sanctionnées jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial. Le montant le plus élevé est systématiquement retenu, ce qui renforce la portée dissuasive du dispositif.
Au-delà des amendes, les autorités peuvent imposer une large gamme de mesures administratives : mise en demeure, obligation de mettre en œuvre des mesures correctives, audits obligatoires, voire suspension temporaire ou retrait d’autorisation pour les cas les plus graves. Pour les entités essentielles, soumises à une supervision ex-ante, ces mesures peuvent intervenir même en l’absence d’incident, dès lors que des failles ou insuffisances sont constatées.
La directive marque également un tournant en matière de gouvernance, en prévoyant une responsabilité personnelle des dirigeants. Ceux-ci doivent être formés à la cybersécurité, superviser activement la stratégie de gestion des risques et garantir l’allocation des ressources nécessaires. En cas de manquement grave, leur responsabilité individuelle pourra être engagée.
Comment se préparer à la directive NIS 2 ?
1. Évaluer votre périmètre d’application
1. Évaluer votre périmètre d’application
La première étape consiste à identifier si votre organisation relève d’une entité essentielle (EE) ou importante (EI). Définir précisément votre périmètre NIS 2 permet de clarifier vos obligations et de prioriser les actions à mener.
2. Réaliser un audit de cybersécurité / gap analysis
2. Réaliser un audit de cybersécurité / gap analysis
Un diagnostic complet de votre niveau de maturité cyber est indispensable. La gap analysis mesure notamment l’écart entre vos pratiques actuelles et les exigences NIS 2 : gestion des risques, supervision, gouvernance, chaîne d’approvisionnement, documentation… Elle sert de feuille de route pour structurer votre mise en conformité.
3. Établir une gouvernance sécurité adaptée
3. Établir une gouvernance sécurité adaptée
NIS 2 exige une implication directe de la direction. Il est donc nécessaire de formaliser une gouvernance claire : définition des rôles et responsabilités, pilotage centralisé, comité de sécurité, reporting régulier et supervision stratégique des risques cyber.
4. Prioriser les mesures techniques obligatoires
4. Prioriser les mesures techniques obligatoires
Certaines mesures sont obligatoires : authentification multifacteur (MFA), segmentation réseau, journalisation avancée, gestion des vulnérabilités, chiffrement, mise à jour des systèmes, contrôle des accès…
5. Renforcer la gestion des incidents
5. Renforcer la gestion des incidents
La directive impose des obligations strictes de détection et de réponse. Pensez à mettre en place ou renforcer un plan de réponse aux incidents, un PCA/PRA, un dispositif de supervision continue (SOC, EDR, SIEM…), des procédures d’escalade et de remontée interne. Ces mesures permettent de respecter les délais de notification (24h, 72h, 1 mois).
6. Sécuriser la chaîne d’approvisionnement
6. Sécuriser la chaîne d’approvisionnement
Les fournisseurs et prestataires critiques doivent être intégrés dans votre dispositif de cybersécurité. Cela implique une évaluation des risques tiers, des clauses contractuelles spécifiques, des audits réguliers, un suivi des dépendances et une surveillance continue des prestataires sensibles (cloud, infogérance, éditeurs logiciels…).
7. Préparer la documentation réglementaire
7. Préparer la documentation réglementaire
NIS 2 repose sur un principe de « responsabilité démontrable ». Vous devez donc documenter vos politiques de sécurité, vos analyses de risques, vos procédures d’incident, vos plans de continuité, vos preuves d’audit et de contrôle. Cette documentation est essentielle en cas de supervision ou de contrôle.
8. Sensibiliser les équipes et former les dirigeants
8. Sensibiliser les équipes et former les dirigeants
Les collaborateurs doivent connaître les bonnes pratiques cyber : mots de passe, phishing, gestion des données, posture sécuritaire.. Les dirigeants, quant à eux, sont légalement responsables. Leur formation est donc d’autant plus importante.
9. Travailler avec des partenaires spécialisés
9. Travailler avec des partenaires spécialisés
Pour accélérer la mise en conformité, il peut être utile de s’appuyer sur des experts : cabinets d’audit, consultants cybersécurité, services SOC externalisés, spécialistes de la conformité réglementaire. Ils aident à structurer les processus, renforcer les mesures techniques et sécuriser la documentation.
Directive NIS 2, conclusion
La directive NIS 2 marque un tournant en faisant de la cybersécurité une obligation réglementaire. C’est précisément là qu’Axido peut vous accompagner.
Nos équipes vous aident à :
- évaluer votre exposition à NIS 2 et clarifier votre statut (EE/EI),
- réaliser un audit de cybersécurité et une gap analysis par rapport aux exigences de la directive,
- définir une gouvernance sécurité adaptée à votre organisation,
- prioriser et déployer les mesures techniques clés (MFA, supervision, sauvegardes, PRA/PCA, etc.),
- préparer la documentation et les processus nécessaires (gestion des incidents, notifications, relations avec les autorités).
Vous souhaitez rester en conformité avec la NIS 2 ? Contactez Axido dès maintenant !
FAQ
Qu’est-ce que la directive NIS 2 (définition) ?
Qu’est-ce que la directive NIS 2 (définition) ?
NIS 2 est la nouvelle directive européenne visant à renforcer la cybersécurité des réseaux et systèmes d’information. Elle remplace la directive NIS de 2016 et impose des obligations plus strictes en matière de gestion des risques, gouvernance, sécurité technique, supervision des fournisseurs et notification des incidents. Son objectif : élever le niveau de résilience de l’ensemble des secteurs essentiels à l’économie et à la société.
Quand la directive NIS 2 est-elle entrée en vigueur ?
Quand la directive NIS 2 est-elle entrée en vigueur ?
La directive NIS 2 est entrée en vigueur le 16 janvier 2023. Les États membres devaient l’avoir transposée d’ici le 17 octobre 2024. Les obligations pour les entités s’appliquent, quant à elles, à partir de la date fixée dans le droit national. En France, sa transposition est en cours avec une adoption attendue pour fin 2025. L’ANSSI recommande de se préparer dès à présent à son application pour se prémunir des risques.
Quel est le périmètre de la directive NIS 2 ?
Quel est le périmètre de la directive NIS 2 ?
NIS 2 s’applique à 18 secteurs d’activité répartis entre entités essentielles (EE) et entités importantes (EI). Elle couvre notamment : l’énergie, le transport, la santé, l’eau, les infrastructures numériques, les administrations publiques, les services numériques, la gestion des déchets, l’agroalimentaire, la fabrication et la recherche. L’assujettissement dépend également de critères de taille et d’importance systémique.
Quelles sont les obligations imposées par la directive NIS 2 ?
Quelles sont les obligations imposées par la directive NIS 2 ?
Les organisations doivent mettre en œuvre un ensemble de mesures obligatoires, dont :
- une gestion structurée des risques,
- des contrôles techniques renforcés (MFA, segmentation, journalisation, supervision…),
- la sécurisation de la chaîne d’approvisionnement,
- un dispositif de détection et de réponse aux incidents,
- une gouvernance claire impliquant les dirigeants,
- un PCA/PRA et une organisation de gestion de crise,
- une documentation démontrant la conformité,
- une notification des incidents en 24h, 72h puis dans le mois.
