La directive NIS 2 (Network and Information Security), également connue sous l’appellation de directive sur la sécurité des réseaux et des systèmes d’information (SRI), constitue un jalon clé dans l’évolution de la cyber-résilience à l’échelle de l’Union Européenne. Publiée dans le Journal Officiel de l’Union Européenne en décembre 2022, cette directive s’inscrit dans un contexte où les menaces de cybersécurité se multiplient, et où les systèmes d’information demeurent, en partie, vulnérables.
En tant que directive européenne, NIS 2 joue un rôle central dans le renforcement de notre résilience face aux risques cyber. Elle exige l’adoption de mesures de cybersécurité de bon niveau pour les systèmes d’information des infrastructures critiques et sensibles au sein des Etats membres de l’Union. Cette nouvelle mouture de la directive représente un progrès significatif pour l’amélioration de notre capacité à résister aux cybermenaces et l’harmonisation de la réponse à incident au niveau européen.
Transposition de la directive européenne NIS 2 en droit français
La directive NIS 2 représente une évolution significative par rapport à sa prédécesseure de 2016, NIS 1, transposée en droit français en 2018. En effet, elle opère une extension de la portée réglementaire, en s’appliquant à un spectre plus large de secteurs d’activité, dans le but d’intensifier et de consolider les règles de cybersécurité à travers l’Union européenne.
Dans le détail, cette initiative réglementaire inclut des aspects essentiels tels que :
- la gestion des risques associés aux partenaires tiers,
- l’harmonisation des procédures de notification d’incidents,
- une gouvernance cybersécurité et la responsabilisation de la direction dans celle-ci
- l’instauration de contraintes rigoureuses en termes de mise en œuvre.
En substance, la directive NIS 2 mandate un grand nombre d’entités à établir un cadre robuste pour la gestion des risques de cybersécurité, visant ainsi à élever le niveau général de cyber-résilience au sein de l’UE.
Par ailleurs, chaque Etat membre de l’UE est tenu de transposer la directive NIS 2 dans sa législation nationale. au plus tard en octobre 2024. En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), en sa qualité d’autorité nationale en matière de cybersécurité et de cyberdéfense, assumera le rôle de régulateur. Elle veillera à l’application stricte de la législation nationale, se réservant le droit d’imposer des sanctions administratives sévères et de prendre des mesures correctives en cas de non-conformité.
Quelques clarifications de l’ANSSI sur la date d’entrée en vigueur de NIS 2
De manière régulière depuis 2023, l’ANSSI apporte des précisions sur l’application de la directive européenne. Malgré l’échéance initiale du 17 octobre 2024 pour la transposition en droit national fixée par l’Union européenne, le processus législatif français suit son propre cours pour garantir une intégration cohérente des exigences.
La transposition a franchi plusieurs étapes parlementaires décisives : présenté en Conseil des Ministres à l’automne 2024, le texte a été adopté par le Sénat en mars 2025 avant d’être examiné par la commission spéciale de l’Assemblée nationale en septembre 2025. Ces étapes visent à renforcer la lisibilité des enjeux de cybersécurité portés par NIS 2.
L’ANSSI rappelle que la date d’entrée en vigueur de NIS2 en France dépend de la finalisation complète de ce cycle législatif. La directive ne deviendra effective qu’à l’issue de deux phases : la promulgation de la loi, suivie de la publication des décrets et arrêtés d’application.
Il est par ailleurs essentiel de noter que cette date juridique ne correspondra pas immédiatement à l’application de l’ensemble des obligations réglementaires. Une distinction est opérée entre l’entrée en vigueur des textes et l’exigibilité des mesures : les entités régulées ne se verront imposer les conformités qu’après une période de transition.
Toutefois, cette fenêtre temporelle ne doit pas être synonyme d’attentisme. Au regard de la densité des nouvelles exigences - tant sur le plan de la gouvernance que des mesures techniques - il est vivement recommandé aux entités d’anticiper dès à présent leurs chantiers de mise en conformité. Cette démarche proactive permet de lisser l’effort d’adaptation, de sécuriser les budgets nécessaires et d’éviter une mise sous tension brutale des équipes lors de l’échéance réglementaire.
NIS 2 : quelles sont les entreprises concernées ?
La directive NIS 2 vise près de 600 types d'entités, englobant plus de 10 000 entités variées, allant des Entreprises de Taille Intermédiaire (ETI) jusqu'aux grandes sociétés cotées sur le CAC40, réparties à travers 18 secteurs d'activité distincts.
Ces secteurs, définis dans le texte de la directive, sont classés en deux grandes catégories : les secteurs hautement critiques et les secteurs critiques.
- Secteurs hautement critiques : Banque, santé, infrastructure numérique et gestion des services TIC, transports, eau potable, énergie, infrastructures des marchés bancaires et financiers, gestion des eaux usées, administration publique et espace ;
- Autres secteurs critiques : fournisseurs numériques, gestion des déchets, production, transformation et distribution des denrées alimentaires, recherche, fabrication, production et distribution de produits chimiques, fabrication, services postaux et d’expédition.
En vertu de cette nouvelle classification, les entités opérant dans ces domaines seront désormais identifiées comme entités importantes (EI) ou entités essentielles (EE), une distinction qui marque une évolution par rapport à la précédente nomenclature de la directive NIS, qui se concentrait sur les « Opérateurs de Services Essentiels » (OSE) et les « Fournisseurs de Services Numériques » (FSN).
Si l’appartenance sectorielle est un prérequis, elle ne suffit pas toujours à déterminer si l’entreprise est concernée par la directive. NIS 2 introduit une règle générale basée sur la taille : sont principalement concernées les entités dépassant les seuils de la PME (plus de 50 salariés ou un chiffre d’affaires supérieur à 10 millions d’euros).
Cependant, des exceptions et cas particuliers viennent nuancer cette règle :
-
La criticité indépendante de la taille : Certains acteurs, tels que les prestataires de services de confiance, les fournisseurs de DNS ou les opérateurs de télécommunications, sont régulés dès le premier salarié.
-
Le secteur public : La directive inclut désormais les administrations publiques. Un point d’attention particulier porte sur les collectivités territoriales, dont la cyber-résilience devient un enjeu majeur pour la continuité des services publics locaux. Il faudra attendre la promulgation du texte définitif pour connaître les collectivités concernées par Nis 2 en France.
-
Les structures complexes : Pour les groupes multinationaux ou les entreprises disposant de filiales dans plusieurs États membres, l’identification de l’entité juridique soumise à la régulation nécessite une analyse des règles d’établissement.
Vous pouvez vérifier sur le site du gouvernement dédié https://monespacenis2.cyber.gouv.fr/
Une responsabilité accrue des organes de direction
L’une des évolutions les plus marquantes de la directive NIS 2 réside dans l’implication directe des organes de direction. La cybersécurité cesse d’être une prérogative technique déléguée pour devenir un enjeu de gouvernance stratégique.
Conformément à l’article 20 de la directive, les organes de direction des entités essentielles et importantes sont désormais tenus d’approuver les mesures de gestion des risques de cybersécurité et d’en superviser la mise en œuvre. Ils ne peuvent plus ignorer l’état de la menace : leur responsabilité peut être directement engagée en cas de manquement à ces devoirs de gouvernance.
Cette obligation s’accompagne d’un devoir de compétence : les dirigeants doivent suivre une formation obligatoire pour acquérir les connaissances nécessaires à l’évaluation des risques et des pratiques de gestion. Ils ont également la charge d’encourager leurs employés à suivre des formations similaires.
La responsabilité de l’entité : une obligation de mesures organisationnelles, techniques et juridique
Au-delà de la gouvernance, la directive NIS 2 impose à l’entité elle-même une responsabilité opérationnelle majeure. L’article 21 oblige les entités à mettre en œuvre des mesures techniques, opérationnelles et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information.
Une approche « tous risques »
L’entité est responsable de l’adoption d’une approche dite « tous risques ». Cela signifie que les mesures déployées doivent protéger les systèmes non seulement contre les cyberattaques malveillantes, mais aussi contre les erreurs humaines, les pannes système ou les incidents physiques (incendies, inondations). Ces mesures doivent être proportionnées au risque, compte tenu de l’état de l’art et du coût de mise en œuvre.
Les mesures concrètes à implémenter
Pour assumer cette responsabilité, l’entité doit impérativement avoir une gestion des risques cyber mettant en oeuvre un ensemble de mesures de sécurité, comprenant notamment :
-
L’analyse des risques et la sécurité des SI : Mettre en œuvre des politiques formalisées relatives à l’analyse des risques et à la sécurité des systèmes d'information.
-
La continuité d’activité : Garantir la gestion des sauvegardes, la gestion de crise et la reprise d’activité après sinistre.
-
La sécurité de la chaîne d’approvisionnement : L’entité devient responsable de la sécurité de ses relations avec ses fournisseurs directs et prestataires de services. Elle doit évaluer les vulnérabilités propres à chaque fournisseur.
-
L’hygiène informatique et la cryptographie : Appliquer les pratiques de base de cyber-hygiène (mises à jour, gestion des vulnérabilités, …), sensibiliser et former à la cybersécurité (notamment la Direction) et encadrer l’usage de la cryptographie et du chiffrement.
-
Le contrôle d’accès : Mettre en œuvre des politiques strictes de contrôle d’accès et utiliser des solutions d’authentification multifacteur (MFA).
-
La gestion des incidents : Avoir des procédures claires pour la prévention, la détection et la réponse aux incidents, y compris lorsque son système d’information est exploité ou administré par un prestataire externe. Comme le précise l’ANSSI, la responsabilité de la déclaration d’un incident important ne peut être transférée au prestataire, même si celui-ci assure l’exploitation technique du système concerné.
La responsabilité de l’entité ne se limite plus à une obligation de reporting, mais exige la démonstration d’une posture de défense active et documentée.
NIS 2 et ISO 27001 : des points communs
La directive NIS 2 et la norme ISO 27001:2022 constituent deux cadres de référence majeurs dans le domaine de la sécurité de l'information, chacun se distinguant par ses origines, sa portée et ses objectifs spécifiques. La NIS 2, acte juridique de l'Union Européenne, définit les exigences minimales en matière de cybersécurité pour certaines entités et fournisseurs de services opérant au sein de l'UE. D'autre part, la norme ISO 27001:2022, émise par l'Organisation Internationale de Normalisation (ISO), est une norme volontaire qui fournit un cadre pour l'établissement et le maintien d'un Système de Management de la Sécurité de l'Information (SMSI) applicable à toute organisation, quelle que soit sa taille ou son secteur d'activité.
Concrètement, bien que la NIS 2 et l'ISO 27001:2022 partagent l'objectif commun d'améliorer la sécurité des informations, la principale différence réside dans le caractère obligatoire de la NIS 2 pour certaines organisations au sein de l'UE, contrairement à l'ISO 27001:2022, qui demeure une démarche volontaire pour les entités souhaitant certifier leur système de gestion de la sécurité de l'information. Les deux directives se rencontrent également au niveau de la politique de risques et la gestion d’incidents, entre autres.
Les entités certifiées ISO 27001 auront plus de facilité pour respecter la directive NIS 2.
Pour plus d’informations, n’hésitez pas consulter le texte de la directive européenne NIS 2, disponible ici : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022L2555
AlgoSecure propose de vous accompagner vers la mise en conformité avec la norme NIS 2. Nos experts vous aident à implémenter les mesures nécessaires.
Sources :
- Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022
- Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité - Rapport n° 393 (2024-2025), déposé le 4 mars 2025
- Texte de la commission sur le projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (n°1112)., n° 1779-A0, déposé le mercredi 10 septembre 2025
- ANSSI : https://monespacenis2.cyber.gouv.fr/ et https://aide.monespacenis2.cyber.gouv.fr
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alessio, Alexandre, Amine, Anas, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Henri, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lucas, Ludovic, Lyse, Matt, Nancy, Natacha, Nicolas, Pierre, PierreG, Quentin, QuentinR, Sébastien, Tristan, Yann, Yannick, et bonne visite !