Directive NIS 2 : le guide complet (cybersécurité européenne)

19/6/2026
Tous les guides
🛡️ Sécurité
📚 Notions de base

La directive NIS 2 - Network and Information Security 2 (directive (UE) 2022/2555) - est le texte européen de référence sur la cybersécurité des infrastructures critiques. Elle remplace NIS 1 depuis janvier 2023 et impose des obligations concrètes à des milliers d'organisations en France : audits de sécurité, gestion des incidents, sanctions pouvant atteindre 10 millions d'euros. Si vous lisez "NIS" dans un contexte européen de cybersécurité, c'est bien de cette directive dont il s'agit - sans NIS 3 à l'horizon.

Qu'est-ce que la directive NIS 2 ?

NIS 2 (Network and Information Security 2) est une directive européenne (directive (UE) 2022/2555) qui établit un cadre commun de cybersécurité pour les États membres. Elle concerne les entités opérant dans des secteurs considérés comme critiques pour l'économie et la société.

NIS 2 poursuit 3 objectifs principaux :

  • Renforcer le niveau de cybersécurité des opérateurs critiques dans toute l'UE ;
  • Élargir le périmètre des entités soumises à des obligations de sécurité ;
  • Harmoniser les exigences et les sanctions entre les États membres.

NIS 1 et NIS 2 : quelles différences ?

NIS 1 (directive (UE) 2016/1148) était limitée aux Opérateurs de Services Essentiels (OSE) et aux Fournisseurs de Services Numériques (FSN). NIS 2 élargit considérablement ce périmètre :

  • NIS 1 : ~100 entités désignées en France (OSE) + quelques FSN. Secteurs étroits (eau, énergie, transport, santé, banque). Sanctions limitées. Contrôles a posteriori.
  • NIS 2 : Potentiellement plusieurs milliers d'entités (EE + EI). 18 secteurs couverts. Sanctions pouvant atteindre 10 M€ ou 2% du CA mondial. Supervision renforcée de l'ANSSI.

Qui est concerné par NIS 2 ?

NIS 2 distingue deux catégories d'entités :

Entités essentielles (EE)

Secteurs à haute criticité (annexe I de la directive) :

  • Énergie (production, transport, distribution) ;
  • Transports (aérien, ferroviaire, maritime, routier) ;
  • Secteur bancaire et infrastructures des marchés financiers ;
  • Santé (hôpitaux, laboratoires, fabricants de médicaments) ;
  • Eau potable et eaux usées ;
  • Infrastructure numérique (DNS, IXP, centres de données, cloud) ;
  • Gestion des services TIC (MSP, MSSP) ;
  • Administrations publiques centrales ;
  • Espace.

Entités importantes (EI)

Secteurs à criticité élevée (annexe II) :

  • Services postaux et d'expédition ;
  • Gestion des déchets ;
  • Fabrication (dispositifs médicaux, produits chimiques, industries alimentaires) ;
  • Services numériques (places de marché, moteurs de recherche, réseaux sociaux) ;
  • Recherche ;
  • Fournisseurs de réseaux et services de communications électroniques publics.

En France, la transposition privilégie les seuils de taille : les moyennes entreprises (50+ salariés, CA > 10 M€) des secteurs concernés sont a priori soumises. Certaines entités sont concernées quelle que soit leur taille (DNS racine, registres TLD, certains services de confiance).

Les obligations de NIS 2 (art. 21)

L'article 21 de NIS 2 liste 10 mesures de sécurité que les entités doivent mettre en oeuvre. En France, l'ANSSI détaille les exigences dans ses guides de mise en conformité :

  1. Politique de sécurité des systèmes d'information (PSSI) : analyse des risques, objectifs de sécurité, gestion des incidents.
  2. Gestion des incidents : détection, analyse, confinement, notification (ANSSI + clients si impact). Délai : alerte précoce 24h, notification 72h, rapport final 30 jours.
  3. Continuité d'activité : sauvegarde, PRA/PCA, gestion de crise.
  4. Sécurité de la chaîne d'approvisionnement : évaluation des fournisseurs, clauses contractuelles de sécurité.
  5. Sécurité des réseaux et systèmes d'information : contrôles d'accès, segmentation, MFA.
  6. Politiques et procédures d'évaluation de l'efficacité des mesures : audits, tests de pénétration, revues régulières.
  7. Pratiques de cyberhy giène de base et formation à la cybersécurité : sensibilisation des employés, formation des équipes techniques.
  8. Cryptographie et chiffrement : politique de chiffrement pour les données sensibles.
  9. Sécurité des ressources humaines : contrôles à l'embauche, gestion des accès, séparation des privilèges.
  10. Authentification à plusieurs facteurs (MFA) : obligatoire pour l'accès aux systèmes critiques.

Notifications d'incidents NIS 2

NIS 2 impose un régime strict de notification des incidents significatifs :

  • Alerte précoce (early warning) : dans les 24 heures suivant la connaissance d'un incident significatif, l'entité doit notifier l'ANSSI.
  • Notification d'incident : dans les 72 heures, une notification plus détaillée incluant une évaluation initiale de la sévérité et de l'impact.
  • Rapport intermédiaire : à la demande de l'ANSSI.
  • Rapport final : dans le mois suivant la clôture de l'incident : causes racines, mesures prises, impact.

Un incident est "significatif" s'il a causé ou est susceptible de causer une perturbation opérationnelle grave ou des pertes financières significatives, ou s'il a affecté d'autres personnes.

NIS 2 et le RGPD : articulation

NIS 2 et le RGPD se complètent mais ne se confondent pas :

  • Objet : NIS 2 couvre la cybersécurité des réseaux et systèmes ; le RGPD couvre la protection des données personnelles.
  • Périmètre : NIS 2 = entités de secteurs critiques ; RGPD = tout organisme traitant des données personnelles (donc potentiellement tous).
  • Chevauchement pratique : les mesures de sécurité art. 21 NIS 2 (chiffrement, MFA, gestion des incidents) couvrent largement les exigences de sécurité de l'art. 32 RGPD. Une violation de données peut déclencher à la fois la procédure NIS 2 (ANSSI) et la procédure RGPD (CNIL, 72h).
  • Autorités compétentes : ANSSI pour NIS 2 ; CNIL pour le RGPD. Deux procédures distinctes, potentiellement simultanées.

Sanctions NIS 2

NIS 2 prévoit des sanctions significatives :

  • Entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel total (le montant le plus élevé est retenu).
  • Entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA mondial.
  • Responsabilité personnelle possible des dirigeants en cas de manquement grave.

Transposition en France

La transposition de NIS 2 en droit français est en cours. Le projet de loi a été présenté en Conseil des ministres. L'ANSSI est l'autorité nationale compétente. Les entités concernées devront s'enregistrer auprès de l'ANSSI via une plateforme dédiée (MonEspaceANSSI).

Calendrier prévisionnel :

  • Publication de la loi de transposition : courant 2025 (initialement prévue avant fin 2024, reporté).
  • Entrée en vigueur effective pour les entités : progressive après publication des décrets d'application.

NIS 2 est-il obligatoire pour les PME ?

NIS 2 vise principalement les moyennes et grandes entreprises des secteurs concernés. Les micro-entreprises (< 10 salariés, CA < 2 M€) sont en principe exclues, sauf si elles fournissent certains services critiques (registres de noms de domaine, prestataires de confiance, opérateurs de réseaux). Pour les autres PME : vérifier si votre secteur est listé et si vous dépassez les seuils de taille.

Questions fréquemment posées sur NIS 2

Qu'est-ce que la directive NIS 2 en bref ?

NIS 2 (directive (UE) 2022/2555) est le texte européen qui impose des obligations de cybersécurité aux entités des secteurs critiques (énergie, santé, transports, infrastructure numérique, etc.). Elle remplace NIS 1 depuis octobre 2024, avec des sanctions pouvant atteindre 10 M€ ou 2% du CA mondial.

NIS 2 remplace-t-elle NIS 1 ?

Oui. La directive NIS 2 abroge et remplace la directive NIS 1 (2016/1148) depuis le 17 octobre 2024 (date limite de transposition dans les États membres). Les régimes nationaux issus de NIS 1 (ex : le régime OIV en France) restent en place en parallèle pendant la période de transition.

Comment savoir si mon organisation est concernée par NIS 2 ?

Vérifiez (1) si votre secteur est listé en annexe I ou II de la directive (18 secteurs au total), (2) si vous dépassez les seuils de taille (généralement : 50+ salariés ou CA > 10 M€), (3) si vous êtes un fournisseur critique quelle que soit votre taille. En cas de doute : consultez le site de l'ANSSI ou faites réaliser un diagnostic de conformité.

Quelles sont les principales obligations de NIS 2 ?

Les 10 mesures de l'art. 21 : politique de sécurité, gestion des incidents (notification 24h/72h), continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité réseau, évaluation de l'efficacité, formation, chiffrement, sécurité RH, MFA.

Quelle est la différence entre entité essentielle et entité importante ?

Les entités essentielles (EE) opèrent dans les secteurs à "haute criticité" (annexe I : énergie, santé, eau, transport, banque, infrastructure numérique, espace, administrations centrales). Les entités importantes (EI) sont dans les secteurs à "criticité élevée" (annexe II : déchets, services postaux, fabrication, services numériques, recherche). Les sanctions maximales diffèrent : 10 M€/2% CA pour les EE, 7 M€/1,4% CA pour les EI.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

RGPD : Les 7 règles à respecter pour être conforme en 2026
15/3/2024
Tout savoir sur l’anonymisation de données
28/5/2024
Comment faire une analyse d’impact sur les transferts de données ?
14/2/2025
RGPD : Générer un mot de passe sécurisé, exemples & idées
15/3/2023
Mettre en place une politique de sécurité informatique : les bonnes pratiques
18/12/2023
Sous-traitant RGPD : définition, obligations et audit de conformité
2/4/2024

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026