A qui s'applique NIS2 ?

NIS2 s'applique a deux catégories d'entites : les entites essentielles (grandes organisations dans des secteurs hautement critiques — energie, transport, banque, infrastructures des marches financiers, sante, eau potable, eaux usees, infrastructures numeriques, gestion des services TIC, administration publique et espace) et les entites importantes (moyennes et grandes organisations dans d'autres secteurs critiques — services postaux, gestion des dechets, chimie, alimentation, industrie manufacturiere, fournisseurs numeriques et recherche). Les seuils de taille s'appliquent generalement : moyennes entreprises (50+ employes ou 10 M€+ de chiffre d'affaires) et grandes entreprises (250+ employes ou 50 M€+ de chiffre d'affaires). Certaines entites sont couvertes independamment de leur taille, notamment les fournisseurs DNS, les registres TLD et les fournisseurs de réseaux de communications electroniques publics.

Quelles sont les principales exigences de NIS2 ?

L'article 21 de NIS2 impose des mesures de gestion des risques comprenant : des politiques d'analyse des risques et de sécurité des systemes d'information ; des procedures de gestion des incidents ; la continuite d'activité et la gestion de crise ; des mesures de sécurité de la chaîne d'approvisionnement ; la sécurité dans l'acquisition, le developpement et la maintenance des réseaux et systemes d'information ; des politiques d'évaluation de l'efficacite des mesures ; des pratiques de base en matiere de cyber-hygiene et de formation a la cybersecurite ; des politiques relatives a la cryptographie et au chiffrement ; la sécurité des ressources humaines et les politiques de contrôle d'accès ; ainsi que l'authentification multifacteur et les solutions d'authentification continue.

Quelles sont les exigences de signalement des incidents de NIS2 ?

L'article 23 de NIS2 etablit un cadre de signalement en plusieurs etapes pour les incidents significatifs : une alerte precoce dans les 24 heures suivant la prise de connaissance (indiquant si l'incident est suspecte d'etre illicite ou malveillant, et s'il pourrait avoir un impact transfrontalier) ; une notification d'incident dans les 72 heures fournissant une évaluation initiale de la gravite, de l'impact et des indicateurs de compromission ; des rapports intermédiaires sur demande ; et un rapport final dans un delai d'un mois comprenant une description detaillee, une analyse des causes profondes, les mesures d'attenuation appliquees et l'impact transfrontalier. Les incidents significatifs sont ceux qui causent une perturbation opérationnelle importante ou une perte financiere.

Comment NIS2 traite-t-elle la sécurité de la chaîne d'approvisionnement ?

L'article 21(2)(d) de NIS2 exige des entites qu'elles traitent la sécurité de la chaîne d'approvisionnement, y compris les aspects lies à la sécurité des relations avec les fournisseurs directs et les prestataires de services. Cela signifie que les organisations doivent : évaluer les risques lies a leur chaîne d'approvisionnement ; inclure des exigences de cybersecurite dans les contrats avec les fournisseurs ; surveiller la conformité des fournisseurs aux obligations de sécurité ; et tenir compte de la qualite globale des produits et des pratiques de cybersecurite des fournisseurs. Pour les entreprises SaaS B2B, cela signifie que vos clients qui sont des entites NIS2 exigeront des preuves de vos mesures de cybersecurite, de vos capacités de réponse aux incidents et de votre posture de sécurité continue.

Quelles sont les sanctions en cas de non-conformité a NIS2 ?

NIS2 etablit un cadre de sanctions harmonise : les entites essentielles risquent des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus eleve etant retenu) ; les entites importantes risquent des amendes pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total. Au-dela des amendes, les autorites de contrôle peuvent emettre des instructions contraignantes, ordonner des audits de sécurité, ordonner aux entites d'informer les parties concernees, suspendre temporairement des certifications et, dans les cas extremes, interdire temporairement a des personnes de niveau dirigeant d'exercer des fonctions de direction. Les Etats membres peuvent mettre en oeuvre des sanctions supplementaires au-dela de ces minimums.

Quelle est la relation entre NIS2 et ISO 27001 ?

ISO 27001 fournit un systeme de management de la sécurité de l'information (SMSI) complet qui repond a de nombreuses exigences de NIS2, mais la certification ISO 27001 seule ne signifie pas la conformité NIS2. NIS2 inclut des exigences au-dela du perimetre d'ISO 27001 : des delais specifiques de signalement des incidents (notifications a 24/72 heures), des obligations de sécurité de la chaîne d'approvisionnement, des dispositions de responsabilite des dirigeants et des exigences sectorielles. Cependant, un SMSI certifie ISO 27001 fournit une base solide pour la conformité NIS2, couvrant l'évaluation des risques, les contrôles de sécurité, l'amelioration continue et la documentation. De nombreuses organisations utilisent ISO 27001 comme cadre de référence et ajoutent les specificites NIS2.

Comment les entreprises SaaS B2B peuvent-elles se préparer a NIS2 ?

Les entreprises SaaS B2B devraient se préparer meme si elles ne sont pas directement dans le perimetre, car leurs clients peuvent etre des entites NIS2 necessitant une conformité de la chaîne d'approvisionnement. Etapes cles de préparation : mettre en place un SMSI aligne sur ISO 27001 pour etablir une gouvernance de sécurité de référence ; revoir et ameliorer les procedures de réponse aux incidents pour respecter les delais de signalement NIS2 ; documenter les mesures de sécurité de la chaîne d'approvisionnement et maintenir une liste de sous-traitants à jour ; publier la posture de sécurité sur un Trust Center pour le libre-service des acheteurs ; se préparer a l'augmentation des questionnaires de sécurité des clients concernes par NIS2 ; s'assurer que votre DPA et votre documentation de sécurité repondent aux exigences NIS2 en matiere de chaîne d'approvisionnement ; et mener des tests de sécurité reguliers incluant des tests d'intrusion.

Conformité NIS2 : ce que la directive exige, qui est concerne et comment les entreprises B2B peuvent se préparer

Published 7 mars 2026

By Emre Salmanoglu

Conformité NIS2 : ce que la directive exige, qui est concerne et comment les entreprises B2B peuvent se préparer

Guide pratique de la conformité NIS2 — ce que la directive exige, quelles organisations sont concernees, obligations cles en matiere de gestion des risques, signalement des incidents, sécurité de la chaîne d'approvisionnement, et comment demontrer la conformité aux regulateurs et aux acheteurs.

NIS2

Cybersecurite

Reglementation UE

Conformite

Securite de la chaine d'approvisionnement

Signalement des incidents

Conformité NIS2 : ce que la directive exige, qui est concerne et comment les entreprises B2B peuvent se préparer

La directive sur la sécurité des réseaux et des systemes d'information 2 (NIS2) est le cadre europeen actualise en matiere de cybersecurite, remplacant la directive NIS originale de 2016. Elle est entree en vigueur en janvier 2023, les Etats membres devant la transposer en droit national avant octobre 2024.

NIS2 elargit considerablement le perimetre des organisations couvertes, renforce les exigences de sécurité, introduit des delais stricts de signalement des incidents et etablit la responsabilite personnelle des dirigeants. Pour les entreprises SaaS B2B, NIS2 cree des obligations directes si vous entrez dans le perimetre, et des obligations indirectes via les exigences de la chaîne d'approvisionnement — vos clients qui sont des entites NIS2 exigeront des preuves de votre posture de cybersecurite.

Ce guide couvre ce que NIS2 exige, a qui elle s'applique, les principales obligations de conformité et comment se préparer en tant qu'entreprise B2B.

Perimetre et applicabilite de NIS2

Qui est concerne

NIS2 couvre deux catégories d'entites dans 18 secteurs :

Entites essentielles (Annexe I — Secteurs hautement critiques)

Secteur	Exemples
Energie	Electricite, petrole, gaz, hydrogene, chauffage urbain
Transport	Aerien, ferroviaire, maritime, routier
Banque	Etablissements de credit
Infrastructures des marches financiers	Plates-formes de negociation, contreparties centrales
Sante	Prestataires de soins, laboratoires de référence UE, fabricants de dispositifs medicaux
Eau potable	Approvisionnement et distribution d'eau
Eaux usees	Collecte, elimination, traitement des eaux usees
Infrastructures numeriques	IXP, DNS, registres TLD, cloud, centres de données, CDN, services de confiance
Gestion des services TIC (B2B)	Fournisseurs de services manages, fournisseurs de services de sécurité manages
Administration publique	Entites de l'administration centrale
Espace	Operateurs d'infrastructures au sol

Entites importantes (Annexe II — Autres secteurs critiques)

Secteur	Exemples
Services postaux et de messagerie	Prestataires de services postaux
Gestion des dechets	Collecte et traitement des dechets
Chimie	Fabrication, production, distribution
Alimentation	Production, transformation, distribution
Industrie manufacturiere	Dispositifs medicaux, ordinateurs, electronique, machines, vehicules a moteur
Fournisseurs numeriques	Places de marche en ligne, moteurs de recherche, plateformes de réseaux sociaux
Recherche	Organismes de recherche

Seuils de taille

Catégorie	Employes	Chiffre d'affaires annuel	Total du bilan
Moyenne entreprise	50-249	10 M€-50 M€	10 M€-43 M€
Grande entreprise	250+	50 M€+	43 M€+

Certaines entites sont couvertes independamment de leur taille : les prestataires de services de confiance qualifies, les fournisseurs de services DNS, les registres de noms TLD, les fournisseurs de réseaux de communications electroniques publics et les entites qui sont le seul fournisseur d'un service critique dans un Etat membre.

Principales exigences de NIS2

Mesures de gestion des risques (Article 21)

L'article 21 de NIS2 impose une approche tous risques de la gestion des risques de cybersecurite. Les mesures requises comprennent :

1. Politiques d'analyse des risques et de sécurité des systemes d'information

Etablir une methodologie d'évaluation des risques
Mener des évaluations regulieres des risques
Documenter et mettre en oeuvre des politiques de sécurité
S'aligner sur des cadres reconnus (ISO 27001, NIST CSF)

2. Gestion des incidents

Etablir des procedures de detection, de réponse et de reprise apres incident
Definir la classification des incidents et les niveaux de gravite
Mettre en place des capacités de surveillance et d'alerte
Documenter et tester les plans de réponse aux incidents

3. Continuite d'activité et gestion de crise

Developper des plans de continuite d'activité
Mettre en oeuvre la gestion des sauvegardes et la reprise apres sinistre
Mener des tests reguliers des plans de continuite
Integrer les procedures de réponse aux incidents

4. Sécurité de la chaîne d'approvisionnement

Evaluer les risques lies aux fournisseurs directs et aux prestataires de services
Inclure des exigences de sécurité dans les contrats fournisseurs
Surveiller la conformité des fournisseurs
Tenir compte de la qualite globale des pratiques de cybersecurite des fournisseurs

5. Sécurité dans l'acquisition, le developpement et la maintenance des systemes

Gestion et divulgation des vulnerabilites
Pratiques de developpement securise
Tests de sécurité tout au long du cycle de vie
Processus de gestion des correctifs

6. Évaluation de l'efficacite

Tests reguliers des mesures de cybersecurite
Tests d'intrusion
Audits de sécurité
Surveillance continue

7. Cyber-hygiene et formation

Pratiques de base en matiere de cyber-hygiene
Formation reguliere de sensibilisation a la cybersecurite
Formation specifique par role
Sensibilisation et tests de phishing

8. Cryptographie et chiffrement

Politiques relatives a l'utilisation de la cryptographie
Chiffrement des données au repos et en transit
Procedures de gestion des cles
Évaluation de l'adequation cryptographique

9. Sécurité des ressources humaines et contrôle d'accès

Politiques de contrôle d'accès (moindre privilege, besoin d'en connaitre)
Gestion des identites et des accès
Authentification multifacteur
Gestion et classification des actifs

10. Authentification multifacteur et authentification continue

MFA pour les systemes critiques et l'accès administrateur
Communications vocales, video et textuelles securisees
Systemes de communication d'urgence securises

Signalement des incidents (Article 23)

Cadre de notification en plusieurs etapes

Etape	Delai	Contenu requis
Alerte precoce	24 heures	Si l'incident est suspecte d'etre illicite/malveillant, impact transfrontalier potentiel
Notification d'incident	72 heures	Évaluation initiale de la gravite, impact, indicateurs de compromission
Rapports intermédiaires	Sur demande	Évaluation mise à jour au fur et a mesure de l'avancement de l'enquete
Rapport final	1 mois	Description detaillee, cause profonde, mesures d'attenuation, impact transfrontalier

Ce qui constitue un incident significatif

Un incident est significatif s'il :

Cause ou est susceptible de causer une perturbation opérationnelle grave ou une perte financiere
Affecte ou est susceptible d'affecter d'autres personnes physiques ou morales en causant un prejudice materiel ou immateriel considerable

Les Etats membres peuvent définir des critères supplementaires pour determiner la significativite dans le cadre de leur transposition.

Sécurité de la chaîne d'approvisionnement (Article 21(2)(d))

Ce que NIS2 exige

NIS2 eleve la sécurité de la chaîne d'approvisionnement d'une bonne pratique a une obligation legale. Les entites couvertes doivent :

Evaluer les risques de la chaîne d'approvisionnement — Evaluer la posture de cybersecurite des fournisseurs directs et des prestataires de services
Exigences contractuelles de sécurité — Inclure des obligations de cybersecurite specifiques dans les contrats fournisseurs
Surveiller la conformité — Verifier que les fournisseurs maintiennent les niveaux de sécurité requis
Tenir compte de la qualite des fournisseurs — Considerer la qualite globale des produits et des pratiques de cybersecurite des fournisseurs, y compris les procedures de developpement securise

Impact sur les entreprises SaaS B2B

Meme si votre entreprise n'est pas directement une entite essentielle ou importante au titre de NIS2, vos clients peuvent l'etre. Cela signifie :

Augmentation des questionnaires de sécurité — Les entites NIS2 doivent évaluer la sécurité de leurs fournisseurs, ce qui entraine des évaluations plus detaillees
Exigences contractuelles — Les clients exigeront des clauses de cybersecurite alignees sur NIS2 dans les contrats et les DPA
Preuves des contrôles — Les acheteurs demanderont la documentation des mesures de sécurité, des capacités de réponse aux incidents et des resultats des tests
Transparence sur les sous-traitants — Les clients ont besoin de visibilite sur votre chaîne d'approvisionnement (listes de sous-traitants, hebergeurs, services tiers)
Obligations de notification des incidents — Vos contrats devront peut-etre refleter l'exigence d'alerte precoce de 24 heures de NIS2

Gouvernance et responsabilite

Responsabilite des dirigeants (Article 20)

NIS2 introduit la responsabilite personnelle des organes de direction :

Approbation : Les dirigeants doivent approuver les mesures de gestion des risques de cybersecurite
Supervision : Les dirigeants doivent superviser la mise en oeuvre des mesures de sécurité
Formation : Les membres de la direction doivent suivre une formation en cybersecurite
Responsabilite : Les dirigeants peuvent etre tenus personnellement responsables en cas de non-conformité
Sanctions : Les Etats membres peuvent suspendre temporairement des personnes de niveau dirigeant de l'exercice de leurs fonctions de direction

Il s'agit d'un changement significatif — la cybersecurite n'est plus uniquement une responsabilite du departement informatique mais une obligation de gouvernance au niveau du conseil d'administration.

Mesures de supervision

Les autorites de supervision peuvent :

Mesure	Entites essentielles	Entites importantes
Audits	Ex ante et ex post	Ex post uniquement
Analyses de sécurité	Oui	Oui
Demandes de documents	Oui	Oui
Instructions contraignantes	Oui	Oui
Suspension de certifications	Oui	Oui
Suspension temporaire des dirigeants	Oui	Non

Sanctions (Article 34)

Cadre de sanctions harmonise

Type d'entite	Amende maximale	Alternative
Entites essentielles	10 000 000 €	2 % du chiffre d'affaires annuel mondial
Entites importantes	7 000 000 €	1,4 % du chiffre d'affaires annuel mondial

Le montant le plus eleve s'applique. Les Etats membres peuvent imposer des sanctions supplementaires au-dela de ces minimums.

Au-dela des sanctions financieres

Instructions contraignantes pour mettre en oeuvre des mesures specifiques
Ordres de subir des audits de sécurité aux frais de l'entite
Ordres d'informer les clients des incidents significatifs
Publication des constats de non-conformité
Suspension temporaire de certifications
Interdiction temporaire d'exercer des fonctions de direction (entites essentielles uniquement)

NIS2 et autres cadres réglementaires

NIS2 et ISO 27001

Aspect	ISO 27001	Ajouts NIS2
Gestion des risques	SMSI complet	Aligne, mais NIS2 impose des mesures specifiques
Signalement des incidents	Procedures internes	Signalement externe obligatoire a 24/72 heures
Chaîne d'approvisionnement	A.5.19-A.5.23	Obligations explicites de sécurité de la chaîne d'approvisionnement
Responsabilite des dirigeants	Engagement de la direction	Responsabilite personnelle et sanctions
Sanctions	Aucune (norme volontaire)	Amendes jusqu'a 10 M€ ou 2 % du chiffre d'affaires
Perimetre	Defini par l'organisation	Determination basee sur le secteur et la taille

NIS2 et RGPD

Aspect	RGPD	NIS2
Objet	Protection des données personnelles	Sécurité des réseaux et des systemes d'information
Signalement des incidents	72 heures (violations de données)	Alerte precoce 24 heures + notification 72 heures
Perimetre	Tout traitement de données personnelles	Secteurs critiques et importants
Sanctions	Jusqu'a 20 M€ ou 4 % du chiffre d'affaires	Jusqu'a 10 M€ ou 2 % du chiffre d'affaires
Chevauchement	Les incidents de sécurité impliquant des données personnelles nécessitent un double signalement

Preparation a la conformité NIS2

Approche etape par etape

Determiner l'applicabilite — Evaluer si votre organisation est une entite essentielle ou importante en fonction du secteur et de la taille
Analyse des ecarts — Comparer les mesures de sécurité actuelles aux exigences de l'article 21 de NIS2
Mettre en place un SMSI — Si ce n'est pas deja fait, etablir un systeme de management de la sécurité de l'information (ISO 27001 fournit une base solide)
Ameliorer la réponse aux incidents — Mettre à jour les procedures pour respecter les delais de signalement de 24/72 heures
Traiter la sécurité de la chaîne d'approvisionnement — Evaluer les risques fournisseurs, mettre à jour les contrats, maintenir les listes de sous-traitants
Engagement de la direction — Assurer l'approbation, la supervision et la formation du conseil d'administration en matiere de cybersecurite
Tout documenter — Maintenir des registres complets pour les audits des autorites de supervision
Tester regulierement — Mener des tests de sécurité, des tests d'intrusion et des exercices de réponse aux incidents
Surveiller en continu — Mettre en oeuvre une surveillance continue des mesures de sécurité et de l'etat de conformité

Comment Orbiq soutient la conformité NIS2

Trust Center : Publiez votre posture de conformité NIS2 — mesures de sécurité, capacités de réponse aux incidents et transparence de la chaîne d'approvisionnement pour le libre-service des acheteurs
Surveillance continue : Suivez les exigences de l'article 21 de NIS2 a travers vos contrôles de sécurité avec un etat de conformité en temps reel
Gestion des preuves : Centralisez la documentation de sécurité, les preuves d'audit et les registres d'incidents lies aux exigences NIS2
Questionnaires alimentes par l'IA : Repondez automatiquement aux questions de questionnaires de sécurité liees a NIS2 a partir de vos contrôles documentes

Pour aller plus loin

Réponse aux incidents — Developper des capacités de réponse aux incidents conformes aux delais de l'article 23 de NIS2
Certification ISO 27001 — Le cadre SMSI qui fournit les bases de la conformité NIS2
Gestion des risques tiers — Gerer les risques fournisseurs comme l'exige l'article 21(2)(d) de NIS2
Conformité RGPD — Comprendre les doubles obligations de signalement pour les incidents impliquant des données personnelles

Ce guide est maintenu par l'équipe Orbiq. Derniere mise à jour : mars 2026.