A qui s'applique NIS2 ?

NIS2 s'applique a deux categories d'entites : les entites essentielles (grandes organisations dans des secteurs hautement critiques — energie, transport, banque, infrastructures des marches financiers, sante, eau potable, eaux usees, infrastructures numeriques, gestion des services TIC, administration publique et espace) et les entites importantes (moyennes et grandes organisations dans d'autres secteurs critiques — services postaux, gestion des dechets, chimie, alimentation, industrie manufacturiere, fournisseurs numeriques et recherche). Les seuils de taille s'appliquent generalement : moyennes entreprises (50+ employes ou 10 M€+ de chiffre d'affaires) et grandes entreprises (250+ employes ou 50 M€+ de chiffre d'affaires). Certaines entites sont couvertes independamment de leur taille, notamment les fournisseurs DNS, les registres TLD et les fournisseurs de reseaux de communications electroniques publics.

Quelles sont les principales exigences de NIS2 ?

L'article 21 de NIS2 impose des mesures de gestion des risques comprenant : des politiques d'analyse des risques et de securite des systemes d'information ; des procedures de gestion des incidents ; la continuite d'activite et la gestion de crise ; des mesures de securite de la chaine d'approvisionnement ; la securite dans l'acquisition, le developpement et la maintenance des reseaux et systemes d'information ; des politiques d'evaluation de l'efficacite des mesures ; des pratiques de base en matiere de cyber-hygiene et de formation a la cybersecurite ; des politiques relatives a la cryptographie et au chiffrement ; la securite des ressources humaines et les politiques de controle d'acces ; ainsi que l'authentification multifacteur et les solutions d'authentification continue.

Quelles sont les exigences de signalement des incidents de NIS2 ?

L'article 23 de NIS2 etablit un cadre de signalement en plusieurs etapes pour les incidents significatifs : une alerte precoce dans les 24 heures suivant la prise de connaissance (indiquant si l'incident est suspecte d'etre illicite ou malveillant, et s'il pourrait avoir un impact transfrontalier) ; une notification d'incident dans les 72 heures fournissant une evaluation initiale de la gravite, de l'impact et des indicateurs de compromission ; des rapports intermediaires sur demande ; et un rapport final dans un delai d'un mois comprenant une description detaillee, une analyse des causes profondes, les mesures d'attenuation appliquees et l'impact transfrontalier. Les incidents significatifs sont ceux qui causent une perturbation operationnelle importante ou une perte financiere.

Comment NIS2 traite-t-elle la securite de la chaine d'approvisionnement ?

L'article 21(2)(d) de NIS2 exige des entites qu'elles traitent la securite de la chaine d'approvisionnement, y compris les aspects lies a la securite des relations avec les fournisseurs directs et les prestataires de services. Cela signifie que les organisations doivent : evaluer les risques lies a leur chaine d'approvisionnement ; inclure des exigences de cybersecurite dans les contrats avec les fournisseurs ; surveiller la conformite des fournisseurs aux obligations de securite ; et tenir compte de la qualite globale des produits et des pratiques de cybersecurite des fournisseurs. Pour les entreprises SaaS B2B, cela signifie que vos clients qui sont des entites NIS2 exigeront des preuves de vos mesures de cybersecurite, de vos capacites de reponse aux incidents et de votre posture de securite continue.

Quelles sont les sanctions en cas de non-conformite a NIS2 ?

NIS2 etablit un cadre de sanctions harmonise : les entites essentielles risquent des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus eleve etant retenu) ; les entites importantes risquent des amendes pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total. Au-dela des amendes, les autorites de controle peuvent emettre des instructions contraignantes, ordonner des audits de securite, ordonner aux entites d'informer les parties concernees, suspendre temporairement des certifications et, dans les cas extremes, interdire temporairement a des personnes de niveau dirigeant d'exercer des fonctions de direction. Les Etats membres peuvent mettre en oeuvre des sanctions supplementaires au-dela de ces minimums.

Quelle est la relation entre NIS2 et ISO 27001 ?

ISO 27001 fournit un systeme de management de la securite de l'information (SMSI) complet qui repond a de nombreuses exigences de NIS2, mais la certification ISO 27001 seule ne signifie pas la conformite NIS2. NIS2 inclut des exigences au-dela du perimetre d'ISO 27001 : des delais specifiques de signalement des incidents (notifications a 24/72 heures), des obligations de securite de la chaine d'approvisionnement, des dispositions de responsabilite des dirigeants et des exigences sectorielles. Cependant, un SMSI certifie ISO 27001 fournit une base solide pour la conformite NIS2, couvrant l'evaluation des risques, les controles de securite, l'amelioration continue et la documentation. De nombreuses organisations utilisent ISO 27001 comme cadre de reference et ajoutent les specificites NIS2.

Comment les entreprises SaaS B2B peuvent-elles se preparer a NIS2 ?

Les entreprises SaaS B2B devraient se preparer meme si elles ne sont pas directement dans le perimetre, car leurs clients peuvent etre des entites NIS2 necessitant une conformite de la chaine d'approvisionnement. Etapes cles de preparation : mettre en place un SMSI aligne sur ISO 27001 pour etablir une gouvernance de securite de reference ; revoir et ameliorer les procedures de reponse aux incidents pour respecter les delais de signalement NIS2 ; documenter les mesures de securite de la chaine d'approvisionnement et maintenir une liste de sous-traitants a jour ; publier la posture de securite sur un Trust Center pour le libre-service des acheteurs ; se preparer a l'augmentation des questionnaires de securite des clients concernes par NIS2 ; s'assurer que votre DPA et votre documentation de securite repondent aux exigences NIS2 en matiere de chaine d'approvisionnement ; et mener des tests de securite reguliers incluant des tests d'intrusion.

Conformite NIS2 : ce que la directive exige, qui est concerne et comment les entreprises B2B peuvent se preparer

Published 7 mars 2026

By Emre Salmanoglu

Conformite NIS2 : ce que la directive exige, qui est concerne et comment les entreprises B2B peuvent se preparer

Guide pratique de la conformite NIS2 — ce que la directive exige, quelles organisations sont concernees, obligations cles en matiere de gestion des risques, signalement des incidents, securite de la chaine d'approvisionnement, et comment demontrer la conformite aux regulateurs et aux acheteurs.

NIS2

Cybersecurite

Reglementation UE

Conformite

Securite de la chaine d'approvisionnement

Signalement des incidents

Conformite NIS2 : ce que la directive exige, qui est concerne et comment les entreprises B2B peuvent se preparer

La directive sur la securite des reseaux et des systemes d'information 2 (NIS2) est le cadre europeen actualise en matiere de cybersecurite, remplacant la directive NIS originale de 2016. Elle est entree en vigueur en janvier 2023, les Etats membres devant la transposer en droit national avant octobre 2024.

NIS2 elargit considerablement le perimetre des organisations couvertes, renforce les exigences de securite, introduit des delais stricts de signalement des incidents et etablit la responsabilite personnelle des dirigeants. Pour les entreprises SaaS B2B, NIS2 cree des obligations directes si vous entrez dans le perimetre, et des obligations indirectes via les exigences de la chaine d'approvisionnement — vos clients qui sont des entites NIS2 exigeront des preuves de votre posture de cybersecurite.

Ce guide couvre ce que NIS2 exige, a qui elle s'applique, les principales obligations de conformite et comment se preparer en tant qu'entreprise B2B.

Perimetre et applicabilite de NIS2

Qui est concerne

NIS2 couvre deux categories d'entites dans 18 secteurs :

Entites essentielles (Annexe I — Secteurs hautement critiques)

Secteur	Exemples
Energie	Electricite, petrole, gaz, hydrogene, chauffage urbain
Transport	Aerien, ferroviaire, maritime, routier
Banque	Etablissements de credit
Infrastructures des marches financiers	Plates-formes de negociation, contreparties centrales
Sante	Prestataires de soins, laboratoires de reference UE, fabricants de dispositifs medicaux
Eau potable	Approvisionnement et distribution d'eau
Eaux usees	Collecte, elimination, traitement des eaux usees
Infrastructures numeriques	IXP, DNS, registres TLD, cloud, centres de donnees, CDN, services de confiance
Gestion des services TIC (B2B)	Fournisseurs de services manages, fournisseurs de services de securite manages
Administration publique	Entites de l'administration centrale
Espace	Operateurs d'infrastructures au sol

Entites importantes (Annexe II — Autres secteurs critiques)

Secteur	Exemples
Services postaux et de messagerie	Prestataires de services postaux
Gestion des dechets	Collecte et traitement des dechets
Chimie	Fabrication, production, distribution
Alimentation	Production, transformation, distribution
Industrie manufacturiere	Dispositifs medicaux, ordinateurs, electronique, machines, vehicules a moteur
Fournisseurs numeriques	Places de marche en ligne, moteurs de recherche, plateformes de reseaux sociaux
Recherche	Organismes de recherche

Seuils de taille

Categorie	Employes	Chiffre d'affaires annuel	Total du bilan
Moyenne entreprise	50-249	10 M€-50 M€	10 M€-43 M€
Grande entreprise	250+	50 M€+	43 M€+

Certaines entites sont couvertes independamment de leur taille : les prestataires de services de confiance qualifies, les fournisseurs de services DNS, les registres de noms TLD, les fournisseurs de reseaux de communications electroniques publics et les entites qui sont le seul fournisseur d'un service critique dans un Etat membre.

Principales exigences de NIS2

Mesures de gestion des risques (Article 21)

L'article 21 de NIS2 impose une approche tous risques de la gestion des risques de cybersecurite. Les mesures requises comprennent :

1. Politiques d'analyse des risques et de securite des systemes d'information

Etablir une methodologie d'evaluation des risques
Mener des evaluations regulieres des risques
Documenter et mettre en oeuvre des politiques de securite
S'aligner sur des cadres reconnus (ISO 27001, NIST CSF)

2. Gestion des incidents

Etablir des procedures de detection, de reponse et de reprise apres incident
Definir la classification des incidents et les niveaux de gravite
Mettre en place des capacites de surveillance et d'alerte
Documenter et tester les plans de reponse aux incidents

3. Continuite d'activite et gestion de crise

Developper des plans de continuite d'activite
Mettre en oeuvre la gestion des sauvegardes et la reprise apres sinistre
Mener des tests reguliers des plans de continuite
Integrer les procedures de reponse aux incidents

4. Securite de la chaine d'approvisionnement

Evaluer les risques lies aux fournisseurs directs et aux prestataires de services
Inclure des exigences de securite dans les contrats fournisseurs
Surveiller la conformite des fournisseurs
Tenir compte de la qualite globale des pratiques de cybersecurite des fournisseurs

5. Securite dans l'acquisition, le developpement et la maintenance des systemes

Gestion et divulgation des vulnerabilites
Pratiques de developpement securise
Tests de securite tout au long du cycle de vie
Processus de gestion des correctifs

6. Evaluation de l'efficacite

Tests reguliers des mesures de cybersecurite
Tests d'intrusion
Audits de securite
Surveillance continue

7. Cyber-hygiene et formation

Pratiques de base en matiere de cyber-hygiene
Formation reguliere de sensibilisation a la cybersecurite
Formation specifique par role
Sensibilisation et tests de phishing

8. Cryptographie et chiffrement

Politiques relatives a l'utilisation de la cryptographie
Chiffrement des donnees au repos et en transit
Procedures de gestion des cles
Evaluation de l'adequation cryptographique

9. Securite des ressources humaines et controle d'acces

Politiques de controle d'acces (moindre privilege, besoin d'en connaitre)
Gestion des identites et des acces
Authentification multifacteur
Gestion et classification des actifs

10. Authentification multifacteur et authentification continue

MFA pour les systemes critiques et l'acces administrateur
Communications vocales, video et textuelles securisees
Systemes de communication d'urgence securises

Signalement des incidents (Article 23)

Cadre de notification en plusieurs etapes

Etape	Delai	Contenu requis
Alerte precoce	24 heures	Si l'incident est suspecte d'etre illicite/malveillant, impact transfrontalier potentiel
Notification d'incident	72 heures	Evaluation initiale de la gravite, impact, indicateurs de compromission
Rapports intermediaires	Sur demande	Evaluation mise a jour au fur et a mesure de l'avancement de l'enquete
Rapport final	1 mois	Description detaillee, cause profonde, mesures d'attenuation, impact transfrontalier

Ce qui constitue un incident significatif

Un incident est significatif s'il :

Cause ou est susceptible de causer une perturbation operationnelle grave ou une perte financiere
Affecte ou est susceptible d'affecter d'autres personnes physiques ou morales en causant un prejudice materiel ou immateriel considerable

Les Etats membres peuvent definir des criteres supplementaires pour determiner la significativite dans le cadre de leur transposition.

Securite de la chaine d'approvisionnement (Article 21(2)(d))

Ce que NIS2 exige

NIS2 eleve la securite de la chaine d'approvisionnement d'une bonne pratique a une obligation legale. Les entites couvertes doivent :

Evaluer les risques de la chaine d'approvisionnement — Evaluer la posture de cybersecurite des fournisseurs directs et des prestataires de services
Exigences contractuelles de securite — Inclure des obligations de cybersecurite specifiques dans les contrats fournisseurs
Surveiller la conformite — Verifier que les fournisseurs maintiennent les niveaux de securite requis
Tenir compte de la qualite des fournisseurs — Considerer la qualite globale des produits et des pratiques de cybersecurite des fournisseurs, y compris les procedures de developpement securise

Impact sur les entreprises SaaS B2B

Meme si votre entreprise n'est pas directement une entite essentielle ou importante au titre de NIS2, vos clients peuvent l'etre. Cela signifie :

Augmentation des questionnaires de securite — Les entites NIS2 doivent evaluer la securite de leurs fournisseurs, ce qui entraine des evaluations plus detaillees
Exigences contractuelles — Les clients exigeront des clauses de cybersecurite alignees sur NIS2 dans les contrats et les DPA
Preuves des controles — Les acheteurs demanderont la documentation des mesures de securite, des capacites de reponse aux incidents et des resultats des tests
Transparence sur les sous-traitants — Les clients ont besoin de visibilite sur votre chaine d'approvisionnement (listes de sous-traitants, hebergeurs, services tiers)
Obligations de notification des incidents — Vos contrats devront peut-etre refleter l'exigence d'alerte precoce de 24 heures de NIS2

Gouvernance et responsabilite

Responsabilite des dirigeants (Article 20)

NIS2 introduit la responsabilite personnelle des organes de direction :

Approbation : Les dirigeants doivent approuver les mesures de gestion des risques de cybersecurite
Supervision : Les dirigeants doivent superviser la mise en oeuvre des mesures de securite
Formation : Les membres de la direction doivent suivre une formation en cybersecurite
Responsabilite : Les dirigeants peuvent etre tenus personnellement responsables en cas de non-conformite
Sanctions : Les Etats membres peuvent suspendre temporairement des personnes de niveau dirigeant de l'exercice de leurs fonctions de direction

Il s'agit d'un changement significatif — la cybersecurite n'est plus uniquement une responsabilite du departement informatique mais une obligation de gouvernance au niveau du conseil d'administration.

Mesures de supervision

Les autorites de supervision peuvent :

Mesure	Entites essentielles	Entites importantes
Audits	Ex ante et ex post	Ex post uniquement
Analyses de securite	Oui	Oui
Demandes de documents	Oui	Oui
Instructions contraignantes	Oui	Oui
Suspension de certifications	Oui	Oui
Suspension temporaire des dirigeants	Oui	Non

Sanctions (Article 34)

Cadre de sanctions harmonise

Type d'entite	Amende maximale	Alternative
Entites essentielles	10 000 000 €	2 % du chiffre d'affaires annuel mondial
Entites importantes	7 000 000 €	1,4 % du chiffre d'affaires annuel mondial

Le montant le plus eleve s'applique. Les Etats membres peuvent imposer des sanctions supplementaires au-dela de ces minimums.

Au-dela des sanctions financieres

Instructions contraignantes pour mettre en oeuvre des mesures specifiques
Ordres de subir des audits de securite aux frais de l'entite
Ordres d'informer les clients des incidents significatifs
Publication des constats de non-conformite
Suspension temporaire de certifications
Interdiction temporaire d'exercer des fonctions de direction (entites essentielles uniquement)

NIS2 et autres cadres reglementaires

NIS2 et ISO 27001

Aspect	ISO 27001	Ajouts NIS2
Gestion des risques	SMSI complet	Aligne, mais NIS2 impose des mesures specifiques
Signalement des incidents	Procedures internes	Signalement externe obligatoire a 24/72 heures
Chaine d'approvisionnement	A.5.19-A.5.23	Obligations explicites de securite de la chaine d'approvisionnement
Responsabilite des dirigeants	Engagement de la direction	Responsabilite personnelle et sanctions
Sanctions	Aucune (norme volontaire)	Amendes jusqu'a 10 M€ ou 2 % du chiffre d'affaires
Perimetre	Defini par l'organisation	Determination basee sur le secteur et la taille

NIS2 et RGPD

Aspect	RGPD	NIS2
Objet	Protection des donnees personnelles	Securite des reseaux et des systemes d'information
Signalement des incidents	72 heures (violations de donnees)	Alerte precoce 24 heures + notification 72 heures
Perimetre	Tout traitement de donnees personnelles	Secteurs critiques et importants
Sanctions	Jusqu'a 20 M€ ou 4 % du chiffre d'affaires	Jusqu'a 10 M€ ou 2 % du chiffre d'affaires
Chevauchement	Les incidents de securite impliquant des donnees personnelles necessitent un double signalement

Preparation a la conformite NIS2

Approche etape par etape

Determiner l'applicabilite — Evaluer si votre organisation est une entite essentielle ou importante en fonction du secteur et de la taille
Analyse des ecarts — Comparer les mesures de securite actuelles aux exigences de l'article 21 de NIS2
Mettre en place un SMSI — Si ce n'est pas deja fait, etablir un systeme de management de la securite de l'information (ISO 27001 fournit une base solide)
Ameliorer la reponse aux incidents — Mettre a jour les procedures pour respecter les delais de signalement de 24/72 heures
Traiter la securite de la chaine d'approvisionnement — Evaluer les risques fournisseurs, mettre a jour les contrats, maintenir les listes de sous-traitants
Engagement de la direction — Assurer l'approbation, la supervision et la formation du conseil d'administration en matiere de cybersecurite
Tout documenter — Maintenir des registres complets pour les audits des autorites de supervision
Tester regulierement — Mener des tests de securite, des tests d'intrusion et des exercices de reponse aux incidents
Surveiller en continu — Mettre en oeuvre une surveillance continue des mesures de securite et de l'etat de conformite

Comment Orbiq soutient la conformite NIS2

Trust Center : Publiez votre posture de conformite NIS2 — mesures de securite, capacites de reponse aux incidents et transparence de la chaine d'approvisionnement pour le libre-service des acheteurs
Surveillance continue : Suivez les exigences de l'article 21 de NIS2 a travers vos controles de securite avec un etat de conformite en temps reel
Gestion des preuves : Centralisez la documentation de securite, les preuves d'audit et les registres d'incidents lies aux exigences NIS2
Questionnaires alimentes par l'IA : Repondez automatiquement aux questions de questionnaires de securite liees a NIS2 a partir de vos controles documentes

Pour aller plus loin

Reponse aux incidents — Developper des capacites de reponse aux incidents conformes aux delais de l'article 23 de NIS2
Certification ISO 27001 — Le cadre SMSI qui fournit les bases de la conformite NIS2
Gestion des risques tiers — Gerer les risques fournisseurs comme l'exige l'article 21(2)(d) de NIS2
Conformite RGPD — Comprendre les doubles obligations de signalement pour les incidents impliquant des donnees personnelles

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.