Quels sont les délais de conformité NIS2 ?

La directive NIS2 est entrée en vigueur le 16 janvier 2023. Les États membres de l'UE avaient jusqu'au 17 octobre 2024 pour la transposer en droit national. Les organisations concernées doivent se conformer à leur mise en œuvre nationale dès la date de transposition, bien que certains pays aient des calendriers prolongés. La loi de transposition allemande (NIS2UmsuCG) est attendue en 2025.

Quelles sont les sanctions en cas de non-conformité NIS2 ?

Les entités essentielles s'exposent à des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Les entités importantes s'exposent à des amendes allant jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Les organes de direction peuvent être tenus personnellement responsables et faire l'objet d'interdictions temporaires d'exercer des fonctions de gestion.

En quoi NIS2 diffère-t-elle de la directive NIS originale ?

NIS2 élargit considérablement la directive NIS originale : elle couvre 18 secteurs au lieu de 7, supprime la distinction entre opérateurs de services essentiels et fournisseurs de services numériques, introduit un signalement d'incidents plus strict (alerte précoce de 24 heures), ajoute des exigences en matière de sécurité de la chaîne d'approvisionnement, introduit la responsabilité des dirigeants et harmonise l'application avec des seuils de sanctions minimaux.

Quelles sont les principales exigences de conformité NIS2 ?

L'article 21 de NIS2 impose dix mesures de gestion des risques : politiques d'analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des réseaux, gestion des vulnérabilités, formation à la cybersécurité, politiques de chiffrement, contrôle d'accès avec authentification multifacteur et évaluation de l'efficacité de la sécurité. De plus, l'article 23 exige le signalement des incidents dans les 24 heures (alerte précoce) et 72 heures (notification complète).

La certification ISO 27001 assure-t-elle la conformité NIS2 ?

ISO 27001 fournit une base solide mais ne garantit pas automatiquement la conformité NIS2. NIS2 comporte des exigences opérationnelles spécifiques qui vont au-delà d'ISO 27001, notamment en matière de signalement d'incidents (délais de 24/72 heures), de sécurité de la chaîne d'approvisionnement (surveillance continue) et de gestion des preuves. Un SMSI certifié ISO 27001 couvre généralement environ 70 % des exigences NIS2 au niveau documentaire.

Comment un Trust Center peut-il aider à la conformité NIS2 ?

Un Trust Center comme Orbiq aide à la conformité NIS2 en centralisant votre documentation de conformité, en automatisant la collecte de preuves, en gérant les questionnaires de sécurité de la chaîne d'approvisionnement, en fournissant une surveillance de conformité en temps réel et en créant une piste auditable de votre posture de sécurité. Il transforme la conformité d'un exercice périodique en une capacité opérationnelle continue.

Conformité NIS2 : Comment atteindre et maintenir la conformité (2026)

Published 7 mars 2026

By Emre Salmanoglu

Conformité NIS2 : Comment atteindre et maintenir la conformité (2026)

Q: Qu'est-ce que la conformité NIS2 ?

La conformité NIS2 signifie répondre aux exigences de la directive européenne sur la sécurité des réseaux et de l'information 2 (Directive 2022/2555). Elle impose aux entités essentielles et importantes de mettre en œuvre des mesures de gestion des risques en matière de cybersécurité, de signaler les incidents dans des délais stricts et d'assurer la sécurité de la chaîne d'approvisionnement. NIS2 remplace la directive NIS originale avec un champ d'application plus large et une application plus stricte.

Q: Qui doit se conformer à NIS2 ?

NIS2 s'applique aux organisations de taille moyenne et grande dans 18 secteurs à travers l'UE, réparties entre entités essentielles (énergie, transport, banque, santé, eau, infrastructure numérique, gestion des services TIC, administration publique, espace) et entités importantes (services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques, recherche). Les organisations de 50+ employés ou avec un chiffre d'affaires de 10 M€+ dans ces secteurs sont généralement concernées.

Guide pratique de conformité NIS2 — exigences étape par étape, analyse des écarts, feuille de route de mise en oeuvre et outils nécessaires. Découvrez comment atteindre et maintenir la conformité NIS2 pour votre organisation.

NIS2

Conformité

Cybersécurité

Réglementation UE

Gestion des risques

Conformité NIS2 : Le guide complet pour les entreprises européennes

La directive NIS2 (Directive 2022/2555) est la législation européenne la plus importante en matière de cybersécurité. Elle remplace la directive NIS originale avec un champ d'application considérablement élargi, des exigences plus strictes et de véritables moyens d'application. Si votre organisation opère dans l'UE, il y a de fortes chances que NIS2 vous concerne.

Ce guide couvre tout : qui est concerné, ce que vous devez faire, les calendriers, les sanctions et comment construire un programme de conformité qui fonctionne réellement sur le plan opérationnel — pas seulement sur le papier.

Qu'est-ce que NIS2 ?

NIS2 — la directive sur la sécurité des réseaux et de l'information 2 — est une directive européenne qui établit des obligations de cybersécurité pour les organisations opérant dans des secteurs critiques et importants. Adoptée le 14 décembre 2022 et publiée sous la référence Directive 2022/2555, elle vise à atteindre un niveau commun élevé de cybersécurité dans l'ensemble de l'Union européenne.

La directive répond à l'évolution rapide du paysage des menaces et aux lacunes de son prédécesseur. La directive NIS originale (2016) laissait trop de marge d'appréciation aux États membres, entraînant une mise en œuvre fragmentée et une application incohérente. NIS2 corrige cela avec :

Champ d'application plus large : 18 secteurs au lieu de 7
Obligations plus claires : Mesures spécifiques de gestion des risques dans l'article 21
Signalement d'incidents strict : Alerte précoce de 24 heures, notification complète de 72 heures
Focus sur la chaîne d'approvisionnement : Exigences explicites en matière de gestion des risques liés aux tiers
Responsabilité de la direction : Responsabilité personnelle des dirigeants
Sanctions harmonisées : Seuils minimaux dans tous les États membres

Qui doit se conformer à NIS2 ?

NIS2 divise les organisations concernées en deux catégories basées sur la criticité :

Entités essentielles (Annexe I)

Ce sont les secteurs où une perturbation aurait des conséquences graves :

Secteur	Exemples
Énergie	Électricité, pétrole, gaz, hydrogène, chauffage urbain
Transport	Aérien, ferroviaire, maritime, routier
Banque	Établissements de crédit
Infrastructure des marchés financiers	Plateformes de négociation, contreparties centrales
Santé	Prestataires de soins, laboratoires de référence UE, pharmacie, dispositifs médicaux
Eau potable	Approvisionnement et distribution
Eaux usées	Collecte, élimination, traitement
Infrastructure numérique	IXP, DNS, registres TLD, cloud, centres de données, CDN, services de confiance
Gestion des services TIC (B2B)	Prestataires de services gérés, prestataires de services de sécurité gérés
Administration publique	Entités de l'administration centrale
Espace	Opérateurs d'infrastructures au sol

Entités importantes (Annexe II)

Secteur	Exemples
Services postaux et de messagerie	Prestataires agréés
Gestion des déchets	Collecte, traitement, élimination
Chimie	Fabrication, production, distribution
Alimentation	Production, transformation, distribution
Industrie manufacturière	Dispositifs médicaux, électronique, machines, véhicules à moteur
Fournisseurs numériques	Places de marché en ligne, moteurs de recherche, réseaux sociaux
Recherche	Organismes de recherche

Seuils de taille

En règle générale, NIS2 s'applique aux organisations des secteurs ci-dessus qui sont :

De taille moyenne ou supérieure : 50+ employés ou chiffre d'affaires annuel de 10 M€+
Quelle que soit leur taille pour certaines entités critiques (prestataires de services de confiance qualifiés, registres TLD, fournisseurs de services DNS, opérateurs de télécommunications)

Les États membres peuvent également désigner des entités supplémentaires sur la base d'évaluations nationales des risques.

Les dix mesures de gestion des risques NIS2

L'article 21(2) énumère dix mesures spécifiques que les organisations doivent mettre en œuvre. Elles constituent le cœur de la conformité NIS2 :

1. Politiques d'analyse des risques et de sécurité des systèmes d'information

Établir et maintenir des politiques d'analyse des risques couvrant vos systèmes d'information. Cela inclut des évaluations régulières des risques, des plans de traitement des risques et des politiques de sécurité documentées.

Ce que cela signifie opérationnellement : Vous avez besoin d'un registre des risques vivant, pas d'un document qui reste dans un tiroir. Des révisions régulières, des évaluations de menaces mises à jour et une attribution claire de la responsabilité des risques.

2. Gestion des incidents

Mettre en œuvre des procédures de détection, de gestion et de réponse aux incidents de sécurité.

Ce que cela signifie opérationnellement : Vous avez besoin d'un plan de réponse aux incidents que les personnes savent réellement exécuter. Les délais de signalement de NIS2 (alerte précoce de 24 heures, notification complète de 72 heures) imposent une détection et une escalade rapides.

3. Continuité d'activité et gestion de crise

Assurer la continuité d'activité grâce à la gestion des sauvegardes, la reprise après sinistre et les procédures de gestion de crise.

Ce que cela signifie opérationnellement : Des procédures de sauvegarde et de restauration testées. Pas seulement documentées — testées. Des exercices de PCA qui prouvent que vous pouvez réellement restaurer les opérations.

4. Sécurité de la chaîne d'approvisionnement

Traiter les risques de sécurité dans les relations avec les fournisseurs directs et les prestataires de services, y compris les exigences contractuelles et la surveillance.

Ce que cela signifie opérationnellement : C'est là que la plupart des organisations présentent le plus grand écart. Les questionnaires annuels auprès des fournisseurs ne suffisent pas. NIS2 attend une évaluation continue de la posture de cybersécurité de votre chaîne d'approvisionnement.

5. Sécurité des réseaux et systèmes d'information

Assurer la sécurité dans l'acquisition, le développement et la maintenance de vos systèmes, y compris la gestion et la divulgation des vulnérabilités.

Ce que cela signifie opérationnellement : Des programmes de gestion des vulnérabilités avec des SLA définis. Des processus de divulgation coordonnée des vulnérabilités. La sécurité dès la conception dans les achats.

6. Politiques d'évaluation de l'efficacité

Mettre en œuvre des politiques et procédures pour évaluer l'efficacité de vos mesures de gestion des risques en matière de cybersécurité.

Ce que cela signifie opérationnellement : Des audits réguliers, des tests d'intrusion, des indicateurs de sécurité et des revues de direction qui génèrent de réelles améliorations.

7. Hygiène informatique et formation

Établir des pratiques de base en matière d'hygiène informatique et une formation à la cybersécurité pour l'ensemble du personnel.

Ce que cela signifie opérationnellement : Des programmes de sensibilisation à la sécurité, des simulations de phishing, une formation spécifique par rôle pour le personnel technique et une formation à la cybersécurité au niveau de la direction (NIS2 l'exige explicitement pour les organes de direction).

8. Chiffrement et cryptographie

Mettre en œuvre des politiques sur l'utilisation de la cryptographie et, le cas échéant, du chiffrement.

Ce que cela signifie opérationnellement : Des normes définies pour le chiffrement des données au repos et en transit, des procédures de gestion des clés et une révision régulière des implémentations cryptographiques.

9. Sécurité des ressources humaines et contrôle d'accès

Traiter la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs.

Ce que cela signifie opérationnellement : Vérifications des antécédents, procédures d'arrivée/départ, accès au moindre privilège, révisions régulières des accès et gestion de l'inventaire des actifs.

10. Authentification multifacteur

Utiliser l'authentification multifacteur, les solutions d'authentification continue et les communications sécurisées lorsque cela est approprié.

Ce que cela signifie opérationnellement : MFA déployée sur les systèmes critiques, pas uniquement le courrier électronique. Communications vocales, vidéo et textuelles sécurisées. Prise en compte des principes d'architecture zero-trust.

Exigences de signalement des incidents NIS2

L'un des changements les plus significatifs par rapport à la directive NIS originale est le resserrement des délais de signalement des incidents :

Délai	Exigence	Contenu à inclure
24 heures	Alerte précoce au CSIRT/autorité compétente	Si l'incident est suspecté d'être causé par des actes illicites ou malveillants ; s'il pourrait avoir un impact transfrontalier
72 heures	Notification d'incident	Évaluation mise à jour, gravité et impact, indicateurs de compromission, évaluation initiale de l'incident
1 mois	Rapport final	Description détaillée de l'incident, analyse des causes profondes, mesures d'atténuation appliquées, impact transfrontalier le cas échéant

Un « incident significatif » déclenchant le signalement est un incident qui :

A causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière
A affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables

Sanctions et application de NIS2

NIS2 introduit des seuils de sanctions harmonisés dans tous les États membres :

Pour les entités essentielles

Amendes administratives allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu
Les autorités compétentes peuvent imposer des interdictions temporaires d'exercer des fonctions de direction
Suspension éventuelle de certifications ou d'autorisations

Pour les entités importantes

Amendes administratives allant jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu

Responsabilité de la direction

L'article 20 exige explicitement des organes de direction de :

Approuver les mesures de gestion des risques en matière de cybersécurité
Superviser leur mise en œuvre
Être tenus responsables des infractions
Suivre une formation en cybersécurité

Cette disposition de responsabilité personnelle est nouvelle et significative. Les dirigeants ne peuvent plus déléguer la responsabilité en matière de cybersécurité sans rendre de comptes.

Calendrier de mise en œuvre de NIS2

Date	Étape
16 janvier 2023	NIS2 est entrée en vigueur
17 octobre 2024	Date limite de transposition par les États membres en droit national
17 avril 2025	Date limite pour l'établissement par les États membres de la liste des entités essentielles et importantes
En cours	Mises en œuvre nationales avec des calendriers variables (NIS2UmsuCG de l'Allemagne attendue en 2025)

De nombreux États membres n'ont pas respecté la date limite de transposition d'octobre 2024. Début 2026, l'état de mise en œuvre varie :

Transposée et en application : Belgique, Croatie, Hongrie, Lettonie, Lituanie
Transposée, application en cours de montée en puissance : Plusieurs autres
Encore en processus législatif : Allemagne, quelques autres

Indépendamment du statut de transposition nationale, les exigences de la directive représentent la direction réglementaire pour tous les États membres de l'UE.

Comment atteindre la conformité NIS2 : Feuille de route pratique

Étape 1 : Déterminer si vous êtes concerné

Vérifiez si votre organisation relève des 18 secteurs et répond aux seuils de taille. Considérez :

Vos codes NACE principaux (la directive fait référence aux classifications d'activité économique)
Si vous êtes une entreprise de taille moyenne ou grande
Si vous appartenez à une catégorie sectorielle qui s'applique quelle que soit la taille

Étape 2 : Classifier votre type d'entité

Déterminez si vous êtes une entité essentielle ou importante. Cela affecte :

Le régime de supervision applicable (proactif vs. réactif)
Les seuils de sanctions maximales
Les exigences d'enregistrement et de notification

Étape 3 : Effectuer une analyse des écarts

Cartographiez votre posture de sécurité actuelle par rapport aux dix mesures de l'article 21. Si vous disposez d'un SMSI certifié ISO 27001, vous couvrez probablement 60 à 70 % au niveau documentaire. Les écarts typiques incluent :

Capacité de signalement d'incidents (délais de 24/72 heures)
Sécurité de la chaîne d'approvisionnement (surveillance continue)
Gestion des preuves (conformité démontrable)
Formation et responsabilité de la direction

Étape 4 : Construire votre programme de conformité

Concentrez-vous sur les écarts opérationnels. NIS2 ne se résume pas à avoir des politiques — il s'agit de démontrer que vos mesures fonctionnent :

Mettre en œuvre ou améliorer vos processus de détection et de signalement des incidents
Établir une gestion des risques de la chaîne d'approvisionnement avec une surveillance continue
Déployer des outils pour la collecte de preuves et le suivi de la conformité
Former la direction sur ses obligations et responsabilités

Étape 5 : Établir une conformité continue

La conformité NIS2 n'est pas un projet ponctuel. Construisez des systèmes qui maintiennent la conformité en continu :

Collecte automatisée de preuves
Tableaux de bord de conformité en temps réel
Cycles réguliers de tests et d'évaluation
Surveillance et réévaluation des fournisseurs

NIS2 vs ISO 27001 : Comprendre la relation

De nombreuses organisations se demandent si la certification ISO 27001 équivaut à la conformité NIS2. La réponse courte : non, mais c'est une base solide.

Aspect	ISO 27001	NIS2
Nature	Norme internationale volontaire	Réglementation UE obligatoire
Portée	Gestion de la sécurité de l'information	Gestion des risques de cybersécurité + signalement des incidents
Signalement d'incidents	Procédures internes	Signalement aux autorités sous 24/72 heures
Chaîne d'approvisionnement	Évaluation des risques	Surveillance continue + exigences contractuelles
Sanctions	Perte de certification	Amendes jusqu'à 10 M€ / 2 % du chiffre d'affaires + responsabilité personnelle
Preuves	Basé sur l'audit (annuel)	Capacité de démonstration continue
Direction	Engagement de la direction	Responsabilité personnelle des organes de direction

L'article 25 de NIS2 encourage explicitement l'utilisation des normes européennes et internationales, y compris ISO 27001, comme moyen de démontrer la conformité. Mais les exigences d'exécution opérationnelle — en particulier concernant les délais de signalement des incidents, la surveillance de la chaîne d'approvisionnement et la gestion des preuves — vont au-delà de ce qu'un SMSI standard fournit.

Comment Orbiq aide à la conformité NIS2

Orbiq est conçu pour la conformité européenne dès le départ. En tant que plateforme Trust Center, il comble les écarts opérationnels les plus importants pour NIS2 :

Sécurité de la chaîne d'approvisionnement : Centralisez les évaluations des fournisseurs, automatisez la distribution des questionnaires, surveillez en continu la posture de conformité des tiers
Gestion des preuves : Collectez et organisez automatiquement les preuves de conformité, créant une piste auditable qui résiste à l'examen réglementaire
Préparation aux incidents : Procédures de réponse documentées avec des chemins d'escalade clairs et des flux de notification
Visibilité de la conformité : Tableaux de bord en temps réel montrant votre statut de conformité sur les dix mesures de l'article 21
Trust Center : Un portail public qui démontre votre posture de conformité aux clients, auditeurs et régulateurs

Contrairement aux plateformes centrées sur les États-Unis qui adaptent les réglementations européennes après coup, Orbiq est conçu pour le RGPD, NIS2 et DORA dès le premier jour — avec une résidence des données dans l'UE et une approche européenne en priorité. Pour comparer les logiciels de conformité UE couvrant NIS2, DORA, RGPD et CRA, consultez notre Guide d'achat de logiciels de conformité UE.

Pour aller plus loin

Explorez nos guides détaillés sur NIS2 :

Directive NIS2 : Guide complet de la Directive (UE) 2022/2555 — La directive comme instrument juridique : structure, articles clés, état de transposition
Exigences NIS2 : Guide complet de ce que vous devez faire — Toutes les obligations NIS2 consolidées en un seul endroit
Checklist de conformité NIS2 : Mesures de l'article 21 — Évaluation détaillée de chaque mesure par rapport à un SMSI typique
Signalement d'incidents NIS2 : Le délai de 24 heures — Quoi signaler, quand et comment
Sécurité de la chaîne d'approvisionnement NIS2 — Gérer les risques liés aux tiers sous NIS2
ISO 27001 ne signifie pas conformité NIS2 — Pourquoi la certification seule ne suffit pas
NIS2 : Concerné mais opérationnellement non préparé — Écarts courants entre SMSI et NIS2

Ce guide est maintenu par l'équipe Orbiq et mis à jour au fur et à mesure de l'avancement des mises en œuvre nationales. Dernière mise à jour : mars 2026.