La Directive NIS2 : Guide complet de la Directive (UE) 2022/2555
La directive NIS2 (UE 2022/2555) est la principale législation européenne en matière de cybersécurité. Ce guide couvre la structure de la directive, ses articles clés, l'état de transposition dans les États membres, les autorités compétentes et son articulation avec les autres textes européens.
La Directive NIS2 : Guide complet de la Directive (UE) 2022/2555
La directive NIS2 — officiellement Directive (UE) 2022/2555 — est la principale législation de cybersécurité de l'Union européenne. Adoptée le 14 décembre 2022 et publiée au Journal officiel de l'UE le 27 décembre 2022 (JO L 333), elle remplace la directive NIS initiale et établit des obligations de cybersécurité obligatoires dans 18 secteurs critiques et importants.
Ce guide traite la directive comme instrument juridique : sa structure, ses articles clés, l'état de transposition nationale et son articulation avec les autres textes européens.
Références officielles et base juridique
| Attribut | Détail |
|---|---|
| Titre officiel | Directive (UE) 2022/2555 du Parlement européen et du Conseil |
| Titre court | Directive NIS2 |
| Date d'adoption | 14 décembre 2022 |
| Date de publication | 27 décembre 2022 |
| Référence JO | JO L 333 du 27.12.2022, p. 80–152 |
| Entrée en vigueur | 16 janvier 2023 |
| Délai de transposition | 17 octobre 2024 |
| Base juridique | Article 114 TFUE (marché intérieur) |
| Référence EUR-Lex | 32022L2555 |
La directive NIS2 abroge et remplace la directive (UE) 2016/1148 (directive NIS initiale). En tant que directive — et non règlement —, elle a dû être transposée dans le droit national de chaque État membre. Cela explique les variations de calendrier et de mise en œuvre nationales, à l'inverse du DORA, règlement d'application directe.
Pourquoi la directive NIS2 a été créée
La directive NIS initiale (2016/1148) était la première législation européenne sectorielle en matière de cybersécurité. Ses lacunes étaient manifestes dès 2020 :
- Transposition fragmentée : 27 États membres, 27 régimes de conformité différents
- Périmètre trop étroit : 7 secteurs seulement, lacunes importantes pour les infrastructures critiques
- Application incohérente : Absence de seuils minimaux de sanctions, amendes symboliques dans certains pays
- Absence d'exigences sur la chaîne d'approvisionnement : Les incidents SolarWinds et Kaseya ont révélé les risques d'une approche limitée à la sécurité réseau interne
- Aucune responsabilité managériale : La cybersécurité était traitée comme une affaire informatique, non comme une responsabilité de direction
La Commission européenne a lancé une révision en 2020. Après le processus législatif 2021–2022, la directive a été adoptée en décembre 2022.
Structure de la directive
La directive NIS2 contient 46 articles répartis en 7 chapitres et 2 annexes, précédés de 146 considérants exposant l'intention du législateur.
| Chapitre | Intitulé | Articles clés |
|---|---|---|
| I | Dispositions générales | 1–6 (objet, champ d'application, définitions) |
| II | Mesures de gestion des risques et obligations de notification | 20–26 (les exigences centrales) |
| III | Compétence et enregistrement | 26–27 |
| IV | Gestion européenne des crises cyber | 15–16, 19 |
| V | Partage d'informations | 29–30 |
| VI | Supervision et application | 31–36 |
| VII | Dispositions finales | 37–46 (transposition, entrée en vigueur, abrogation NIS1) |
Annexe I — Entités essentielles (secteurs hautement critiques)
Énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administration publique, espace.
Annexe II — Entités importantes (autres secteurs critiques)
Services postaux et de courrier, gestion des déchets, fabrication/production/distribution de produits chimiques, production/transformation/distribution de denrées alimentaires, industrie manufacturière (dispositifs médicaux, électronique, machines, véhicules à moteur), fournisseurs numériques, organisations de recherche.
Articles clés pour les organisations
Article 20 — Gouvernance
Les organes de direction des entités essentielles et importantes doivent :
- Approuver les mesures de gestion des risques cyber
- Superviser leur mise en œuvre
- Suivre des formations en cybersécurité
- Assumer une responsabilité personnelle en cas d'infraction
L'article 20 fait de la conformité NIS2 une obligation de direction, pas seulement une obligation informatique.
Article 21 — Mesures de gestion des risques de cybersécurité
L'exigence opérationnelle centrale : les organisations doivent mettre en œuvre 10 mesures spécifiques :
- Politiques d'analyse des risques et de sécurité des systèmes d'information
- Gestion des incidents
- Continuité des activités et gestion de crise
- Sécurité de la chaîne d'approvisionnement
- Sécurité de l'acquisition, du développement et de la maintenance des systèmes
- Politiques d'évaluation de l'efficacité des mesures de gestion des risques
- Pratiques de base en matière de cyber-hygiène et formations
- Politiques relatives à la cryptographie et au chiffrement
- Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
- Authentification multifactorielle et solutions d'authentification continue
Ces mesures doivent être proportionnées au risque, compte tenu de l'exposition, de la taille de l'organisation et de la probabilité et gravité des incidents potentiels.
Article 23 — Obligations de notification
En cas d'incident significatif, l'entité affectée notifie son CSIRT national ou son autorité compétente :
| Délai | Type de notification | Contenu |
|---|---|---|
| 24 heures | Alerte précoce | Cause malveillante supposée ; impact transfrontalier potentiel |
| 72 heures | Notification d'incident | Évaluation actualisée, gravité et impact, indicateurs de compromission |
| 1 mois | Rapport final | Description détaillée, analyse des causes, mesures correctives, impact transfrontalier |
Articles 32–36 — Supervision et application
Les entités essentielles font l'objet d'une supervision proactive (audits réguliers, inspections sur site, analyses de sécurité). Les entités importantes font l'objet d'une supervision réactive (déclenchée par des incidents ou des preuves de non-conformité).
Seuils de sanctions (article 34) :
- Entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel
- Entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel
État de transposition nationale (mars 2026)
Le délai de transposition était fixé au 17 octobre 2024. Nombre d'États membres ne l'ont pas respecté. État au mars 2026 :
| Pays | Statut | Loi nationale |
|---|---|---|
| Belgique | Transposée | Loi NIS2 (2024) |
| Croatie | Transposée | Loi nationale sur la cybersécurité (2024) |
| Hongrie | Transposée | Modifications de la loi sur la cybersécurité |
| Lettonie | Transposée | Modifications de la loi sur la sécurité informatique |
| Lituanie | Transposée | Loi sur la cybersécurité |
| Allemagne | Transposée | NIS2UmsuCG (modification du BSI-Gesetz, décembre 2025) |
| Italie | Transposée | Décret législatif 138/2024 |
| Pays-Bas | En cours | Modification du Wbni en examen |
| France | Partielle | Mesures d'application ANSSI en cours |
| Autres | Variable | Procédures législatives en cours |
En France, l'ANSSI pilote la transposition. Des mesures d'application sectorielles sont encore en cours d'élaboration début 2026.
Autorités compétentes
Chaque État membre désigne une ou plusieurs autorités compétentes pour la supervision NIS2 :
| Pays | Autorité | Rôle |
|---|---|---|
| Allemagne | BSI (Bundesamt für Sicherheit in der Informationstechnik) | Supervision + CSIRT national |
| France | ANSSI (Agence nationale de la sécurité des systèmes d'information) | Supervision + CSIRT national |
| Pays-Bas | NCSC-NL + autorités sectorielles | Supervision ; NCSC-NL = CSIRT national |
| Belgique | CCB (Centre for Cybersecurity Belgium) | Supervision + CSIRT national |
| Italie | ACN (Agenzia per la Cybersicurezza Nazionale) | Supervision + CSIRT national |
Les organisations doivent notifier les incidents significatifs à leur CSIRT national et peuvent être tenues de s'enregistrer auprès de leur autorité compétente.
Directive NIS2 et autres textes européens
| Texte | Articulation avec NIS2 |
|---|---|
| DORA (règlement sur la résilience opérationnelle numérique) | Lex specialis pour le secteur financier. Les entités financières soumises à DORA sont considérées conformes aux exigences NIS2 équivalentes. DORA est un règlement (d'application directe). |
| Cyber Resilience Act (CRA) | S'applique aux fabricants de produits comportant des éléments numériques. Complète NIS2 au niveau de la chaîne d'approvisionnement. La conformité au CRA peut contribuer aux exigences de l'article 21, §2, point d) de NIS2. |
| RGPD | Les obligations de notification NIS2 (article 23) et RGPD (article 33 RGPD) peuvent s'appliquer simultanément au même incident. Délais différents : NIS2 (24/72 h), RGPD (72 h à l'autorité de contrôle). |
| Acte sur la cybersécurité de l'UE | Fournit le cadre de certification référencé à l'article 24 de NIS2. |
Ce que la directive NIS2 implique pour votre organisation
La directive NIS2 exige une cybersécurité opérationnelle, pas seulement des politiques documentées. Le considérant 79 précise que les mesures de gestion des risques doivent être proportionnées et refléter l'exposition réelle aux risques. Le considérant 93 souligne la responsabilité directe des organes de direction.
Pour démontrer sa conformité de façon crédible, une organisation a besoin de :
- Processus de détection et de notification fonctionnels pour respecter les délais de 24/72 heures
- Surveillance de la chaîne d'approvisionnement allant au-delà des questionnaires annuels
- Gestion des preuves créant une piste d'audit vérifiable
- Formations des dirigeants et gouvernance attestant d'une supervision au plus haut niveau
Comment Orbiq accompagne votre conformité NIS2
Orbiq répond aux lacunes opérationnelles qui rendent la conformité à la directive NIS2 difficile en pratique :
- Surveillance continue: Collecte automatisée de preuves pour les 10 mesures de l'article 21
- Vendor Assurance: Évaluations centralisées des fournisseurs et surveillance continue des tiers
- Trust Center: Portail de conformité public pour les clients, auditeurs et régulateurs
- Gestion des preuves: Collecte et organisation automatiques des preuves de conformité
Contrairement aux plateformes américaines qui traitent NIS2 comme un module complémentaire, Orbiq est conçu dès l'origine pour les réglementations européennes — avec hébergement des données dans l'UE et une connaissance directe des exigences de l'ANSSI et des autres autorités compétentes.
Articles NIS2 connexes
- Qu'est-ce que NIS2 ? Guide complet
- Conformité NIS2 : Comment l'atteindre et la maintenir
- Exigences NIS2 : Guide complet
- Checklist de conformité NIS2 : Article 21
- Notification d'incidents NIS2 : Le délai de 24 heures
- Sécurité de la chaîne d'approvisionnement NIS2
- ISO 27001 n'est pas une conformité NIS2
Dernière mise à jour : mars 2026. L'état de transposition est actualisé au fil des avancées des mises en œuvre nationales.