La Directive NIS2 : Guide complet de la Directive (UE) 2022/2555
La directive NIS2 (UE 2022/2555) est la principale législation européenne en matière de cybersécurité. Ce guide couvre la structure de la directive, ses articles clés, l'état de transposition dans les États membres, les autorités compétentes et son articulation avec les autres textes européens.
La Directive NIS2 : Guide complet de la Directive (UE) 2022/2555
La directive NIS2 — officiellement Directive (UE) 2022/2555 — est la principale législation de cybersécurité de l'Union européenne. Adoptée le 14 décembre 2022 et publiée au Journal officiel de l'UE le 27 décembre 2022 (JO L 333), elle remplace la directive NIS initiale et établit des obligations de cybersécurité obligatoires dans 18 secteurs critiques et importants.
Ce guide traite la directive comme instrument juridique : sa structure, ses articles clés, l'état de transposition nationale et son articulation avec les autres textes européens.
Références officielles et base juridique
| Attribut | Détail |
|---|---|
| Titre officiel | Directive (UE) 2022/2555 du Parlement européen et du Conseil |
| Titre court | Directive NIS2 |
| Date d'adoption | 14 décembre 2022 |
| Date de publication | 27 décembre 2022 |
| Référence JO | JO L 333 du 27.12.2022, p. 80–152 |
| Entrée en vigueur | 16 janvier 2023 |
| Délai de transposition | 17 octobre 2024 |
| Base juridique | Article 114 TFUE (marché intérieur) |
| Référence EUR-Lex | 32022L2555 |
La directive NIS2 abroge et remplace la directive (UE) 2016/1148 (directive NIS initiale). En tant que directive — et non règlement —, elle a dû être transposée dans le droit national de chaque État membre. Cela explique les variations de calendrier et de mise en œuvre nationales, à l'inverse du DORA, règlement d'application directe.
Pourquoi la directive NIS2 a été créée
La directive NIS initiale (2016/1148) était la première législation européenne sectorielle en matière de cybersécurité. Ses lacunes étaient manifestes dès 2020 :
- Transposition fragmentée : 27 États membres, 27 régimes de conformité différents
- Périmètre trop étroit : 7 secteurs seulement, lacunes importantes pour les infrastructures critiques
- Application incohérente : Absence de seuils minimaux de sanctions, amendes symboliques dans certains pays
- Absence d'exigences sur la chaîne d'approvisionnement : Les incidents SolarWinds et Kaseya ont révélé les risques d'une approche limitée à la sécurité réseau interne
- Aucune responsabilité managériale : La cybersécurité était traitée comme une affaire informatique, non comme une responsabilité de direction
La Commission européenne a lancé une révision en 2020. Après le processus législatif 2021–2022, la directive a été adoptée en décembre 2022.
Structure de la directive
La directive NIS2 contient 46 articles répartis en 7 chapitres et 2 annexes, précédés de 144 considérants exposant l'intention du législateur.
| Chapitre | Intitulé | Articles clés |
|---|---|---|
| I | Dispositions générales | 1–6 (objet, champ d'application, définitions) |
| II | Mesures de gestion des risques et obligations de notification | 20–26 (les exigences centrales) |
| III | Compétence et enregistrement | 26–27 |
| IV | Gestion européenne des crises cyber | 15–16, 19 |
| V | Partage d'informations | 29–30 |
| VI | Supervision et application | 31–36 |
| VII | Dispositions finales | 37–46 (transposition, entrée en vigueur, abrogation NIS1) |
Les annexes définissent les secteurs par description, et non par code statistique. En pratique, les lois nationales de transposition et les orientations de l'ENISA rattachent chaque secteur à un code d'activité économique NACE Rév. 2 afin que les organisations puissent confirmer leur appartenance au champ d'application. Les tableaux ci-dessous associent chaque secteur NIS2 à sa référence NACE indicative.
Annexe I — Secteurs hautement critiques (entités essentielles)
| Secteur | Sous-secteurs (exemples) | NACE Rév. 2 indicatif |
|---|---|---|
| Énergie | Électricité, chauffage/refroidissement urbain, pétrole, gaz, hydrogène | D35 ; C19 ; B06 |
| Transports | Aérien, ferroviaire, maritime, routier | H49–H51 |
| Secteur bancaire | Établissements de crédit | K64.19 |
| Infrastructures des marchés financiers | Plates-formes de négociation, contreparties centrales | K64.99 ; K66 |
| Santé | Prestataires de soins, laboratoires de référence de l'UE, fabrication de médicaments | Q86 ; C21 |
| Eau potable | Fournisseurs et distributeurs d'eau destinée à la consommation humaine | E36 |
| Eaux usées | Collecte, évacuation, traitement des eaux usées urbaines/industrielles | E37 |
| Infrastructure numérique | IXP, DNS, registres de TLD, cloud, centres de données, CDN, prestataires de services de confiance, communications électroniques | J61–J63 |
| Gestion des services TIC (B2B) | Fournisseurs de services gérés, fournisseurs de services de sécurité gérés | J62 |
| Administration publique | Administration centrale et (lorsqu'elle est désignée) régionale | O84 |
| Espace | Exploitants d'infrastructures terrestres soutenant les services spatiaux | H51 ; M71 |
Annexe II — Autres secteurs critiques (entités importantes)
| Secteur | Sous-secteurs (exemples) | NACE Rév. 2 indicatif |
|---|---|---|
| Services postaux et de courrier | Prestataires de services postaux, livraison de colis/courrier express | H53 |
| Gestion des déchets | Collecte, traitement, élimination des déchets | E38 |
| Produits chimiques | Fabrication, production, distribution | C20 ; G46.75 |
| Denrées alimentaires | Production, transformation, distribution | C10 ; G46.3 |
| Industrie manufacturière | Dispositifs médicaux, produits informatiques/électroniques/optiques, équipements électriques, machines, véhicules à moteur, autres matériels de transport | C26 ; C27 ; C28 ; C29 ; C30 ; C32.5 |
| Fournisseurs numériques | Places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux | J63 |
| Recherche | Organismes de recherche | M72 |
Les références NACE sont indicatives. Le périmètre juridiquement contraignant est la description sectorielle des annexes I et II, lue conjointement avec les règles de champ d'application de l'article 2 et votre loi nationale de transposition — et non le seul code NACE.
Articles clés pour les organisations
Article 20 — Gouvernance
Les organes de direction des entités essentielles et importantes doivent :
- Approuver les mesures de gestion des risques cyber
- Superviser leur mise en œuvre
- Suivre des formations en cybersécurité
- Assumer une responsabilité personnelle en cas d'infraction
L'article 20 fait de la conformité NIS2 une obligation de direction, pas seulement une obligation informatique.
Article 21 — Mesures de gestion des risques de cybersécurité
L'exigence opérationnelle centrale : les organisations doivent mettre en œuvre 10 mesures spécifiques :
- Politiques d'analyse des risques et de sécurité des systèmes d'information
- Gestion des incidents
- Continuité des activités et gestion de crise
- Sécurité de la chaîne d'approvisionnement
- Sécurité de l'acquisition, du développement et de la maintenance des systèmes
- Politiques d'évaluation de l'efficacité des mesures de gestion des risques
- Pratiques de base en matière de cyber-hygiène et formations
- Politiques relatives à la cryptographie et au chiffrement
- Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
- Authentification multifactorielle et solutions d'authentification continue
Ces mesures doivent être proportionnées au risque, compte tenu de l'exposition, de la taille de l'organisation et de la probabilité et gravité des incidents potentiels. La mesure 1 exige de fait un cadre de gestion des risques documenté ; ISO/IEC 27005, aligné sur le cadre interopérable de l'UE de l'ENISA, est le moyen le plus courant d'y satisfaire.
Correspondance des mesures de l'article 21 avec l'annexe A d'ISO 27001:2022
La plupart des organisations qui exploitent déjà un SMSI ISO 27001 peuvent justifier l'essentiel de l'article 21 au regard des contrôles existants de l'annexe A. ISO 27001 constitue un socle solide mais n'équivaut pas automatiquement à la conformité NIS2 : NIS2 ajoute la responsabilité de gouvernance (article 20), la notification réglementaire (article 23) et l'enregistrement auprès de l'autorité de supervision, qui se situent hors du périmètre de la norme (voir ISO 27001 n'est pas la conformité NIS2). La correspondance ci-dessous indique les contrôles de l'annexe A (ISO/IEC 27002:2022) les plus pertinents pour chaque mesure.
| Mesure de l'article 21(2) | Contrôles ISO/IEC 27001:2022 Annexe A les plus pertinents |
|---|---|
| (a) Analyse des risques et politiques de sécurité de l'information | A.5.1, A.5.9, A.5.12, A.5.35 (clauses 6.1.2–6.1.3) |
| (b) Gestion des incidents | A.5.24–A.5.28, A.6.8, A.8.15, A.8.16 |
| (c) Continuité d'activité, sauvegarde et gestion de crise | A.5.29, A.5.30, A.8.13, A.8.14 |
| (d) Sécurité de la chaîne d'approvisionnement | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| (e) Sécurité de l'acquisition, du développement et de la maintenance | A.8.8, A.8.9, A.8.19, A.8.25, A.8.28 |
| (f) Évaluation de l'efficacité | A.5.35, A.5.36 (clauses 9.1, 9.2, 9.3) |
| (g) Cyber-hygiène et formation | A.5.15, A.6.3, A.8.7, A.8.8 (clause 7.3) |
| (h) Cryptographie et chiffrement | A.8.24 |
| (i) Sécurité RH, contrôle d'accès et gestion des actifs | A.6.1–A.6.6, A.5.15–A.5.18, A.5.9–A.5.11 |
| (j) MFA et communications sécurisées | A.5.16, A.5.17, A.8.5, A.5.14 |
La MFA (mesure j) n'est pas nommée explicitement dans ISO 27001 mais constitue la mise en œuvre standard, fondée sur les risques, du contrôle A.8.5 (authentification sécurisée). La lacune que ISO 27001 ne comble pas — et que les autorités de supervision vérifieront — est la couche réglementaire et de gouvernance : la formation et la responsabilité des dirigeants (article 20), les processus de notification (article 23) et l'enregistrement national.
Article 23 — Obligations de notification
En cas d'incident significatif, l'entité affectée notifie son CSIRT national ou son autorité compétente :
| Délai | Type de notification | Contenu |
|---|---|---|
| 24 heures | Alerte précoce | Cause malveillante supposée ; impact transfrontalier potentiel |
| 72 heures | Notification d'incident | Évaluation actualisée, gravité et impact, indicateurs de compromission |
| 1 mois | Rapport final | Description détaillée, analyse des causes, mesures correctives, impact transfrontalier |
Un « incident significatif » se définit comme un incident ayant causé ou susceptible de causer une perturbation opérationnelle grave ou des pertes financières, ou ayant affecté ou susceptible d'affecter d'autres personnes en causant un préjudice considérable.
Article 24 — Recours aux schémas européens de certification de cybersécurité
Les États membres peuvent exiger des organisations qu'elles recourent à des schémas européens de certification de cybersécurité spécifiques (au titre du règlement sur la cybersécurité de l'UE) pour démontrer leur conformité à certains aspects de l'article 21. Cet article établit une passerelle entre NIS2 et le cadre européen de certification de cybersécurité.
Articles 32–36 — Supervision et application
Les entités essentielles font l'objet d'une supervision proactive (audits réguliers, inspections sur site, analyses de sécurité). Les entités importantes font l'objet d'une supervision réactive (déclenchée par des incidents ou des preuves de non-conformité).
Seuils de sanctions (article 34) :
- Entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel
- Entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel
État de la transposition nationale et réalité répressive en 2026
Le délai de transposition était fixé au 17 octobre 2024. Seuls quatre États membres l'ont respecté ; la plupart l'ont manqué. L'information la plus importante n'est pas un tableau pays par pays vite obsolète : c'est la dynamique répressive, qui, à la mi-2026, a atteint la Cour de justice.
- 28 novembre 2024 : la Commission européenne a ouvert des procédures d'infraction (mises en demeure) à l'encontre de 23 États membres pour défaut de transposition complète de NIS2.
- 7 mai 2025 : la Commission a adressé des avis motivés à 19 États membres qui n'avaient toujours pas notifié de transposition complète.
- 2026 : la Commission a porté les dossiers les plus en retard devant la Cour de justice de l'Union européenne (CJUE) — dernier stade de la procédure d'infraction, et le seul à pouvoir imposer à un État membre des sanctions financières forfaitaires et journalières. La France et l'Espagne figurent, selon les informations disponibles, parmi les États renvoyés pour défaut de transposition. En France, la loi de transposition n'a pas encore été pleinement promulguée : le dispositif relève d'un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, encore en cours d'examen — point particulièrement sensible pour les organisations françaises.
- État des lieux à la mi-2026 : une vingtaine d'États membres disposent d'une loi nationale NIS2 adoptée ou en vigueur, une minorité restant en cours. Le Luxembourg, par exemple, a transposé NIS2 par sa loi du 5 mai 2026 (en vigueur le 10 mai 2026 ; les entités concernées doivent s'enregistrer d'elles-mêmes avant le 10 juillet 2026) — illustration utile du fait que « l'échéance » est de plus en plus une date d'entrée en vigueur nationale, et non la date européenne de 2024.
- Aucune sanction définitive à ce jour : à la mi-2026, aucune autorité nationale (BSI, CCB, ANSSI, ACN et leurs homologues) n'a publié de sanction administrative NIS2 définitive. Les commentateurs juridiques décrivent 2026 comme l'année où débutent les premières actions répressives, désormais que les régimes de supervision sont opérationnels.
- Réalité opérationnelle : les organisations multi-pays ont besoin d'une vision pays par pays du périmètre, de l'enregistrement, des canaux de notification d'incidents, de l'autorité de supervision et des orientations sectorielles.
Pour la planification, distinguez la directive européenne de la couche de mise en œuvre nationale :
| Pays ou marché | Points à vérifier localement |
|---|---|
| Allemagne | Supervision du BSI, seuils KRITIS et entités concernées, processus d'enregistrement, attentes en matière de preuves en langue allemande |
| France | Orientations de l'ANSSI, allocation sectorielle, processus national de notification et calendrier de mise en œuvre |
| Pays-Bas | Responsabilités du NCSC-NL et des autorités sectorielles, processus d'enregistrement et de notification d'incidents |
| Belgique | Orientations du Centre pour la cybersécurité Belgique (CCB), confirmation du périmètre et processus de notification |
| Italie | Processus de notification de l'ACN et du CSIRT Italia, obligations d'enregistrement et orientations sectorielles |
| Groupes transfrontaliers | Quelle entité juridique est dans le périmètre, quelle autorité reçoit les notifications et comment les preuves sont partagées entre entités |
La page officielle de transposition de la Commission européenne doit être considérée comme point de départ, et non comme source unique. Vos obligations réelles dépendent de la loi et des orientations nationales applicables à l'entité juridique et au secteur concernés.
Autorités compétentes
Chaque État membre désigne une ou plusieurs autorités compétentes pour la supervision NIS2 :
| Pays | Autorité | Rôle |
|---|---|---|
| Allemagne | BSI (Bundesamt für Sicherheit in der Informationstechnik) | Supervision + CSIRT national |
| France | ANSSI (Agence nationale de la sécurité des systèmes d'information) | Supervision + CSIRT national |
| Pays-Bas | NCSC-NL + autorités sectorielles | Supervision ; NCSC-NL = CSIRT national |
| Belgique | CCB (Centre for Cybersecurity Belgium) | Supervision + CSIRT national |
| Italie | ACN (Agenzia per la Cybersicurezza Nazionale) | Supervision + CSIRT national |
Les organisations doivent notifier les incidents significatifs à leur CSIRT national et peuvent être tenues de s'enregistrer auprès de leur autorité compétente.
NIS2 au-delà de l'UE-27 : le Royaume-Uni et la Norvège/EEE
NIS2 est une directive de l'UE, mais le périmètre de cybersécurité de l'Europe dépasse les 27 États membres. Les groupes paneuropéens présents au Royaume-Uni et dans l'EEE sont confrontés à des régimes parallèles — et parfois plus stricts — que tout programme NIS2 doit prendre en compte dès sa conception.
Royaume-Uni — Cyber Security and Resilience Bill
Le Royaume-Uni n'a pas adopté NIS2 ; il remplace ses propres NIS Regulations 2018 par le Cyber Security and Resilience (Network and Information Systems) Bill. Ce projet de loi a été annoncé dans le King's Speech de juillet 2024, déposé au Parlement le 12 novembre 2025, et a fait l'objet de sa Second Reading le 6 janvier 2026. La sanction royale (Royal Assent) est attendue au cours de 2026, l'essentiel du dispositif arrivant plus tard par voie de législation secondaire et de codes de bonnes pratiques — la pleine application opérationnelle n'est pas attendue avant 2028 environ.
Différences pratiques avec NIS2 pour les opérateurs transfrontaliers :
- Champ d'application : le projet de loi britannique étend NIS1 aux centres de données, aux fournisseurs de services gérés (MSP) et aux « fournisseurs critiques » désignés, mais reste plus étroit et plus souple que les 18 secteurs énumérés par NIS2 — des secteurs pouvant être ajoutés ultérieurement par désignation ministérielle.
- Notification : globalement alignée — une notification initiale sous 24 heures et un rapport complet sous 72 heures au régulateur et au NCSC (le CSIRT britannique).
- Sanctions : à certains égards plus sévères que les minimums de NIS2 — jusqu'à 17 millions de livres ou 4 % du chiffre d'affaires mondial pour les manquements graves, 10 millions de livres ou 2 % pour les manquements moins graves, assorties de pénalités journalières.
Une entreprise relevant des deux régimes ne peut pas présumer que les preuves NIS2 satisfont aux obligations britanniques : les obligations se recoupent, mais les éléments déclencheurs, les désignations et les codes de bonnes pratiques diffèrent.
Norvège et l'EEE
La Norvège n'est pas membre de l'UE mais fait partie de l'Espace économique européen (EEE) ; NIS2 l'atteint donc via l'accord EEE plutôt que directement. Deux voies progressent en parallèle :
- Digital Security Act (digitalsikkerhetsloven) — une mise en œuvre étendue de la directive NIS1 initiale, en vigueur depuis le 1er octobre 2025. Elle désigne Nasjonal sikkerhetsmyndighet (NSM) comme point de contact national unique et autorise déjà des sanctions pouvant atteindre 4 % du chiffre d'affaires (plafonnées autour de 50 millions de NOK).
- Alignement sur NIS2 — prévu principalement via des modifications de la loi sur la sécurité (sikkerhetsloven) une fois NIS2 incorporée à l'annexe XI de l'accord EEE. Le calendrier de mise en œuvre norvégien vise une entrée en vigueur autour du 1er juillet 2026, une échéance d'enregistrement au 1er octobre 2026 et les premiers audits du NSM et des régulateurs sectoriels à partir de mi-2027, élargissant le périmètre d'environ 600 à près de 5 000 organisations. Le NSM fait office de CSIRT national, avec la même cascade de notification de 24 heures / 72 heures / 30 jours.
Pour un groupe européen multi-entités, l'enseignement pratique est que les contrôles opérationnels (mesures de type article 21) sont largement transposables entre l'UE, le Royaume-Uni et la Norvège, mais que les canaux de notification, l'enregistrement et les autorités de supervision sont propres à chaque juridiction — précisément la couche qu'un système de preuves unique doit gérer.
Directive NIS2 et autres textes européens
| Texte | Articulation avec NIS2 |
|---|---|
| DORA vs NIS2 (règlement sur la résilience opérationnelle numérique) | Lex specialis pour le secteur financier. Les entités financières soumises à DORA sont considérées conformes aux exigences NIS2 équivalentes. DORA est un règlement (d'application directe). |
| Cyber Resilience Act (CRA) | S'applique aux fabricants de produits comportant des éléments numériques. Complète NIS2 au niveau de la chaîne d'approvisionnement. La conformité au CRA peut contribuer aux exigences de l'article 21, §2, point d) de NIS2. L'échéance de signalement de septembre 2026 est la première date d'application ferme pour les fabricants de produits. |
| RGPD | Les obligations de notification NIS2 (article 23) et RGPD (article 33 RGPD) peuvent s'appliquer simultanément au même incident. Délais différents : NIS2 (24/72 h), RGPD (72 h à l'autorité de contrôle). |
| Acte sur la cybersécurité de l'UE | Fournit le cadre de certification référencé à l'article 24 de NIS2. Les schémas EUCC, EU5G et autres peuvent servir à démontrer la conformité NIS2. |
| eIDAS 2 / EUDIW | Règlement sur l'identité numérique ; recoupements avec NIS2 pour les prestataires de services de confiance et les exploitants d'infrastructure numérique. |
Ce que la directive NIS2 implique pour votre organisation
La directive NIS2 exige une cybersécurité opérationnelle, pas seulement des politiques documentées. Le considérant 79 précise que les mesures de gestion des risques doivent être proportionnées et refléter l'exposition réelle aux risques. Le considérant 93 souligne la responsabilité directe des organes de direction.
Pour démontrer sa conformité de façon crédible, une organisation a besoin de :
- Processus de détection et de notification fonctionnels pour respecter les délais de 24/72 heures
- Surveillance de la chaîne d'approvisionnement allant au-delà des questionnaires annuels
- Gestion des preuves créant une piste d'audit vérifiable
- Formations des dirigeants et gouvernance attestant d'une supervision au plus haut niveau
Si vous devez choisir la pile d'outils capable de porter cette couche opérationnelle, commencez par notre comparatif des logiciels NIS2 et notre comparatif des logiciels d'automatisation de la conformité, qui distinguent les plateformes EU-native des outils US-first à la couverture NIS2 plus légère.
Comment Orbiq accompagne votre conformité NIS2
Orbiq répond aux lacunes opérationnelles qui rendent la conformité à la directive NIS2 difficile en pratique :
- Surveillance continue: Collecte automatisée de preuves pour les 10 mesures de l'article 21
- Vendor Assurance: Évaluations centralisées des fournisseurs et surveillance continue des tiers
- Trust Center: Portail de conformité public pour les clients, auditeurs et régulateurs
- Gestion des preuves: Collecte et organisation automatiques des preuves de conformité
Contrairement aux plateformes américaines qui traitent NIS2 comme un module complémentaire, Orbiq est conçu dès l'origine pour les réglementations européennes — avec hébergement des données dans l'UE et une connaissance directe des exigences de l'ANSSI et des autres autorités compétentes.
Articles NIS2 connexes
- Qu'est-ce que NIS2 ? Guide complet
- Conformité NIS2 : Comment l'atteindre et la maintenir
- Exigences NIS2 : Guide complet
- Checklist de conformité NIS2 : Article 21
- Notification d'incidents NIS2 : Le délai de 24 heures
- Sécurité de la chaîne d'approvisionnement NIS2
- ISO 27001 n'est pas une conformité NIS2
Sources
- EUR-Lex — Directive (UE) 2022/2555 — texte juridique officiel de NIS2.
- Commission européenne — page de politique relative à la directive NIS2 — état des lieux, transposition et application.
- Commission européenne — 23 États membres appelés à transposer pleinement NIS2, 28 novembre 2024 — mises en demeure.
- Commission européenne — avis motivés adressés à 19 États membres, 7 mai 2025 — avis motivés.
- ENISA — ressources sur la directive NIS2 — orientations de mise en œuvre et mesures techniques.
- ISO/IEC 27001:2022 — norme de système de management de la sécurité de l'information référencée dans la correspondance avec l'annexe A.
- Parlement britannique — Cyber Security and Resilience Bill — réforme NIS au Royaume-Uni, déposée le 12 novembre 2025.
- Nasjonal sikkerhetsmyndighet (NSM) — autorité nationale de sécurité et CSIRT norvégien pour la mise en œuvre de NIS via l'EEE.
Dernière mise à jour : juin 2026. L'état de transposition évolue au fil des lois nationales et des notifications de la Commission ; vérifiez les détails propres à chaque pays avant de vous fier à une échéance.
Questions fréquentes
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (Directive UE 2022/2555) est la principale législation de cybersécurité de l'Union européenne. Elle remplace la directive NIS initiale (2016/1148) et établit des obligations obligatoires de gestion des risques cyber et de notification d'incidents pour les organisations de 18 secteurs critiques et importants dans tous les États membres.
Quelle est la référence officielle de la directive NIS2 ?
La directive NIS2 est officiellement intitulée « Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union ». Elle a été publiée au Journal officiel de l'UE le 27 décembre 2022 (JO L 333).
Quelle est la base juridique de la directive NIS2 ?
La directive NIS2 repose sur l'article 114 du TFUE (Traité sur le fonctionnement de l'Union européenne), relatif à l'établissement et au fonctionnement du marché intérieur. Cette base juridique traduit le double objectif de la directive : harmoniser les normes de cybersécurité tout en réduisant la fragmentation entre États membres.
Quels pays ont transposé la directive NIS2 ?
La transposition de NIS2 reste une question nationale, pays par pays. L'échéance officielle de l'UE était le 17 octobre 2024. La Commission européenne a ouvert des procédures d'infraction contre 23 États membres le 28 novembre 2024, puis adressé des avis motivés à 19 États membres le 7 mai 2025 pour défaut de notification de la transposition complète. En 2026, certains pays avaient adopté leur loi nationale — l'Allemagne avec le NIS2UmsuCG, en vigueur depuis décembre 2025 — tandis que d'autres restaient en procédure législative ou de notification. Vérifiez l'état actuel sur la page de transposition de la Commission européenne et auprès de votre autorité nationale compétente.
Combien d'articles contient la directive NIS2 ?
La directive NIS2 contient 46 articles répartis en 7 chapitres, plus 2 annexes. Les articles les plus importants pour les organisations sont l'article 20 (gouvernance), l'article 21 (mesures de gestion des risques), l'article 23 (obligations de notification) et l'article 24 (schémas européens de certification en cybersécurité).
Quelle est la différence entre la directive NIS et la directive NIS2 ?
La directive NIS2 remplace la directive NIS initiale (2016/1148) en élargissant significativement son périmètre : 18 secteurs au lieu de 7, seuils harmonisés (50 salariés ou 10 M€ de CA), délais de notification plus stricts (alerte précoce sous 24 heures), exigences explicites de sécurité de la chaîne d'approvisionnement, responsabilité des dirigeants et seuils minimaux de sanctions (10 M€/2 % pour les entités essentielles).
Où trouver le texte de la directive NIS2 ?
Le texte intégral de la directive NIS2 est disponible sur la base de données EUR-Lex (eur-lex.europa.eu). Recherchez « 32022L2555 » ou « Directive 2022/2555 ». Le document comprend les 46 articles, 2 annexes et 144 considérants qui explicitent l'intention du législateur.
Quand la directive NIS2 s'applique-t-elle à mon entreprise ?
NIS2 s'applique généralement aux organisations actives dans un secteur des annexes I ou II qui atteignent le seuil de taille : entité de taille moyenne ou supérieure, c'est-à-dire au moins 50 salariés ou un chiffre d'affaires annuel (ou un total de bilan) supérieur à 10 millions d'euros. Certaines entités — fournisseurs de services DNS, registres de domaines de premier niveau, prestataires de services de confiance, certaines administrations publiques — relèvent du champ d'application quelle que soit leur taille. Les seuils exacts et les extensions sectorielles sont fixés par votre loi nationale de transposition.
Quelle est la différence entre entités essentielles et entités importantes au titre de NIS2 ?
Les entités essentielles sont les grandes organisations des secteurs hautement critiques de l'annexe I (en gros 250 salariés ou plus, ou un chiffre d'affaires supérieur à 50 M€) ; elles font l'objet d'une supervision proactive — audits et inspections — et de sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les entités importantes sont les organisations de l'annexe II et les entités plus petites de l'annexe I ; elles font l'objet d'une supervision réactive (déclenchée par un incident) et de plafonds de sanctions inférieurs, soit 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial.
Quelles sont les sanctions en cas de non-conformité NIS2 ?
L'article 34 fixe des plafonds minimaux que les États membres doivent prévoir : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu) pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % (le montant le plus élevé étant retenu) pour les entités importantes. Il s'agit de plafonds minimaux : les lois nationales peuvent prévoir des montants supérieurs. À la mi-2026, aucune sanction NIS2 définitive n'a été publiée ; les premières actions répressives sont attendues au cours de l'année 2026.