Exigences NIS2 : Guide complet de ce que vous devez faire (2026)
Toutes les exigences NIS2 réunies — les 10 mesures de gestion des risques de l'article 21, les délais de notification d'incidents, la responsabilité des dirigeants, l'enregistrement et les mises à jour d'application 2026.
Exigences NIS2 : Guide complet de ce que vous devez faire (2026)
La Directive NIS2 (Directive 2022/2555) crée des exigences légalement contraignantes pour les organisations opérant dans des secteurs critiques à travers l'UE. Savoir que vous êtes dans le champ d'application est une chose. Comprendre exactement ce que vous devez faire en est une autre.
Ce guide consolide toutes les exigences NIS2 en un seul endroit — les dix mesures de gestion des risques, les délais de notification d'incidents, les obligations de direction, les exigences d'enregistrement et les dernières mises à jour d'application 2026. Pour un aperçu plus large de ce qu'est NIS2 et à qui elle s'applique, consultez notre guide complet Qu'est-ce que NIS2 ?. Pour une feuille de route de conformité étape par étape, consultez notre guide de conformité NIS2.
Qui est soumis aux exigences NIS2 ?
Avant d'examiner les exigences, confirmez que vous êtes dans le champ d'application. NIS2 s'applique aux organisations répondant aux deux critères suivants :
- Opérer dans l'un des 18 secteurs désignés (voir ci-dessous)
- Respecter les seuils de taille : 50+ salariés OU 10 M€+ de chiffre d'affaires annuel
Entités essentielles (Annexe I)
Grandes organisations (250+ salariés ou 50 M€+ de chiffre d'affaires) dans les secteurs les plus critiques :
| Secteur | Exemples |
|---|---|
| Énergie | Électricité, gaz, chauffage urbain, pétrole, hydrogène |
| Transports | Aérien, ferroviaire, maritime, routier |
| Banque | Établissements de crédit |
| Infrastructures des marchés financiers | Plates-formes de négociation, contreparties centrales |
| Santé | Hôpitaux, laboratoires de référence UE, pharma, dispositifs médicaux |
| Eau potable | Distribution et approvisionnement |
| Eaux usées | Collecte, traitement, élimination |
| Infrastructure numérique | DNS, registres TLD, IXP, cloud, datacenters, CDN, services de confiance |
| Gestion des services TIC (B2B) | Fournisseurs de services gérés, fournisseurs de services de sécurité gérés |
| Administration publique | Entités gouvernementales centrales |
| Espace | Opérateurs d'infrastructures au sol |
Entités importantes (Annexe II)
Organisations moyennes (50+ salariés ou 10 M€+ de chiffre d'affaires) dans des secteurs supplémentaires :
| Secteur | Exemples |
|---|---|
| Services postaux et de messagerie | Prestataires agréés |
| Gestion des déchets | Collecte, traitement, élimination |
| Produits chimiques | Fabrication, production, distribution |
| Alimentation | Production, transformation, distribution |
| Fabrication | Dispositifs médicaux, électronique, machines, véhicules |
| Fournisseurs numériques | Places de marché en ligne, moteurs de recherche, réseaux sociaux |
| Recherche | Organismes de recherche |
Les cinq domaines d'exigences NIS2
Les exigences NIS2 se regroupent en cinq domaines, chacun avec ses propres obligations et mécanismes d'application :
| Domaine | Exigence principale | Article |
|---|---|---|
| Gestion des risques | Dix mesures techniques et organisationnelles | Article 21 |
| Notification d'incidents | Notification échelonnée 24h / 72h / 1 mois | Article 23 |
| Gouvernance et responsabilité | Approbation, supervision et responsabilité de la direction | Article 20 |
| Enregistrement | S'enregistrer auprès de l'autorité nationale compétente | Article 27 |
| Gestion des preuves | Preuve de conformité à la demande | Cadre de supervision |
Les dix mesures de gestion des risques de l'article 21
L'article 21 de la Directive NIS2 constitue le cœur des exigences techniques de la réglementation. Les organisations doivent mettre en œuvre des mesures « appropriées et proportionnelles » à leur profil de risque, leur taille et l'impact potentiel des incidents.
(a) Politiques d'analyse des risques et de sécurité des systèmes d'information
Établir et maintenir des politiques documentées pour l'analyse des risques couvrant vos systèmes d'information. Des révisions régulières, des évaluations des menaces documentées et une propriété claire des risques sont requises.
Couverture SMSI : ✅ Composante centrale de l'ISO 27001. Un SMSI existant couvre pleinement cela s'il est maintenu activement.
(b) Gestion des incidents
Mettre en œuvre des procédures de détection, de gestion et de réponse aux incidents de sécurité. Compte tenu de l'exigence d'alerte précoce de 24 heures, votre processus de détection et d'escalade des incidents doit être rapide, testé et documenté.
Couverture SMSI : ⚠️ Le processus existe dans la plupart des implémentations SMSI, mais la capacité opérationnelle à 24 heures — transmettre les bonnes informations aux bonnes personnes et au CSIRT dans les délais — est généralement absente.
Ce qui est nécessaire opérationnellement : Modèles de notification pré-rédigés, listes de contrôle de classification des incidents, exercices de tabletop, et déclencheurs d'escalade automatisés.
(c) Continuité des activités et gestion des crises
Assurer la continuité des activités grâce à la gestion des sauvegardes, aux procédures de reprise après sinistre et aux capacités de gestion des crises. Ces éléments doivent être testés, pas seulement documentés.
Couverture SMSI : ✅ Standard dans les implémentations ISO 27001 / ISO 22301. Vérifiez que les objectifs de délai de récupération sont actuels et que les tests sont effectués au moins annuellement.
(d) Sécurité de la chaîne d'approvisionnement
Traiter les risques de sécurité liés aux fournisseurs directs et prestataires de services. NIS2 requiert explicitement la prise en compte des vulnérabilités spécifiques de chaque fournisseur — c'est-à-dire une surveillance continue de la posture de sécurité de la chaîne d'approvisionnement, et non des questionnaires annuels.
Couverture SMSI : ⚠️ La plupart des implémentations SMSI incluent des évaluations ponctuelles des fournisseurs. NIS2 exige une surveillance continue. C'est l'écart opérationnel le plus courant.
Ce qui est nécessaire opérationnellement : Outils de surveillance des fournisseurs, clauses contractuelles spécifiques NIS2, tableaux de bord de risques de la chaîne d'approvisionnement centralisés. La plateforme d'assurance fournisseurs d'Orbiq automatise cela.
(e) Sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information
Traiter la sécurité tout au long du cycle de vie de vos systèmes — approvisionnement, développement et maintenance — y compris la gestion des vulnérabilités et la divulgation coordonnée.
Couverture SMSI : ✅ Les contrôles de l'Annexe A de l'ISO 27001 couvrent le développement sécurisé et la gestion des vulnérabilités. Vérifiez que les SLA de correctifs sont définis et suivis.
(f) Politiques d'évaluation de l'efficacité des mesures de cybersécurité
Mettre en œuvre des politiques et procédures pour évaluer si vos mesures de cybersécurité fonctionnent réellement. Les régulateurs peuvent demander des preuves à la demande — les rapports d'audit annuels seuls sont insuffisants.
Couverture SMSI : ⚠️ Les processus d'audit existent, mais la capacité à produire des preuves de conformité à la demande — pour n'importe quel moment dans le temps — est généralement absente.
Ce qui est nécessaire opérationnellement : Collecte automatisée de preuves, tableaux de bord de conformité continuellement mis à jour, piste d'audit qui résiste à l'inspection réglementaire.
(g) Hygiène cybernétique de base et formations en cybersécurité
Mettre en œuvre des pratiques de base d'hygiène cybernétique et des formations en cybersécurité pour tout le personnel. Fondamentalement, l'article 20(2) de NIS2 exige explicitement que les membres de l'organe de direction suivent également des formations en cybersécurité — et que cette formation soit documentée.
Couverture SMSI : ✅ Les programmes de sensibilisation à la sécurité sont standard dans l'ISO 27001. Ajoutez des enregistrements de formation spécifiques à la direction pour satisfaire aux exigences de documentation de responsabilité.
(h) Cryptographie et chiffrement
Maintenir des politiques sur l'utilisation de la cryptographie et, le cas échéant, du chiffrement — couvrant les données au repos, les données en transit et la gestion des clés.
Couverture SMSI : ✅ Couvert par ISO 27001. Assurez-vous que votre politique de cryptographie reflète les normes actuelles et que les procédures de gestion des clés sont documentées et suivies.
(i) Sécurité des ressources humaines, contrôle des accès et gestion des actifs
Traiter la sécurité du personnel par des vérifications des antécédents et des procédures d'intégration/départ ; maintenir des contrôles d'accès à moindre privilège ; tenir un inventaire précis et à jour des actifs informatiques.
Couverture SMSI : ✅ Couverture ISO 27001 de base. Vérifiez que l'inventaire des actifs est à jour et que les révisions d'accès sont effectuées selon un calendrier défini.
(j) Authentification multi-facteur et communications sécurisées
Déployer l'authentification multi-facteur le cas échéant, et assurer des communications sécurisées pour la voix, la vidéo et le texte — y compris des communications de secours fonctionnant même lorsque l'infrastructure principale est compromise.
Couverture SMSI : ⚠️ L'AMF est généralement déployée, mais les communications d'urgence sécurisées — des canaux qui survivent à un incident majeur — sont fréquemment absents.
Exigences de notification d'incidents (Article 23)
Lorsqu'un incident significatif se produit, NIS2 impose une obligation de signalement en trois niveaux :
| Délai | Type de rapport | Contenu requis |
|---|---|---|
| Dans les 24 heures | Alerte précoce | Si l'incident est suspecté d'impliquer des actes illicites ou malveillants ; s'il peut avoir un impact transfrontalier |
| Dans les 72 heures | Notification d'incident | Évaluation mise à jour de la gravité et de l'impact ; indicateurs de compromission ; hypothèse initiale sur la cause principale |
| Dans le mois | Rapport final | Description complète de l'incident, cause principale confirmée, mesures d'atténuation appliquées, évaluation de l'impact transfrontalier |
Qu'est-ce qu'un incident « significatif » ?
Un incident est signalable lorsqu'il :
- A causé ou est susceptible de causer de graves perturbations opérationnelles ou des pertes financières pour votre organisation
- A affecté ou est susceptible de causer des dommages matériels ou immatériels considérables à d'autres personnes
En pratique, les événements suivants déclenchent généralement des obligations de signalement :
- Attaques par rançongiciel affectant des services critiques
- Attaques DDoS ayant un impact sur la disponibilité des services
- Violations de données impliquant des identifiants pour des systèmes critiques
- Compromissions de la chaîne d'approvisionnement entrant par des tiers
- Exploitation systématique de vulnérabilités à impact potentiel élevé
Important : Le délai de 24 heures commence lorsque l'incident est classifié comme significatif — et non à partir de la détection initiale. Une procédure claire de classification des incidents réduit considérablement le temps entre la découverte et la soumission de l'alerte précoce.
Pour plus de détails sur le processus de signalement, consultez notre guide Notification d'incidents NIS2 : Le délai de 24 heures.
Exigences de responsabilité de la direction (Article 20)
L'article 20 de NIS2 fait de la cybersécurité une obligation au niveau du conseil d'administration — légalement et explicitement :
- Approbation : Les organes de direction doivent formellement approuver les mesures de gestion des risques de cybersécurité
- Supervision : La direction doit superviser la mise en œuvre — et non déléguer sans responsabilité
- Formation : Les membres de l'organe de direction doivent suivre des formations régulières en cybersécurité
- Responsabilité : La direction peut être tenue personnellement responsable des infractions
Pour les entités essentielles, les autorités peuvent imposer une interdiction temporaire aux personnes exerçant des fonctions de direction en cas de violations répétées ou de négligence grave.
Ce que cela requiert en pratique :
- Une résolution documentée du conseil approuvant les mesures de cybersécurité
- Des briefings réguliers sur la cybersécurité et des dossiers de formation pour tous les membres de l'organe de direction
- Des preuves que la direction a examiné et approuvé le programme de gestion des risques
- Des procédures d'escalade claires atteignant la direction lorsque des incidents se produisent
En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité nationale compétente pour la transposition NIS2.
Exigences d'enregistrement (Article 27)
Les organisations dans le champ d'application doivent s'enregistrer auprès de leur autorité nationale compétente. L'enregistrement requiert généralement :
- Nom, adresse et coordonnées de l'organisation
- Secteur et type d'entité (essentielle ou importante)
- Services et activités couverts
- Plages d'adresses IP et noms de domaine utilisés
Délais nationaux 2026 :
- France : Transposition en cours via l'ANSSI ; délais d'enregistrement à confirmer lors de l'adoption finale de la loi nationale
- Allemagne : Enregistrement auprès du BSI requis avant environ avril 2026 (dans les trois mois suivant l'entrée en vigueur de la loi BSI modifiée du 6 décembre 2025)
- Italie : Fenêtre d'enregistrement annuelle du 1er janvier au 28 février 2026
Sanctions et application NIS2
NIS2 établit des seuils minimaux de sanctions applicables dans tous les États membres. Les implementations nationales peuvent fixer des maximums plus élevés.
Sanctions financières
| Type d'entité | Amende maximale |
|---|---|
| Entités essentielles | 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total — selon le montant le plus élevé |
| Entités importantes | 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total — selon le montant le plus élevé |
Pouvoirs d'application non financiers
Au-delà des amendes, les autorités nationales compétentes peuvent :
- Émettre des avertissements et des instructions contraignantes exigeant des mesures spécifiques
- Ordonner la divulgation publique de la non-conformité
- Suspendre des certifications ou autorisations
- Imposer des interdictions temporaires de direction (entités essentielles)
- Ordonner une remédiation immédiate avec des délais définis
Mises à jour d'application 2026
Plusieurs développements importants ont façonné l'application de NIS2 en 2026 :
Transposition de l'Allemagne (décembre 2025) : Contrairement à d'autres États membres qui ont adopté des lois autonomes, l'Allemagne a modifié la loi BSI existante. Les entités allemandes opèrent désormais dans le cadre BSI mis à jour avec des obligations spécifiques d'enregistrement, de signalement et d'audit liées au BSI comme autorité compétente.
Extension du délai d'audit : Le premier délai d'audit de conformité a été prolongé du 31 décembre 2025 au 30 juin 2026 dans plusieurs États membres, donnant aux organisations un temps de préparation supplémentaire.
Amendements de la Commission (janvier 2026) : Le 20 janvier 2026, la Commission européenne a proposé des amendements ciblés à NIS2 pour accroître la clarté juridique et réduire la charge de conformité pour environ 28 700 entreprises, dont 6 200 micro et petites entreprises. Ces amendements devraient assouplir certaines exigences de proportionnalité sans modifier les obligations fondamentales.
Statut de transposition : En mars 2026, la majorité des États membres ont transposé NIS2 en droit national. La France, l'Espagne et la Pologne sont dans les étapes législatives finales. L'application s'intensifie activement dans les pays qui ont transposé plus tôt (Belgique, Croatie, Hongrie, Lettonie, Lituanie).
Où ISO 27001 est insuffisant par rapport aux exigences NIS2
| Exigence NIS2 | Couverture ISO 27001 | Écart |
|---|---|---|
| Analyse des risques et politiques de sécurité | ✅ Couvert | Aucun |
| Capacité de signalement d'incidents en 24 heures | ⚠️ Partiel | Vitesse opérationnelle et procédures de notification CSIRT |
| Continuité des activités | ✅ Couvert | Vérifier les tests |
| Surveillance continue de la chaîne d'approvisionnement | ⚠️ Partiel | Évaluations annuelles ≠ surveillance continue |
| Évaluation de l'efficacité | ⚠️ Partiel | Capacité de preuves à la demande généralement absente |
| Communications d'urgence sécurisées | ❌ Non couvert | Aucun contrôle ISO 27001 ne traite cela |
| Approbation formelle de la direction + dossiers de formation | ⚠️ Partiel | Documentation de responsabilité Article 20 souvent manquante |
| Enregistrement auprès de l'ANSSI/autorité compétente | ❌ Non couvert | Exigence réglementaire hors du champ du SMSI |
Pour une analyse complète, consultez ISO 27001 n'est pas la conformité NIS2.
Priorités de mise en œuvre
Si vous commencez ou évaluez votre niveau de préparation, concentrez vos efforts sur les lacunes opérationnelles en priorité :
| Priorité | Exigence | Pourquoi c'est critique |
|---|---|---|
| 🔴 Haute | Signalement d'incidents en 24 heures | Délai strict ; l'échec crée immédiatement une exposition réglementaire |
| 🔴 Haute | Surveillance continue de la chaîne d'approvisionnement | La plupart des organisations s'appuient sur des questionnaires annuels — NIS2 exige davantage |
| 🔴 Haute | Gestion des preuves à la demande | Les autorités peuvent demander des preuves à tout moment, pas seulement lors des audits |
| 🟡 Moyenne | Communications d'urgence sécurisées | Souvent absentes ; requises par l'article 21(j) |
| 🟡 Moyenne | Documentation de formation de la direction | Requise pour la protection de responsabilité Article 20 |
| 🟢 Basse | Analyse des risques, BCM, cryptographie | Généralement couverts par le SMSI existant |
Utilisez notre checklist de conformité NIS2 pour cartographier vos contrôles existants par rapport à chacune des dix mesures et identifier précisément les lacunes.
Comment Orbiq répond aux exigences NIS2
Orbiq est conçu pour la conformité européenne dès sa conception, répondant aux exigences opérationnelles les plus importantes :
- Surveillance continue : Collecte automatisée de preuves et tableaux de bord de conformité en temps réel sur toutes les dix mesures de l'article 21 — pour être toujours prêt à l'audit, pas seulement annuellement
- Assurance fournisseurs : Évaluations centralisées des fournisseurs avec surveillance continue de la posture de sécurité des tiers, satisfaisant aux exigences de la chaîne d'approvisionnement de l'article 21(d)
- Trust Center : Un portail public démontrant votre posture de conformité aux clients, régulateurs et auditeurs sans consommer de ressources internes
- Gestion des preuves : Collecte et organisation automatiques des preuves de conformité dans une piste d'audit qui peut être produite à la demande
Contrairement aux plateformes de conformité américaines qui traitent les réglementations européennes comme des modules complémentaires, Orbiq est construit pour NIS2, le RGPD et DORA dès le premier jour — avec hébergement des données en UE et architecture résolument européenne.
Articles NIS2 connexes
- Qu'est-ce que NIS2 ? Guide complet de la Directive NIS2 de l'UE
- Conformité NIS2 : Comment atteindre et maintenir la conformité en 2026
- Checklist de conformité NIS2 : Exigences complètes de l'article 21
- Notification d'incidents NIS2 : Le délai de 24 heures
- Sécurité de la chaîne d'approvisionnement NIS2
- Assurance fournisseurs dans le cadre NIS2
- ISO 27001 n'est pas la conformité NIS2
- Préparation à l'audit NIS2 : Preuves continues
Sources & Références
- Directive NIS2 (UE) 2022/2555 — Texte officiel — Page officielle de la Commission européenne
- Directive NIS 2, Article 21 : Mesures de gestion des risques — Analyse détaillée de l'article 21
- Transposition NIS2 Allemagne — BSI Act (Morrison Foerster) — Amendement de la loi BSI décembre 2025
- NIS2 et échéances 2026 — Délai d'audit reporté au 30 juin 2026
- Suivi de transposition NIS2 (ECSO) — État de transposition par État membre
Ce guide est maintenu par l'équipe Orbiq. Dernière mise à jour : mars 2026.