NIS2 signifie Network and Information Security Directive 2 (Directive sur la sécurité des réseaux et de l'information 2). Elle est officiellement connue sous le nom de Directive (UE) 2022/2555 du Parlement européen et du Conseil. Elle a remplacé la directive NIS originale (2016/1148) avec un champ d'application plus large, des exigences plus strictes et une application harmonisée.

Quand NIS2 est-elle entrée en vigueur ?

NIS2 est entrée en vigueur le 16 janvier 2023. Les États membres avaient jusqu'au 17 octobre 2024 pour la transposer en droit national. Cependant, de nombreux pays n'ont pas respecté ce délai, et les mises en œuvre nationales sont encore en cours dans plusieurs États membres début 2026.

Quels secteurs NIS2 couvre-t-elle ?

NIS2 couvre 18 secteurs répartis entre entités essentielles (énergie, transport, banque, santé, eau, infrastructure numérique, gestion des services TIC, administration publique, espace) et entités importantes (services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques, recherche). C'est considérablement plus large que les 7 secteurs de la directive NIS originale.

Comment NIS2 affecte-t-elle les petites entreprises ?

NIS2 s'applique généralement aux organisations de taille moyenne et grande (50+ employés ou chiffre d'affaires de 10 M€+) dans les secteurs couverts. Les petites entreprises sont généralement exclues, sauf si elles opèrent dans certains domaines critiques comme les services de confiance qualifiés, les registres de noms de domaine de premier niveau ou les fournisseurs DNS, où NIS2 s'applique quelle que soit la taille.

Que se passe-t-il en cas de non-conformité à NIS2 ?

La non-conformité à NIS2 peut entraîner des amendes administratives allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes. De plus, les organes de direction peuvent engager leur responsabilité personnelle et faire l'objet d'interdictions temporaires d'exercer des fonctions de gestion.

Qu'est-ce que NIS2 ? Le guide complet de la directive NIS2 de l'UE (2026)

Published 7 mars 2026

By Emre Salmanoglu

Qu'est-ce que NIS2 ? Le guide complet de la directive NIS2 de l'UE (2026)

Qu'est-ce que NIS2 ? La directive NIS2 de l'UE (2022/2555) impose aux organisations de 18 secteurs critiques des mesures de cybersécurité, le signalement des incidents et la sécurité de la chaîne d'approvisionnement. Guide complet avec exigences, sanctions et calendrier.

NIS2

Cybersécurité

Réglementation UE

Conformité

Qu'est-ce que NIS2 ? La directive européenne sur la cybersécurité expliquée

NIS2 est la directive européenne actualisée en matière de cybersécurité. Officiellement intitulée Directive (UE) 2022/2555, elle établit des exigences obligatoires de cybersécurité pour les organisations opérant dans des secteurs critiques de l'UE.

Si vous avez entendu parler de NIS2 et vous demandez ce que cela signifie pour votre organisation, ce guide explique tout en langage simple.

NIS2 en une phrase

NIS2 exige des organisations des secteurs critiques qu'elles mettent en œuvre des mesures de cybersécurité robustes, signalent les incidents de sécurité dans des délais stricts et gèrent la sécurité de la chaîne d'approvisionnement — avec de véritables sanctions en cas de non-conformité.

Pourquoi NIS2 existe

La directive NIS originale (2016) était la première tentative de l'UE de légiférer en matière de cybersécurité à l'échelle sectorielle. Elle présentait des problèmes :

Mise en œuvre incohérente : Chaque État membre l'a interprétée différemment
Trop restrictive : Ne couvrait que 7 secteurs, laissant des lacunes majeures
Application faible : Pas de seuils de sanctions minimaux, entraînant des conséquences incohérentes
Pas de focus sur la chaîne d'approvisionnement : Ne traitait pas le risque croissant lié aux fournisseurs tiers

Le paysage des cybermenaces a changé radicalement depuis 2016. Les attaques par rançongiciel, les compromissions de la chaîne d'approvisionnement et les menaces étatiques ont rendu la directive originale insuffisante. NIS2 est la réponse de l'UE.

Ce que NIS2 a changé par rapport à la directive NIS originale

Domaine	NIS originale (2016)	NIS2 (2022)
Secteurs	7 secteurs	18 secteurs
Types d'entités	OES + DSP	Entités essentielles + importantes
Seuil de taille	Discrétion des États membres	Harmonisé : 50+ employés ou 10 M€+
Signalement d'incidents	Sans retard injustifié	Alerte précoce de 24 h, notification de 72 h
Chaîne d'approvisionnement	Non spécifiquement traitée	Exigences explicites dans l'article 21
Responsabilité de la direction	Non traitée	Responsabilité personnelle des organes de direction
Sanctions	Discrétion des États membres	Seuils minimaux : 10 M€/2 % ou 7 M€/1,4 %
Supervision	Variable	Proactive (essentielles) et réactive (importantes)

À qui NIS2 s'applique-t-elle ?

NIS2 s'applique aux organisations qui remplissent les deux critères :

Opèrent dans l'un des 18 secteurs désignés (énergie, transport, banque, santé, eau, infrastructure numérique, etc.)
Atteignent les seuils de taille : 50+ employés ou chiffre d'affaires annuel de 10 M€+

Entités essentielles

Les secteurs les plus critiques : énergie, transport, banque, santé, eau, eaux usées, infrastructure numérique, gestion des services TIC, administration publique et espace. Soumises à une supervision proactive.

Entités importantes

Secteurs supplémentaires : services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques et recherche. Soumises à une supervision réactive (déclenchée par les incidents).

Certaines entités sont concernées quelle que soit leur taille, notamment les prestataires de services de confiance qualifiés, les registres TLD et les fournisseurs DNS.

Que requiert NIS2 ?

NIS2 repose sur trois piliers d'exigences :

1. Mesures de gestion des risques (Article 21)

Les organisations doivent mettre en œuvre dix mesures spécifiques de cybersécurité couvrant l'analyse des risques, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la sécurité des réseaux, l'évaluation de l'efficacité, la formation, la cryptographie, le contrôle d'accès et l'authentification multifacteur.

Le mot clé de l'article 21 est opérationnel. Avoir des politiques ne suffit pas. Vos mesures doivent fonctionner en pratique et vous devez être en mesure de le prouver.

2. Signalement des incidents (Article 23)

Lorsqu'un incident significatif survient :

Dans les 24 heures : Soumettre une alerte précoce à votre CSIRT national
Dans les 72 heures : Soumettre une notification d'incident complète
Dans un délai d'un mois : Soumettre un rapport final avec analyse des causes profondes

3. Gouvernance et responsabilité (Article 20)

Les organes de direction doivent :

Approuver les mesures de gestion des risques en matière de cybersécurité
Superviser leur mise en œuvre
Suivre une formation en cybersécurité
Assumer la responsabilité personnelle en cas de manquements

Sanctions NIS2

Le cadre de sanctions est conçu pour que la conformité soit prise au sérieux :

Entités essentielles : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial
Entités importantes : Jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial
Direction : Responsabilité personnelle, interdictions temporaires possibles

Ce sont des maximums minimaux — les États membres peuvent fixer des sanctions encore plus élevées dans leur mise en œuvre nationale.

Calendrier NIS2

Date	Événement
16 janv. 2023	NIS2 est entrée en vigueur
17 oct. 2024	Date limite de transposition nationale
17 avr. 2025	Date limite pour les listes d'entités
En cours	Mises en œuvre nationales en progression

Comment se préparer à NIS2

Vérifiez si vous êtes concerné — Examinez les secteurs et les seuils de taille
Évaluez vos écarts — Cartographiez vos mesures actuelles par rapport aux dix exigences de l'article 21
Concentrez-vous sur les écarts opérationnels — Le signalement des incidents, la surveillance de la chaîne d'approvisionnement et la gestion des preuves sont les domaines où la plupart des organisations sont en retard
Construisez une conformité continue — Utilisez des outils qui maintiennent la conformité comme une opération permanente, pas un projet périodique. Si vous évaluez des fournisseurs, notre comparatif des logiciels d'automatisation de la conformité montre quelles plateformes couvrent réellement les exigences européennes.

Prochaines étapes

Lisez notre guide complet de conformité NIS2 pour des orientations détaillées de mise en œuvre
Consultez la checklist de conformité NIS2 pour évaluer votre état de préparation
Découvrez pourquoi ISO 27001 seule n'est pas la conformité NIS2
Découvrez comment Orbiq aide à la conformité NIS2

Mis à jour en mars 2026. Ce guide est maintenu au fur et à mesure de l'avancement des mises en œuvre nationales.