01 56 43 68 80

6, Rue de Saint-Petersbourg, 75008 Paris

Directive NIS 2 : Quelles obligations en matière de cybersécurité ?

L’Union européenne a adopté en décembre 2022 la directive NIS 2, marquant un tournant majeur dans l’approche réglementaire de la cybersécurité. Ce nouveau cadre transforme radicalement les obligations des entreprises et la responsabilité de leurs dirigeants.

Directive NIS 2 Quelles obligations en matière de cybersécurité

La directive NIS 2 étend significativement le champ d’application des obligations de cybersécurité. Elle instaure une responsabilité personnelle des dirigeants, rompant avec l’approche précédente. Le régime de sanctions administratives peut atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles.

Cette directive impose aux entreprises concernées une mise en conformité anticipée, nonobstant l’absence de transposition en droit national.

Sommaire :

La généralisation des menaces numériques

La multiplication des cyberattaques ne relève plus de cas isolés. Chaque semaine, des entreprises françaises — parfois stratégiques — sont visées : fuites de données personnelles, paralysie des systèmes d’information, tentatives d’espionnage industriel. Le phénomène dépasse le cadre des attaques étatiques ; il touche désormais des logiques concurrentielles, où certains acteurs n’hésitent pas à instrumentaliser la cybersécurité comme un levier de déstabilisation.

Face à cette situation, les institutions européennes ont réagi, en adoptant la directive NIS 2 (Network and Information Security 2). Ce texte entend renforcer la résilience numérique de l’Union européenne en imposant de nouvelles obligations à un nombre accru d’organisations publiques et privées.

Si l’objectif de sécurisation est largement partagé, la complexité du texte, conjuguée aux retards de transposition en droit français, suscite de nombreuses interrogations. Ce qui suit vise à apporter un éclairage opérationnel, destiné en priorité aux dirigeants et aux responsables de la conformité.

Directive NIS 2 : un changement d’échelle par rapport à la directive NIS 1

La directive NIS 1, adoptée en 2016, s’appliquait à un nombre limité d’acteurs — principalement des opérateurs de services essentiels. Elle visait déjà à renforcer la cybersécurité, mais son champ d’application restreint et sa mise en œuvre hétérogène ont limité son efficacité.

La directive NIS 2, adoptée en décembre 2022, marque alors une inflexion importante. Elle élargit considérablement le périmètre des entités concernées, en visant désormais un grand nombre de secteurs, dont certains jusque-là peu ou pas réglementés en matière de cybersécurité.
L’objectif est donc clair : homogénéiser les exigences de sécurité à l’échelle européenne et répondre plus efficacement aux menaces systémiques.

Autre distinction majeure : NIS 2 accorde une place centrale à la responsabilité des organes de direction. Ces derniers ne peuvent plus déléguer intégralement la gestion de la cybersécurité. Ils en deviennent co-responsables.

Zero Trust, ou l'art de protéger sans enfermer

Lire notre article

Quelles sont les entreprises concernées par la directive NIS 2 ?

La directive prévoit une série de critères pour déterminer son champ d’application. Trois conditions cumulatives doivent en principe être examinées :

  1. L’entreprise doit être établie dans l’Union européenne ou y fournir des services.
  2. Elle doit atteindre certains seuils de taille: 50 employés ou + OU un chiffre d’affaires > à 10 millions d’euros (effectif, chiffre d’affaires ou total de bilan).
  3. Elle doit exercer une activité visée dans l’annexe I ou II de la directive NIS 2.

Les entités concernées sont ensuite classées en deux catégories : les entités essentielles(secteurs hautement critiques) et les entités importantes (secteurs critiques). Cette classification conditionne la nature des obligations, mais aussi l’intensité des contrôles auxquels l’entité pourra être soumise.

Cependant, il existe des exceptions à cette approche par seuils. Certains prestataires sont visés quelle que soit leur taille. C’est notamment le cas des fournisseurs de réseaux de communications électroniques ou de certaines administrations publiques centrales.

Les groupes d’entreprises doivent également être vigilants. La directive introduit la notion d’entreprise liée, qui implique une évaluation consolidée des seuils de taille. Une entité juridiquement distincte mais économiquement dépendante d’une autre peut ainsi se voir appliquer NIS 2 du seul fait de sa structure capitalistique.

Enfin, certaines entreprises peuvent être indirectement concernées. Lorsqu’une entité soumise à NIS 2 externalise des fonctions à des prestataires — par exemple, un éditeur de logiciel SaaS —, ces prestataires devront se conformer contractuellement aux exigences de cybersécurité imposées à leur client.

Un corpus d’obligations imposées par NIS 2

La directive NIS 2 s’articule autour de trois piliers : la gouvernance, la gestion des risques et la notification des incidents. Ces obligations sont transversales et s’appliquent à la fois aux entités essentielles et aux entités importantes, avec un niveau d’exigence variable selon la criticité.

Renforcement de la gouvernance

L’article 20 de la directive impose aux dirigeants d’entités soumises à NIS 2 une implication directe. Ils doivent approuver les politiques de cybersécurité, s’assurer de leur bonne mise en œuvre et bénéficier eux-mêmes d’une formation adaptée.
Ce point constitue une avancée majeure : il met fin à l’idée que la cybersécurité relèverait exclusivement des directions techniques.

Les dirigeants peuvent désormais voir leur responsabilité personnelle engagée, y compris par des interdictions temporaires d’exercice ou des sanctions administratives spécifiques en cas de manquement grave.

Mise en place d’un système de gestion des risques cyber

L’article 21 impose aux entités concernées de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles adaptées à leur niveau d’exposition. Il s’agit notamment de formaliser :

  • Une politique de sécurité des systèmes d’information (PSSI) ;
  • Un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) ;
  • Des procédures de gestion des incidents et de gestion des accès ;
  • Des audits de sécurité réguliers ;
  • Un contrôle des prestataires stratégiques, intégrant des clauses contractuelles dédiées.

Les exigences de NIS 2 s’inspirent largement des standards existants, en particulier de la norme ISO 27001 de l’article 32 du RGPD ainsi que des bonnes pratiques délivrées par l’ANSSI. Il est donc possible de mutualiser les efforts de conformité, en évitant la duplication documentaire.

Notification des incidents

En cas d’incident de sécurité jugé significatif, plusieurs obligations de notification successives s’imposent :

  • Une alerte précoce dans les 24 heures après avoir eu connaissance de l’incident ;
  • Une notification complète de l’incident dans un délai de 72 heures ;
  • Un rapport final au plus tard 1 mois suivant la notification de l’incident, sauf prorogation exceptionnelle.


L’autorité compétente pour la France est l’ANSSI. Ces courts délais exigent une préparation en amont : cartographie des risques, définition d’une cellule de crise, désignation de référents, et automatisation des mécanismes de reporting.

À ce titre, les retours d’expérience (ou « REX ») après chaque incident deviennent des outils incontournables d’amélioration continue.

Les mesures renforcées de la CNIL dans le cadre du RGPD

Lire notre article

Un régime de sanctions dissuasif

Le non-respect des obligations de la directive NIS 2 peut entraîner des sanctions administratives significatives, dont le montant peut atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles et jusqu’à 7 millions d’euros et 1,4% du chiffre d’affaires mondial pour les entités importantes.

D’autres mesures sont prévues : suspension d’activités, suspension ou interdiction temporaire d’une certification ou d’une autorisation, interdiction temporaire d’exercer des fonctions de direction ou de représentation légal, désignation d’un tiers « responsable de contrôle » pour assurer la mise en conformité.

L’autorité de contrôle pourra également rendre publique l’identité des entités sanctionnées et plus spécifiquement de la ou les personnes physiques et morales responsables de la violation, ce qui expose à un risque réputationnel majeur.

Ces sanctions viennent compléter les régimes existants, notamment de responsabilités pénales ou civiles du dirigeant, dans le cas d’une négligence caractérisée ayant contribué à une atteinte aux données ou à la sécurité d’un service essentiel.

Checklist juridique NIS 2 : que faire dès maintenant

Même si la directive n’a pas encore été transposée en droit français, les entreprises concernées ont tout intérêt à anticiper. Plusieurs étapes s’imposent :

  1. Vérifier si l’entité entre dans le champ d’application (secteur, taille, dépendance à un groupe).
  2. Réaliser une cartographie des risques cyber et des actifs critiques.
  3. Évaluer le niveau de maturité de la gouvernance en cybersécurité, en particulier la sensibilisation du comité de direction.
  4. Documenter les politiques de sécurité, les procédures d’incident, les plans de continuité.
  5. Former les collaborateurs, avec un accent particulier sur les directions métiers et les fonctions critiques.
  6. Renégocier les contrats avec les prestataires IT, pour intégrer les clauses requises.
  7. Prévoir des audits internes et tests de crise, pour valider l’efficacité des dispositifs.

Assurez votre conformité NIS2 et évitez les sanctions

Contacter le cabinet

Conclusion

Pour conclure, la directive NIS 2 est bien plus qu’un texte technique. Elle consacre une évolution culturelle majeure : la cybersécurité devient une responsabilité partagée, au plus haut niveau des organisations.

Les dirigeants ne peuvent plus considérer ce sujet comme une charge déléguée aux DSI ou aux RSSI. Il s’agit d’un enjeu stratégique, de gouvernance et de pérennité.

Agir dès maintenant, c’est se protéger. C’est aussi transformer une contrainte réglementaire en levier de résilience, de confiance et de compétitivité.

FAQ sur la directive NIS 2

Une entreprise certifiée ISO 27001 est-elle conforme à NIS 2 ?
Elle dispose d’une base solide, mais doit s’assurer que ses procédures couvrent bien les exigences spécifiques de NIS 2, notamment en matière de notification et de gouvernance.
Oui, même indirectement. Lorsqu’ils fournissent un service à une entité soumise à la directive, ils doivent respecter des exigences contractuelles, notamment en matière de sécurité, d’auditabilité et de continuité.
DORA, applicable au secteur financier, reprend et renforce les obligations de NIS 2. Une conformité à DORA implique donc de facto le respect de NIS 2, mais l’inverse n’est pas nécessairement vrai.
Oui. La directive prévoit des sanctions individuelles pouvant aller jusqu’à l’interdiction temporaire d’exercice, en cas de défaillance grave dans l’organisation de la sécurité.

Revenir à l’accueil