NIS2 : Guide Complet 2025 – Tout ce que les Entreprises Doivent Savoir

Qu’est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security 2) est la nouvelle réglementation européenne en matière de cybersécurité, adoptée en décembre 2022. Elle remplace la directive NIS1 et élargit considérablement son champ d’application.

Référence officielle : Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022.

Qui est concerné par NIS2 ?

La directive NIS2 s’applique à 18 secteurs d’activité répartis en deux annexes selon leur niveau de criticité :

Annexe I – 11 secteurs hautement critiques (Entités Essentielles)

• Énergie (électricité, pétrole, gaz, hydrogène)
• Transports (aérien, ferroviaire, maritime, routier)
• Secteur bancaire
• Infrastructures de marchés financiers
• Santé (hôpitaux, laboratoires, pharmaceutiques)
• Eau potable
• Eaux usées
• Infrastructures numériques (cloud, data centers, DNS, CDN)
• Gestion des services TIC (prestataires managés B2B)
• Administration publique
• Espace (opérateurs de satellites)

Annexe II – 7 secteurs critiques (Entités Importantes)

• Services postaux et de messagerie
• Gestion des déchets
• Fabrication de produits chimiques
• Production et transformation de denrées alimentaires
• Fabrication d’équipements spécifiques (dispositifs médicaux, électronique, véhicules)
• Fournisseurs numériques (moteurs de recherche, réseaux sociaux, marketplaces)
• Recherche

Obligations principales NIS2

1. Mesures de gestion des risques de cybersécurité (Article 21)

Selon l’article 21 de la directive (UE) 2022/2555, les entreprises doivent mettre en place des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées :

• Politiques d’analyse des risques et de sécurité des systèmes d’information
• Gestion des incidents de sécurité
• Continuité des activités et gestion de crise
• Sécurité de la chaîne d’approvisionnement
• Sécurité lors de l’acquisition, du développement et de la maintenance
• Évaluation de l’efficacité des mesures
• Pratiques de cyberhygiène et formation
• Cryptographie et chiffrement
• Sécurité des ressources humaines et contrôle d’accès
• Authentification multifacteur

2. Notification des incidents (Article 23)

En cas d’incident cyber significatif, les entreprises doivent respecter des délais stricts :

• Alerte précoce : notification sous 24 heures à l’autorité compétente (ANSSI en France)
• Notification détaillée : rapport d’incident sous 72 heures
• Rapport final : analyse complète sous 1 mois

3. Responsabilité des dirigeants (Article 20)

La directive NIS2 engage directement la responsabilité personnelle des organes de direction. Les dirigeants doivent :

• Approuver formellement les mesures de cybersécurité
• Superviser leur mise en œuvre
• Suivre une formation obligatoire en cybersécurité
• Peuvent être tenus personnellement responsables en cas de manquement

Sanctions en cas de non-conformité (Article 34)

Les sanctions NIS2 suivent une double formule selon l’article 34 de la directive :

• Entités essentielles : jusqu’à 10 millions d’euros OU 2% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu)
• Entités importantes : jusqu’à 7 millions d’euros OU 1,4% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu)
• Interdictions temporaires d’exercer pour les dirigeants en cas de manquement caractérisé

Calendrier de mise en œuvre

• 16 janvier 2023 : Entrée en vigueur de la directive NIS2
• 17 octobre 2024 : Date limite de transposition dans les législations nationales
• 18 octobre 2024 : Application effective de la directive au niveau européen

État de la transposition en France

Situation actuelle : La France fait partie des 23 États membres ayant manqué la deadline du 17 octobre 2024. La transposition législative est en cours :

• 11-12 mars 2025 : Adoption du projet de loi par le Sénat
• 10 septembre 2025 : Vote en commission de l’Assemblée nationale
• Printemps 2026 : Promulgation définitive attendue

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) reste l’autorité compétente pour la supervision et les contrôles. Site officiel : cyber.gouv.fr

Comment se mettre en conformité NIS2 ?

Étape 1 : Diagnostic de conformité

Réalisez un audit gap analysis pour identifier les écarts avec les exigences de l’article 21.

Étape 2 : Plan d’action priorisé

Établissez une roadmap de mise en conformité avec jalons, ressources et budget validé par la direction.

Étape 3 : Mise en œuvre des mesures techniques

Déployez les solutions de cybersécurité nécessaires : SIEM, EDR, authentification multifacteur, chiffrement, segmentation réseau.

Étape 4 : Formation et sensibilisation

Formez vos équipes et obligatoirement vos dirigeants (exigence article 20) aux enjeux de cybersécurité.

Étape 5 : Documentation et gouvernance

Documentez toutes vos procédures, politiques et mesures pour démontrer votre conformité lors des contrôles ANSSI.

FAQ NIS2

Mon entreprise de 30 salariés est-elle concernée ?

Cela dépend de votre secteur. Le seuil général est de 50 salariés OU 10 millions d’euros de CA. Certains secteurs (registres DNS, services de confiance qualifiés) sont concernés quelle que soit leur taille.

Quelle différence entre NIS2 et RGPD ?

Le RGPD protège les données personnelles, NIS2 protège la sécurité des réseaux et systèmes d’information critiques. Les deux réglementations sont complémentaires et leurs obligations se cumulent.

Qui contrôle la conformité NIS2 en France ?

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est l’autorité compétente. Plateforme officielle : MonEspaceNIS2

Combien coûte la mise en conformité NIS2 ?

Entre 80 000€ et 300 000€ selon la taille de l’entreprise, la maturité cyber actuelle et le niveau d’externalisation. Un diagnostic initial permet d’affiner ce budget.

NIS2 et ISO 27001 sont-elles compatibles ?

Oui. ISO 27001 couvre une large partie des exigences techniques NIS2, mais ne suffit pas seule (obligations de notification, formation obligatoire des dirigeants, responsabilité personnelle). Les deux démarches sont complémentaires.