Guide réglementaire · Supplier Shield

Conformité NIS2 : périmètre, obligations et mise en conformité

La NIS2 (Directive UE 2022/2555) couvre 18 secteurs et jusqu'à 160 000 entités dans l'UE. Utilisez ce guide pour déterminer si votre organisation est concernée, comprendre les dix obligations de l'article 21, et construire un programme de conformité solide.

Réserver une démo gratuiteParler à un conseiller
Oct 2024
Délai de transposition
18
Secteurs couverts
Art. 21(2)(d)
Sécurité de la chaîne
§ 01 · Qu'est-ce que la NIS2

Qu'est-ce que la NIS2 ?

La NIS2 (Directive UE 2022/2555) est la révision de la directive européenne sur la cybersécurité qui remplace la directive NIS initiale de 2016. Contrairement à DORA, qui est un Règlement UE directement applicable dans tous les États membres, la NIS2 est une Directive qui doit être transposée dans le droit national de chaque État membre — ce qui signifie que les détails de mise en oeuvre et les calendriers d'application peuvent varier d'un pays à l'autre.

La NIS2 est entrée en vigueur le 16 janvier 2023 et devait être transposée avant le 17 octobre 2024. Elle élargit considérablement le périmètre du droit européen de la cybersécurité : de 7 à 18 secteurs, et des opérateurs de services essentiels à toute entité de taille moyenne ou grande dans un secteur couvert. Elle introduit également la responsabilité des organes de direction, un calendrier standardisé de notification des incidents et la sécurité de la chaîne d'approvisionnement comme obligation explicite.

Indicateurs rapides de périmètre

  • Entité de taille moyenne ou grande dans un secteur couvert
  • Secteurs Annexe I : automatiquement essentielle si les critères sont remplis
  • Secteurs Annexe II : automatiquement importante si les critères sont remplis
  • Certaines infrastructures critiques : concernées quelle que soit leur taille
  • Entreprises suisses ou hors UE avec établissements UE ou clients UE

Distinction clé : la NIS2 est une Directive (transposée au niveau national). DORA est un Règlement (directement applicable dans toute l'UE).

§ 02 · Périmètre

Qui est concerné ? Entités essentielles vs entités importantes

La NIS2 s'applique aux organisations de taille moyenne et plus dans les secteurs couverts (généralement : au moins 50 salariés ou chiffre d'affaires et bilan annuels supérieurs à 10 M EUR). Les entités de l'Annexe I sont classées comme essentielles ; celles de l'Annexe II comme importantes. Certains types d'infrastructures critiques sont concernés quelle que soit leur taille. Les autorités nationales compétentes peuvent également désigner de plus petites entités.

La distinction est importante : les entités essentielles font l'objet d'une supervision proactive et d'amendes plus élevées. Les entités importantes opèrent sous un régime ex-post. Utilisez le vérificateur ci-dessous pour identifier votre classification.

Votre organisation est-elle concernée ?

Répondez à trois questions pour connaître votre classification NIS2.

Étape 1 sur 3 — Votre secteur

§ 03 · Secteurs

Quels secteurs la NIS2 couvre-t-elle ?

La NIS2 couvre 18 secteurs répartis en deux annexes. Toute organisation dans ces secteurs qui répond au seuil de taille (ou est désignée comme infrastructure critique) doit se conformer. Les secteurs de l'Annexe I font l'objet d'obligations plus élevées et d'une supervision plus stricte.

Annexe I — Secteurs des entités essentielles

Énergie

Électricité, pétrole, gaz, hydrogène, chauffage/refroidissement urbain

Transport

Aérien, ferroviaire, maritime, routier (y compris gestionnaires de routes)

Banques

Établissements de crédit (au sens du Règlement UE 575/2013)

Infrastructures des marchés financiers

Plateformes de négociation, contreparties centrales (CCP)

Santé

Prestataires de soins, laboratoires de référence UE, R&D pharmaceutique, dispositifs médicaux

Eau potable

Fournisseurs et distributeurs d'eau destinée à la consommation humaine

Eaux usées

Entreprises collectant, traitant ou éliminant les eaux usées urbaines et industrielles

Infrastructure numérique

IXP, fournisseurs DNS, registres de noms de domaine, cloud, centres de données, CDN, MSP, MSSP, places de marché, moteurs de recherche, réseaux sociaux

Gestion des services ICT (B2B)

Prestataires de services gérés et prestataires de services de sécurité gérés

Administration publique

Autorités gouvernementales centrales et régionales (niveau local à la discrétion des États membres)

Espace

Infrastructure terrestre soutenant des services spatiaux

Annexe II — Secteurs des entités importantes

Services postaux et de messagerie

Prestataires du service universel et autres opérateurs postaux

Gestion des déchets

Entreprises effectuant des activités de gestion des déchets

Produits chimiques

Fabricants, producteurs et distributeurs de substances chimiques

Denrées alimentaires

Exploitants du secteur alimentaire (distribution en gros ou production/transformation industrielle)

Fabrication

Dispositifs médicaux, ordinateurs/électronique, machines, véhicules, autres équipements de transport

Fournisseurs numériques

Places de marché en ligne, moteurs de recherche, réseaux sociaux (entités moyennes et grandes)

Recherche

Organismes dont l'activité principale est la recherche

§ 04 · Obligations

Obligations clés en vertu de la NIS2 (article 21)

L'article 21 exige que les entités essentielles et importantes mettent en place des mesures proportionnées de gestion des risques de cybersécurité dans dix domaines. La norme est proportionnée au risque : les mesures doivent refléter l'exposition de l'entité, et non une liste de contrôle uniforme. La mesure de sécurité de la chaîne d'approvisionnement (article 21(2)(d)) est le lien direct entre la NIS2 et la gestion des risques tiers.

01

Politiques de sécurité des systèmes d'information et analyse des risques

Documenter et maintenir un cadre de gestion des risques cybersécurité approuvé par l'organe de direction.

02

Gestion des incidents

Mettre en place des procédures de détection, réponse et rétablissement. Tenir un registre des incidents.

03

Continuité des activités et gestion de crise

Gestion des sauvegardes, reprise après sinistre et procédures de crise pour restaurer systèmes et services.

04

Sécurité de la chaîne d'approvisionnement (Art. 21(2)(d))TPRM

Évaluer et gérer les risques de sécurité liés aux fournisseurs et prestataires directs. C'est le point d'entrée des obligations TPRM sous NIS2.

Voir la gestion des risques fournisseurs
05

Sécurité dans l'acquisition, le développement et la maintenance des systèmes

Politiques de gestion et divulgation des vulnérabilités dans les logiciels et matériels utilisés.

06

Procédures pour évaluer l'efficacité des mesures de gestion des risques

S'assurer que les mesures de cybersécurité fonctionnent et sont révisées périodiquement.

07

Pratiques de cyber-hygiène et formation à la cybersécurité

Hygiène de base et formation régulière du personnel et de la direction.

08

Politiques relatives à l'utilisation de la cryptographie et du chiffrement

Utilisation appropriée de contrôles cryptographiques pour protéger les données sensibles.

09

Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs

Contrôler les accès aux systèmes et données ; gérer la sécurité du personnel ayant des accès privilégiés.

10

Utilisation de l'authentification multifacteur ou de solutions d'authentification continue

MFA ou équivalent requis pour les accès distants et les comptes privilégiés.

§ 05 · Notification

Calendrier de notification des incidents (article 23)

Les incidents importants doivent être signalés en trois phases. Un incident est important s'il provoque une perturbation opérationnelle grave, une perte financière, ou s'il affecte d'autres personnes par des dommages matériels ou immatériels considérables. La chaîne de notification mène à votre CSIRT national et à l'autorité compétente.

24 heures

Alerte précoce

Soumettre une alerte précoce à votre autorité nationale compétente (et au CSIRT) dans les 24 heures suivant la prise de connaissance d'un incident important. Indiquer s'il est soupçonné d'être malveillant ou transfrontalier.

72 heures

Notification d'incident

Soumettre une notification complète dans les 72 heures. Inclure une évaluation initiale : gravité, impact, indicateurs de compromission et état de remédiation.

1 mois

Rapport final

Soumettre un rapport final (ou intermédiaire) dans le mois suivant. Inclure une description détaillée, type de menace ou cause racine, mesures d'atténuation appliquées et impact transfrontalier le cas échéant.

§ 06 · Amendes

Amendes et responsabilité des dirigeants

La NIS2 fixe des plafonds d'amendes minimaux au niveau UE significativement plus élevés que la directive NIS initiale. Les États membres peuvent imposer des amendes plus élevées dans leur transposition nationale. Le régime des amendes distingue entre entités essentielles et importantes.

Entités essentielles

Jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu)

Entités importantes

Jusqu'à 7 000 000 EUR ou 1,4 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu)

Source : article 34, Directive (UE) 2022/2555

Responsabilité de l'organe de direction

L'article 20 place la responsabilité directe sur l'organe de direction. Les conseils d'administration doivent approuver les politiques de cybersécurité, surveiller leur mise en oeuvre et suivre une formation. En cas de non-conformité persistante, les autorités compétentes peuvent temporairement interdire à des personnes physiques d'exercer des fonctions de direction — une escalade significative par rapport à la directive NIS initiale.

§ 07 · NIS2 vs DORA

NIS2 vs DORA : laquelle s'applique aux entités financières ?

DORA (Règlement UE 2022/2554) fait office de lex specialis pour les entités financières : lorsque les dispositions de DORA sur le risque ICT sont au moins équivalentes aux exigences NIS2, les règles DORA prévalent (article 4(2) NIS2). Les banques, assureurs, entreprises d'investissement et autres entités financières soumises à DORA n'ont pas à se conformer doublement pour le risque ICT — DORA régit.

Cela dit, les filiales non financières ou sociétés holding d'une entité financière peuvent ne pas être soumises à DORA. Et les obligations de la chaîne d'approvisionnement de la NIS2 peuvent atteindre les entités financières indirectement, via leurs clients dans d'autres secteurs. Les deux textes se complètent plutôt qu'ils ne s'opposent.

Lire le guide DORA
§ 08 · Cas suisse

La NIS2 s'applique-t-elle aux entreprises suisses ?

La NIS2 est du droit européen et ne lie pas directement la Suisse. Cependant, les entreprises suisses font face à deux voies indirectes vers les obligations NIS2.

Voie 1 : établissement dans l'UE

Si une entreprise suisse dispose d'un établissement juridique (succursale, filiale ou siège social) dans un État membre de l'UE et y offre des services dans un secteur couvert, elle est probablement soumise à la NIS2 dans cet État membre. L'autorité compétente est celle de l'État membre où l'établissement est situé.

Voie 2 : obligations de la chaîne d'approvisionnement des clients UE

Les entreprises suisses fournissant des entités UE elles-mêmes soumises à la NIS2 doivent satisfaire aux exigences de sécurité que ces clients leur imposent au titre de l'article 21(2)(d). Même sans obligation NIS2 directe, anticipez des exigences contractuelles de sécurité, des questionnaires et des droits d'audit de la part de vos clients UE concernés.

Organisations franco-suisses

Les organisations opérant de part et d'autre de la frontière franco-suisse doivent suivre l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour l'état actuel de la transposition française. L'autorité compétente en France pour la NIS2 est l'ANSSI.

Voir l'ANSSI pour l'état de la transposition française
§ 09 · Préparation

Comment se préparer à la NIS2 : un parcours de mise en conformité

Ces cinq étapes vous conduisent de la détermination du périmètre à une posture de conformité solide.

01

Déterminer si vous êtes concerné

Utilisez le vérificateur de périmètre ci-dessus pour identifier si votre organisation relève de l'Annexe I ou II de la NIS2. Vérifiez si votre État membre a élargi le périmètre ou appliqué des exemptions (la transposition nationale peut varier).

Les autorités nationales compétentes publient des listes des entités désignées dans leur juridiction.

02

Réaliser une analyse d'écarts par rapport à l'article 21

Cartographiez vos contrôles de sécurité actuels par rapport aux dix mesures NIS2 de gestion des risques. Identifiez les contrôles absents, partiellement mis en oeuvre ou non documentés pour l'audit.

03

Construire ou mettre à jour votre programme de gestion des risques fournisseurs

L'article 21(2)(d) exige la sécurité de la chaîne d'approvisionnement. Inventoriez vos fournisseurs critiques et importants, effectuez des évaluations de sécurité et établissez des exigences contractuelles.

04

Mettre en place des procédures de détection et de notification des incidents

Configurez le pipeline de notification 24h/72h/1 mois vers votre CSIRT national. Attribuez les rôles, testez le processus et documentez-le avant qu'un incident ne survienne.

05

Informer l'organe de direction et établir la gouvernance

Les organes de direction sont personnellement responsables en vertu de l'article 20. Assurez-vous que le conseil d'administration a approuvé la politique de cybersécurité, reçoit des rapports réguliers et a suivi une formation.

§ 10 · Plateforme

Supplier Shield automatise l'article 21(2)(d) de la NIS2

L'exigence de sécurité de la chaîne d'approvisionnement est la partie la plus exigeante sur le plan opérationnel pour la plupart des organisations. Supplier Shield mappe votre inventaire fournisseurs aux obligations NIS2, effectue des évaluations proportionnées, collecte les preuves contractuelles et génère des rapports d'audit alignés à votre autorité nationale compétente.

Voir comment ça fonctionneParler à un conseiller NIS2
§ 11 · Guides connexes

Continuer la lecture

Sélection de guides pertinents pour la conformité NIS2 et la gestion des risques tiers.

Guide de conformité DORA

DORA est le règlement complémentaire pour les entités financières. Comprenez comment il s'articule avec la NIS2 et ce que chacun régit.

Lire

Référence conformité réglementaire

Six réglementations expliquées côte à côte : NIS2, DORA, RGPD, ISO 27001, SOC 2 et FADP suisse.

Lire

Risques fournisseurs NIS2 pour la santé

Les entités essentielles de santé sous NIS2 doivent évaluer la sécurité de leurs fournisseurs et gérer les obligations RGPD Art. 28.

Lire

Gestion des risques fournisseurs IT et achats

Remplacez la gouvernance fournisseurs par tableur par des workflows TPRM structurés alignés à l'article 21 NIS2.

Lire

Comparer les outils TPRM

Voyez comment Supplier Shield se compare à Excel, Vanta, OneTrust, ProcessUnity, UpGuard et Prevalent pour la conformité NIS2.

Lire

Parler à un conseiller NIS2

Praticiens seniors disponibles pour des évaluations d'écarts NIS2, revues de préparation et conception de programmes. Forfait ou abonnement.

Lire
§ 12 · FAQ

Questions fréquentes sur la NIS2

Qu'est-ce que la NIS2 ?
La NIS2 (Directive UE 2022/2555) est la révision de la directive européenne sur la cybersécurité, remplaçant la directive NIS initiale. Elle est entrée en vigueur le 16 janvier 2023 et devait être transposée dans le droit national au plus tard le 17 octobre 2024. Elle couvre un éventail plus large de secteurs et introduit des obligations plus strictes, des amendes plus élevées et une responsabilité personnelle des dirigeants.
Quand la NIS2 est-elle entrée en vigueur ?
La NIS2 est entrée en vigueur le 16 janvier 2023. Les États membres devaient la transposer dans leur droit national au plus tard le 17 octobre 2024. L'état d'avancement de la transposition varie selon les pays ; consultez votre autorité nationale compétente pour l'état actuel.
Quelle est la différence entre NIS et NIS2 ?
La directive NIS initiale (2016) couvrait les opérateurs de services essentiels et les fournisseurs de services numériques dans sept secteurs. La NIS2 étend la couverture à 18 secteurs, abaisse le seuil de taille minimum aux entités de taille moyenne, harmonise les obligations dans l'UE, relève significativement les amendes maximales et ajoute la responsabilité personnelle des organes de direction.
La NIS2 est-elle obligatoire ?
Oui, pour les organisations qui répondent aux critères de secteur et de taille (généralement les entités de taille moyenne et plus dans les secteurs couverts). Les États membres peuvent également désigner des entités plus petites comme critiques indépendamment de leur taille. Le non-respect peut entraîner des amendes et la responsabilité des dirigeants.
Quelles sont les amendes NIS2 ?
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu). Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Source : Directive NIS2, article 34.
Quelle est l'échéance NIS2 en France ?
L'échéance de transposition NIS2 pour tous les États membres de l'UE était le 17 octobre 2024. Pour l'état actuel de la transposition française, consultez le site de l'ANSSI à l'adresse anssi.gouv.fr.
Les dirigeants peuvent-ils être personnellement responsables en vertu de la NIS2 ?
Oui. L'article 20 exige que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité, supervisent leur mise en oeuvre et suivent une formation. Les autorités nationales compétentes peuvent temporairement interdire à une personne physique d'exercer des fonctions de direction en cas de non-conformité persistante.
Que requiert la NIS2 en matière de sécurité de la chaîne d'approvisionnement ?
L'article 21(2)(d) exige explicitement que les entités essentielles et importantes traitent les risques de cybersécurité dans la chaîne d'approvisionnement, y compris les aspects sécurité concernant les relations entre chaque entité et ses fournisseurs et prestataires de services directs. Cela crée une obligation de gestion des risques envers tous les fournisseurs critiques et importants.
La NIS2 s'applique-t-elle aux entreprises suisses ?
La NIS2 est une directive européenne et ne s'applique pas directement à la Suisse. Cependant, les entreprises suisses sont indirectement concernées de deux façons : (1) une entité suisse ayant un établissement dans l'UE et offrant des services dans un secteur couvert peut relever de la directive ; (2) les entreprises suisses qui fournissent des entités UE doivent répondre aux exigences de sécurité que ces entités leur imposent au titre de l'article 21(2)(d).
Si nous sommes déjà soumis à DORA, devons-nous aussi nous conformer à la NIS2 ?
DORA fait office de lex specialis pour les entités financières couvertes par le Règlement sur la résilience opérationnelle numérique. L'article 4(2) de la NIS2 précise que lorsque d'autres actes législatifs sectoriels de l'UE imposent des mesures de gestion des risques de cybersécurité équivalentes à celles de la NIS2, ces dispositions sectorielles priment. En pratique, la conformité DORA devrait largement satisfaire aux exigences NIS2 pour les entités financières, mais vérifiez ce point avec votre conseil juridique.
Qui contrôle l'application de la NIS2 ?
Chaque État membre de l'UE désigne une ou plusieurs autorités nationales compétentes (ANC) chargées de superviser la conformité NIS2. Les entités essentielles font l'objet d'une supervision proactive (ex-ante) ; les entités importantes d'une supervision réactive (ex-post). France : ANSSI. Allemagne : BSI. Pays-Bas : NCSC-NL. Contactez votre autorité nationale pour des conseils spécifiques à votre juridiction.
Comment commencer à se préparer à la NIS2 ?
Commencez par une détermination du périmètre (utilisez le vérificateur sur cette page), puis réalisez une analyse d'écarts par rapport aux dix mesures de l'article 21. Priorisez la sécurité de la chaîne d'approvisionnement et les procédures de notification des incidents, qui nécessitent le plus de temps de préparation. Informez votre organe de direction tôt — il porte une responsabilité personnelle.

Prêt à démarrer votre programme NIS2 ?

Réservez une évaluation gratuite de 30 minutes avec un conseiller NIS2 senior. Nous couvrons le périmètre, les écarts et le chemin le plus rapide vers une posture solide.

Réserver une évaluation gratuiteNous contacter

Référence conformitéGuide DORATarifs