La NIS2 (Directive UE 2022/2555) couvre 18 secteurs et jusqu'à 160 000 entités dans l'UE. Utilisez ce guide pour déterminer si votre organisation est concernée, comprendre les dix obligations de l'article 21, et construire un programme de conformité solide.
La NIS2 (Directive UE 2022/2555) est la révision de la directive européenne sur la cybersécurité qui remplace la directive NIS initiale de 2016. Contrairement à DORA, qui est un Règlement UE directement applicable dans tous les États membres, la NIS2 est une Directive qui doit être transposée dans le droit national de chaque État membre — ce qui signifie que les détails de mise en oeuvre et les calendriers d'application peuvent varier d'un pays à l'autre.
La NIS2 est entrée en vigueur le 16 janvier 2023 et devait être transposée avant le 17 octobre 2024. Elle élargit considérablement le périmètre du droit européen de la cybersécurité : de 7 à 18 secteurs, et des opérateurs de services essentiels à toute entité de taille moyenne ou grande dans un secteur couvert. Elle introduit également la responsabilité des organes de direction, un calendrier standardisé de notification des incidents et la sécurité de la chaîne d'approvisionnement comme obligation explicite.
Indicateurs rapides de périmètre
Distinction clé : la NIS2 est une Directive (transposée au niveau national). DORA est un Règlement (directement applicable dans toute l'UE).
La NIS2 s'applique aux organisations de taille moyenne et plus dans les secteurs couverts (généralement : au moins 50 salariés ou chiffre d'affaires et bilan annuels supérieurs à 10 M EUR). Les entités de l'Annexe I sont classées comme essentielles ; celles de l'Annexe II comme importantes. Certains types d'infrastructures critiques sont concernés quelle que soit leur taille. Les autorités nationales compétentes peuvent également désigner de plus petites entités.
La distinction est importante : les entités essentielles font l'objet d'une supervision proactive et d'amendes plus élevées. Les entités importantes opèrent sous un régime ex-post. Utilisez le vérificateur ci-dessous pour identifier votre classification.
Votre organisation est-elle concernée ?
Répondez à trois questions pour connaître votre classification NIS2.
Étape 1 sur 3 — Votre secteur
La NIS2 couvre 18 secteurs répartis en deux annexes. Toute organisation dans ces secteurs qui répond au seuil de taille (ou est désignée comme infrastructure critique) doit se conformer. Les secteurs de l'Annexe I font l'objet d'obligations plus élevées et d'une supervision plus stricte.
Annexe I — Secteurs des entités essentielles
Énergie
Électricité, pétrole, gaz, hydrogène, chauffage/refroidissement urbain
Transport
Aérien, ferroviaire, maritime, routier (y compris gestionnaires de routes)
Banques
Établissements de crédit (au sens du Règlement UE 575/2013)
Infrastructures des marchés financiers
Plateformes de négociation, contreparties centrales (CCP)
Santé
Prestataires de soins, laboratoires de référence UE, R&D pharmaceutique, dispositifs médicaux
Eau potable
Fournisseurs et distributeurs d'eau destinée à la consommation humaine
Eaux usées
Entreprises collectant, traitant ou éliminant les eaux usées urbaines et industrielles
Infrastructure numérique
IXP, fournisseurs DNS, registres de noms de domaine, cloud, centres de données, CDN, MSP, MSSP, places de marché, moteurs de recherche, réseaux sociaux
Gestion des services ICT (B2B)
Prestataires de services gérés et prestataires de services de sécurité gérés
Administration publique
Autorités gouvernementales centrales et régionales (niveau local à la discrétion des États membres)
Espace
Infrastructure terrestre soutenant des services spatiaux
Annexe II — Secteurs des entités importantes
Services postaux et de messagerie
Prestataires du service universel et autres opérateurs postaux
Gestion des déchets
Entreprises effectuant des activités de gestion des déchets
Produits chimiques
Fabricants, producteurs et distributeurs de substances chimiques
Denrées alimentaires
Exploitants du secteur alimentaire (distribution en gros ou production/transformation industrielle)
Fabrication
Dispositifs médicaux, ordinateurs/électronique, machines, véhicules, autres équipements de transport
Fournisseurs numériques
Places de marché en ligne, moteurs de recherche, réseaux sociaux (entités moyennes et grandes)
Recherche
Organismes dont l'activité principale est la recherche
L'article 21 exige que les entités essentielles et importantes mettent en place des mesures proportionnées de gestion des risques de cybersécurité dans dix domaines. La norme est proportionnée au risque : les mesures doivent refléter l'exposition de l'entité, et non une liste de contrôle uniforme. La mesure de sécurité de la chaîne d'approvisionnement (article 21(2)(d)) est le lien direct entre la NIS2 et la gestion des risques tiers.
Politiques de sécurité des systèmes d'information et analyse des risques
Documenter et maintenir un cadre de gestion des risques cybersécurité approuvé par l'organe de direction.
Gestion des incidents
Mettre en place des procédures de détection, réponse et rétablissement. Tenir un registre des incidents.
Continuité des activités et gestion de crise
Gestion des sauvegardes, reprise après sinistre et procédures de crise pour restaurer systèmes et services.
Sécurité de la chaîne d'approvisionnement (Art. 21(2)(d))TPRM
Évaluer et gérer les risques de sécurité liés aux fournisseurs et prestataires directs. C'est le point d'entrée des obligations TPRM sous NIS2.
Voir la gestion des risques fournisseurs →Sécurité dans l'acquisition, le développement et la maintenance des systèmes
Politiques de gestion et divulgation des vulnérabilités dans les logiciels et matériels utilisés.
Procédures pour évaluer l'efficacité des mesures de gestion des risques
S'assurer que les mesures de cybersécurité fonctionnent et sont révisées périodiquement.
Pratiques de cyber-hygiène et formation à la cybersécurité
Hygiène de base et formation régulière du personnel et de la direction.
Politiques relatives à l'utilisation de la cryptographie et du chiffrement
Utilisation appropriée de contrôles cryptographiques pour protéger les données sensibles.
Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs
Contrôler les accès aux systèmes et données ; gérer la sécurité du personnel ayant des accès privilégiés.
Utilisation de l'authentification multifacteur ou de solutions d'authentification continue
MFA ou équivalent requis pour les accès distants et les comptes privilégiés.
Les incidents importants doivent être signalés en trois phases. Un incident est important s'il provoque une perturbation opérationnelle grave, une perte financière, ou s'il affecte d'autres personnes par des dommages matériels ou immatériels considérables. La chaîne de notification mène à votre CSIRT national et à l'autorité compétente.
24 heures
Alerte précoce
Soumettre une alerte précoce à votre autorité nationale compétente (et au CSIRT) dans les 24 heures suivant la prise de connaissance d'un incident important. Indiquer s'il est soupçonné d'être malveillant ou transfrontalier.
72 heures
Notification d'incident
Soumettre une notification complète dans les 72 heures. Inclure une évaluation initiale : gravité, impact, indicateurs de compromission et état de remédiation.
1 mois
Rapport final
Soumettre un rapport final (ou intermédiaire) dans le mois suivant. Inclure une description détaillée, type de menace ou cause racine, mesures d'atténuation appliquées et impact transfrontalier le cas échéant.
La NIS2 fixe des plafonds d'amendes minimaux au niveau UE significativement plus élevés que la directive NIS initiale. Les États membres peuvent imposer des amendes plus élevées dans leur transposition nationale. Le régime des amendes distingue entre entités essentielles et importantes.
Entités essentielles
Jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu)
Entités importantes
Jusqu'à 7 000 000 EUR ou 1,4 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu)
Source : article 34, Directive (UE) 2022/2555
Responsabilité de l'organe de direction
L'article 20 place la responsabilité directe sur l'organe de direction. Les conseils d'administration doivent approuver les politiques de cybersécurité, surveiller leur mise en oeuvre et suivre une formation. En cas de non-conformité persistante, les autorités compétentes peuvent temporairement interdire à des personnes physiques d'exercer des fonctions de direction — une escalade significative par rapport à la directive NIS initiale.
DORA (Règlement UE 2022/2554) fait office de lex specialis pour les entités financières : lorsque les dispositions de DORA sur le risque ICT sont au moins équivalentes aux exigences NIS2, les règles DORA prévalent (article 4(2) NIS2). Les banques, assureurs, entreprises d'investissement et autres entités financières soumises à DORA n'ont pas à se conformer doublement pour le risque ICT — DORA régit.
Cela dit, les filiales non financières ou sociétés holding d'une entité financière peuvent ne pas être soumises à DORA. Et les obligations de la chaîne d'approvisionnement de la NIS2 peuvent atteindre les entités financières indirectement, via leurs clients dans d'autres secteurs. Les deux textes se complètent plutôt qu'ils ne s'opposent.
Lire le guide DORA →La NIS2 est du droit européen et ne lie pas directement la Suisse. Cependant, les entreprises suisses font face à deux voies indirectes vers les obligations NIS2.
Voie 1 : établissement dans l'UE
Si une entreprise suisse dispose d'un établissement juridique (succursale, filiale ou siège social) dans un État membre de l'UE et y offre des services dans un secteur couvert, elle est probablement soumise à la NIS2 dans cet État membre. L'autorité compétente est celle de l'État membre où l'établissement est situé.
Voie 2 : obligations de la chaîne d'approvisionnement des clients UE
Les entreprises suisses fournissant des entités UE elles-mêmes soumises à la NIS2 doivent satisfaire aux exigences de sécurité que ces clients leur imposent au titre de l'article 21(2)(d). Même sans obligation NIS2 directe, anticipez des exigences contractuelles de sécurité, des questionnaires et des droits d'audit de la part de vos clients UE concernés.
Organisations franco-suisses
Les organisations opérant de part et d'autre de la frontière franco-suisse doivent suivre l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour l'état actuel de la transposition française. L'autorité compétente en France pour la NIS2 est l'ANSSI.
Voir l'ANSSI pour l'état de la transposition française →Ces cinq étapes vous conduisent de la détermination du périmètre à une posture de conformité solide.
Déterminer si vous êtes concerné
Utilisez le vérificateur de périmètre ci-dessus pour identifier si votre organisation relève de l'Annexe I ou II de la NIS2. Vérifiez si votre État membre a élargi le périmètre ou appliqué des exemptions (la transposition nationale peut varier).
Les autorités nationales compétentes publient des listes des entités désignées dans leur juridiction.
Réaliser une analyse d'écarts par rapport à l'article 21
Cartographiez vos contrôles de sécurité actuels par rapport aux dix mesures NIS2 de gestion des risques. Identifiez les contrôles absents, partiellement mis en oeuvre ou non documentés pour l'audit.
Construire ou mettre à jour votre programme de gestion des risques fournisseurs
L'article 21(2)(d) exige la sécurité de la chaîne d'approvisionnement. Inventoriez vos fournisseurs critiques et importants, effectuez des évaluations de sécurité et établissez des exigences contractuelles.
Mettre en place des procédures de détection et de notification des incidents
Configurez le pipeline de notification 24h/72h/1 mois vers votre CSIRT national. Attribuez les rôles, testez le processus et documentez-le avant qu'un incident ne survienne.
Informer l'organe de direction et établir la gouvernance
Les organes de direction sont personnellement responsables en vertu de l'article 20. Assurez-vous que le conseil d'administration a approuvé la politique de cybersécurité, reçoit des rapports réguliers et a suivi une formation.
L'exigence de sécurité de la chaîne d'approvisionnement est la partie la plus exigeante sur le plan opérationnel pour la plupart des organisations. Supplier Shield mappe votre inventaire fournisseurs aux obligations NIS2, effectue des évaluations proportionnées, collecte les preuves contractuelles et génère des rapports d'audit alignés à votre autorité nationale compétente.
Sélection de guides pertinents pour la conformité NIS2 et la gestion des risques tiers.
Guide de conformité DORA
DORA est le règlement complémentaire pour les entités financières. Comprenez comment il s'articule avec la NIS2 et ce que chacun régit.
Lire →Référence conformité réglementaire
Six réglementations expliquées côte à côte : NIS2, DORA, RGPD, ISO 27001, SOC 2 et FADP suisse.
Lire →Risques fournisseurs NIS2 pour la santé
Les entités essentielles de santé sous NIS2 doivent évaluer la sécurité de leurs fournisseurs et gérer les obligations RGPD Art. 28.
Lire →Gestion des risques fournisseurs IT et achats
Remplacez la gouvernance fournisseurs par tableur par des workflows TPRM structurés alignés à l'article 21 NIS2.
Lire →Comparer les outils TPRM
Voyez comment Supplier Shield se compare à Excel, Vanta, OneTrust, ProcessUnity, UpGuard et Prevalent pour la conformité NIS2.
Lire →Parler à un conseiller NIS2
Praticiens seniors disponibles pour des évaluations d'écarts NIS2, revues de préparation et conception de programmes. Forfait ou abonnement.
Lire →Réservez une évaluation gratuite de 30 minutes avec un conseiller NIS2 senior. Nous couvrons le périmètre, les écarts et le chemin le plus rapide vers une posture solide.