La Directive NIS 2 élargit considérablement le champ d'application de la Directive NIS de 2016 transposée en France en 2018. Elle s'adresse à un éventail plus large d'industries pour étendre et renforcer les exigences en matière de cybersécurité dans l’UE
Ceci inclut la maîtrise des risques liés au tiers, la rationalisation des obligations de signalement et l'introduction d’exigences strictes en matière de mise en application. En d'autres termes, la directive NIS 2 impose à un grand nombre d'organisations de mettre en place un cadre complet de gestion des risques, dans le but d'accroître le niveau global de résilience en matière de cybersécurité au sein de l'UE.
La directive NIS2 devra être transposée par chaque état membre de l’UE en droit national, au plus tard en octobre 2024. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l'autorité nationale en matière de cybersécurité et de cyberdéfense, assurera ensuite en tant que régulateur le respect de la loi nationale, en ayant recours, si nécessaire, à des sanctions administratives sévères et à des mesures correctives.
Playback of this video is not currently available
La Directive NIS 2 apporte en premier lieu une modification significative à son champ d'application, le rendant nettement plus étendu que celui de son prédécesseur.
Désormais, la directive englobe un spectre élargi touchant près de 600 types d'entités différentes, regroupant plus de 10000 entités allant des Entreprises de Taille Intermédiaire (ETI) aux groupes du CAC40, réparties au sein de 18 secteurs d'activité distincts.
Ces secteurs, définis dans la directive, sont stratifiés en deux catégories principales : les secteurs hautement critiques et les secteurs critiques.
En fonction de ces secteurs, les entités seront désormais considérées en tant qu’entités importantes (EI) ou entités essentielles (EE). Cette distinction marque une évolution par rapport à la directive NIS originale, qui s'appliquait aux « Opérateurs de Services Essentiels » (OSE) et aux « Fournisseurs de Services Numériques » (FSN).
La directive NIS 2 ne remplace pas les réglementations sectorielles existantes, mais vient les compléter. Elle s’inscrit dans une logique d’harmonisation européenne de la cybersécurité, tout en laissant la place à des cadres plus spécifiques lorsque ceux-ci existent. Digital Operational Resilience Act (DORA), une réglementation sectorielle spécifique au secteur financier, est considérée comme une "lex specialis" par rapport à la directive NIS 2. Cela signifie que ses dispositions prévalent sur celles de NIS 2 pour les entités financières qualifiées d’essentielles ou importantes1.
En revanche, lorsque les réglementations sectorielles ne couvrent pas l’ensemble des entités d’un secteur visé par NIS 2, les dispositions de cette directive continuent de s’appliquer aux entités non couvertes. Ces dernières doivent notamment signaler les incidents aux CSIRT et aux autorités compétentes désignées.
La directive NIS 2, adoptée en 2025, redéfinit en profondeur les exigences de cybersécurité pour les organisations européennes. Bien plus ambitieuse que sa prédécesseuse, NIS 1, elle élargit son champ d’application à 18 secteurs critiques, contre seulement 6 auparavant. Elle introduit deux nouvelles catégories d’acteurs : les Entités Essentielles (EE) et les Entités Importantes (EI), soumises à des obligations renforcées.
Fini le système de désignation manuelle : désormais, toute entité répondant aux critères définis est automatiquement concernée. En France, cela représente un bond spectaculaire de 500 à près de 15 000 entités couvertes. NIS 2 impose des audits préventifs, une notification rapide des incidents, et des rapports de suivi détaillés. Elle prévoit également des sanctions dissuasives : amendes significatives, suspensions de certifications, voire interdictions temporaires d’exercer des fonctions de direction.
Autre nouveauté majeure : la création du réseau EU-CyCLONe, qui renforce la coopération entre États membres en cas de crise cyber. Là où NIS 1 reposait sur des initiatives nationales, NIS 2 mise sur une réponse coordonnée à l’échelle européenne.
En résumé, NIS 2 n’est pas une simple mise à jour : c’est un changement de paradigme qui place la cybersécurité au cœur de la résilience numérique des organisations.
Bien que le processus de transposition nationale en France soit encore en cours d’élaboration, la Directive européenne NIS 2 met déjà clairement en avant trois piliers majeurs dans lesquels les entités essentielles et entités importantes devront intensifier leurs efforts pour garantir leur conformité.
Forts de notre expérience aux côtés d'organisations dans toute l'Union européenne, nous vous recommandons les étapes suivantes :
La Directive NIS 2 établit deux catégories d'entités soumises à des exigences différentes en matière de cybersécurité : les entités essentielles (EE) et les entités importantes (EI).
Le tableau ci-dessous présente les principales distinctions entre ces deux régimes réglementaires :
Taille entreprise | Grande | Moyenne | Petite |
---|---|---|---|
Nombre d'employés | > 250 | Entre 50 et 250 | < 50 |
Chiffre d'affaires | > 50 millions € | Entre 10 et 50 millions € | < 10 millions € |
Bilan Annuel | > 43 millions € | Entre 10 et 43 millions € | < 10 millions € |
Annexe 1 | Entités Essentielles | Entités Importantes | Non concerné |
Annexe 2 | Entités Importantes | Entités Importantes | Non concerné |
Selon ce tableau :
La classification en Entité Essentielle ou Importante dépend donc à la fois de la taille de l'entreprise (nombre d'employés, chiffre d'affaires, bilan) et du secteur d'activité critique visé par les Annexes 1 ou 2.
Les exigences et le niveau de conformité requis par NIS2 varient ensuite selon cette classification.
La directive (UE) 2022/2555, connue sous le nom de Directive NIS 2, vise à renforcer la cybersécurité dans l'Union Européenne. En tant qu'acteur d’un de ces secteurs, votre organisation doit se conformer à ces nouvelles exigences. Ce livre blanc vous aidera à comprendre les enjeux et défis de la directive NIS 2, son champ d'application, le régime de sanctions et son impact sur les différents sous-secteurs. Ne manquez pas ce guide essentiel pour vous conformer à cette réglementation.
1 : Les articles 1.2 de DORA et 4.1 de NIS2 établissent cette hiérarchie juridique : les entités soumises à DORA ne sont pas tenues d’appliquer les dispositions équivalentes de NIS