La directive NIS 2, également appelée directive SRI 2 dans les textes français, est la réforme la plus ambitieuse du cadre réglementaire européen en matière de cybersécurité depuis 2016. Adoptée le 14 décembre 2022 et publiée au Journal officiel de l'Union européenne (Directive (UE) 2022/2555), elle élargit de manière sans précédent le périmètre des entités soumises à des exigences de sécurité, renforce les obligations, double les sanctions et introduit pour la première fois une responsabilité personnelle des dirigeants.
En France, la transposition, qui aurait dû être achevée au plus tard le 17 octobre 2024, est portée par le projet de loi Résilience, toujours en cours d'adoption parlementaire. L'examen en séance plénière à l'Assemblée nationale est probablement repoussé à juillet 2026 au plus tôt. L'ANSSI a lancé le 17 mars 2026 le Référentiel Cyber France (ReCyF) et met à disposition l'outil MonEspaceNIS2 pour accompagner les entreprises dans leur préparation. Ce guide explique qui est concerné, quelles sont les obligations de l'article 21, où en est la transposition, et comment construire votre parcours de conformité.
Qu'est-ce que la directive NIS 2 ?
Directive NIS 2 en bref
Directive (UE) 2022/2555 du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'Union européenne. Elle remplace et élargit considérablement le cadre posé par la première directive NIS adoptée en 2016.
La directive NIS 2 succède à la directive NIS 1 de 2016, dont la portée était limitée à quelques centaines d'Opérateurs de Services Essentiels et de fournisseurs de Services Numériques. NIS 2 transforme ce périmètre restreint en un cadre couvrant potentiellement des dizaines de milliers d'entités à l'échelle européenne, environ 10 000 en France selon les estimations actuelles.
NIS 2 vs NIS 1 : trois changements structurants
- Périmètre inédit : 18 secteurs couverts (contre 7 sous NIS 1), avec deux catégories d'entités, essentielles et importantes, soumises aux mêmes exigences de sécurité.
- Obligations harmonisées : 10 mesures minimales obligatoires définies à l'article 21, applicables à toutes les entités concernées sans exception.
- Responsabilité personnelle : pour la première fois, les membres de la direction sont personnellement responsables de la mise en conformité et peuvent être sanctionnés individuellement.
Qui est concerné par la directive NIS 2 ?
Entités essentielles (11 secteurs)
Les entités essentielles opèrent dans des secteurs jugés critiques pour le fonctionnement de la société. Elles font l'objet d'une supervision proactive de l'ANSSI, des contrôles peuvent intervenir sans incident préalable. Les sanctions maximales s'élèvent à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
- Énergie (électricité, gaz naturel, pétrole, hydrogène)
- Transport (aérien, ferroviaire, maritime, fluvial, routier, transport urbain)
- Secteur bancaire (établissements de crédit)
- Infrastructures des marchés financiers (places de négociation, contreparties centrales)
- Santé (prestataires de soins, laboratoires de référence, fabricants de produits pharmaceutiques et dispositifs médicaux critiques, R&D)
- Eau potable (fournisseurs et distributeurs)
- Eaux usées (collecte, traitement et rejets)
- Infrastructure numérique (points d'échange Internet, DNS, TLD, services cloud, data centers, CDN, services de confiance qualifiés)
- Gestion des services ICT (fournisseurs de services managés et de sécurité managée)
- Administration publique (administrations centrales, régionales et locales selon les seuils nationaux)
- Espace (opérateurs d'infrastructures terrestres appuyant des services spatiaux)
Entités importantes (7 secteurs)
Les entités importantes sont soumises aux mêmes 10 mesures de sécurité que les entités essentielles, mais font l'objet d'une supervision réactive : l'ANSSI intervient principalement après signalement ou incident. Les sanctions maximales s'élèvent à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial.
- Services postaux et de messagerie
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution de denrées alimentaires
- Fabrication (dispositifs médicaux, produits informatiques, électronique, matériels électriques, machines, véhicules à moteur)
- Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
- Organismes de recherche
Le critère de taille : qui est réellement visé ?
Opérer dans un secteur couvert ne suffit pas : encore faut-il dépasser le seuil de taille. La règle générale distingue trois cas :
- Grande entreprise : 250 salariés ou plus, OU chiffre d'affaires supérieur à 50 M€ et bilan supérieur à 43 M€.
- Moyenne entreprise : 50 salariés ou plus, OU chiffre d'affaires supérieur à 10 M€. Les moyennes entreprises dans un secteur couvert sont assujetties à NIS 2.
- Petite entreprise (moins de 50 salariés, moins de 10 M€ de CA) : en principe exclue du périmètre NIS 2, sauf exceptions pour certaines infrastructures critiques spécifiquement identifiées.
Êtes-vous concerné par NIS 2 ?
Vous êtes concerné si votre organisation dépasse au moins deux de ces trois seuils : 50 salariés, 10 millions d'euros de chiffre d'affaires annuel, 10 millions d'euros de bilan total; et si vous exercez dans l'un des 18 secteurs couverts. C'est le critère retenu par la réglementation européenne et qui sera confirmé par la loi Résilience en droit français.
L'ANSSI met à disposition l'outil MonEspaceNIS2 qui permet à chaque organisation de vérifier si elle entre dans le périmètre NIS 2 et de commencer sa démarche de préparation.
Les collectivités territoriales : un périmètre étendu par la loi Résilience
Le projet de loi Résilience étend explicitement NIS 2 aux collectivités territoriales françaises, qui constituent l'un des élargissements les plus significatifs du périmètre par rapport au texte européen de base. Sont classées entités essentielles : toutes les régions, tous les départements, les communes et intercommunalités de plus de 30 000 habitants, ainsi que les grandes métropoles et EPCIs assurant des services critiques (eau, énergie, transport). Ce périmètre représente environ 1 500 entités essentielles selon les estimations issues du projet de loi.
Sont classées entités importantes : les communautés de communes, soit environ 992 groupements. La responsabilité personnelle des élus dirigeants s'applique au même titre que celle des dirigeants du secteur privé. Les services numériques des collectivités (systèmes d'information eau, SI financier, plateformes citoyens) entrent dans le périmètre des systèmes soumis aux 10 mesures de l'article 21. Les agents en charge de la cybersécurité dans les collectivités concernées peuvent se préparer avec la formation NIS 2 Foundation, conçue pour les professionnels qui doivent maîtriser les exigences réglementaires et piloter la préparation de leur organisation.
Source : loi Résilience, Banque des Territoires, 5 mars 2026
Le périmètre exact des collectivités territoriales sera confirmé par la promulgation de la loi Résilience, attendue au plus tôt en juillet 2026. La Banque des Territoires publie un suivi régulier de l'avancement parlementaire. Les collectivités peuvent d'ores et déjà s'appuyer sur l'outil MonEspaceNIS2 de l'ANSSI pour préparer leur mise en conformité.
Entités essentielles vs entités importantes sous NIS 2
Critère: Secteurs
Critère: Supervision ANSSI
Critère: Sanction maximale
Critère: Responsabilité dirigeants
Critère: Mesures Article 21
Quiz NIS 2 en 5 questions : testez vos connaissances sur la directive, les délais, les sanctions et les mesures de l'article 21. Résultat personnalisé selon votre score avec recommandation de formation.
NIS 2 et les sous-traitants : l'impact invisible de l'article 21(d)
L'une des questions les plus fréquentes est : « Nous sommes en dessous des seuils de taille; sommes-nous vraiment hors périmètre ? » La réponse est nuancée. L'article 21(2)(d) de la directive impose à toutes les entités essentielles et importantes de maîtriser la sécurité de leur chaîne d'approvisionnement, y compris leurs fournisseurs directs et prestataires de services. Concrètement, cela signifie que l'entité soumise à NIS 2 va répercuter ces exigences contractuellement sur ses sous-traitants, quelle que soit leur taille. Être en dessous des seuils protège de l'obligation directe, pas de l'obligation contractuelle imposée par vos clients.
Sont particulièrement concernés les prestataires de services managés (MSP), les intégrateurs, les éditeurs de logiciels métier, les hébergeurs, les fournisseurs de cloud, et tout prestataire disposant d'un accès aux systèmes d'information d'une EE ou d'une EI. Ces organisations ne sont pas formellement assujetties à NIS 2 mais elles seront évaluées et auditées contractuellement par leurs clients. Le niveau de sécurité imposé; politique de gestion des risques, procédure d'incident documentée, contrôle d'accès; devient un prérequis commercial, pas seulement réglementaire.
Vous êtes fournisseur d'une entité NIS 2 ?
Même si votre organisation est sous les seuils de taille, vos clients EE et EI doivent évaluer votre niveau de sécurité. Anticiper en structurant votre documentation (politique de risques, procédure d'incident, contrôle d'accès) vous donne un avantage commercial décisif lors des appels d'offres et des renouvellements de contrats.
Les professionnels chargés de piloter la conformité NIS 2 côté fournisseur; RSSI, responsables achats, compliance officers; trouvent dans la certification NIS 2 Lead Implementer le référentiel qui structure leur compétence en gestion des risques tiers et sécurité de la chaîne d'approvisionnement, deux domaines au cœur de l'article 21(d). Pour les organisations gérant de nombreux fournisseurs, des plateformes TPRM comme Supplier Shield permettent de structurer et d'automatiser ces évaluations à grande échelle.
La transposition NIS 2 en France, état des lieux 2026
La directive NIS 2 fixait au 17 octobre 2024 la date limite de transposition dans tous les États membres. En France, le projet de loi Résilience a été déposé au Sénat le 15 octobre 2024, adopté en première lecture par le Sénat, puis examiné en première lecture par l'Assemblée nationale à partir du 13 mars 2025. En mars 2026, les rapporteurs parlementaires ont annoncé que l'examen en séance plénière serait probablement repoussé à juillet 2026 au plus tôt, faisant de la France l'un des États membres les plus en retard sur cette transposition. Cette date de juillet 2026 reste provisoire, conditionnée à l'agenda parlementaire.
Cette situation de transition signifie que certains seuils sectoriels et les montants de sanction exacts en droit français seront confirmés par la loi définitive. En attendant, l'ANSSI encourage fortement les futures entités assujetties à engager dès maintenant leur démarche de sécurisation sur la base du cadre européen, qui constitue le plancher minimal des obligations.
Environ 10 000 entités concernées en France
Selon les estimations actuelles, NIS 2 concernera environ 10 000 entités en France, contre quelques centaines sous NIS 1. Ce chiffre peut varier selon les extensions prévues par la loi nationale (collectivités territoriales, établissements d'enseignement supérieur...). Certaines sources sectorielles citent jusqu'à 15 000 entités selon les hypothèses retenues.
ReCyF, Référentiel Cyber France (17 mars 2026)
L'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2; correspondant à l'article 14 du projet de loi Résilience. Non obligatoire par défaut, les entités qui l'appliquent peuvent s'en prévaloir lors des contrôles ANSSI. L'ANSSI propose également un outil de comparaison entre le ReCyF, ISO 27001, DORA et d'autres référentiels.
Les 10 mesures obligatoires de l'article 21
L'article 21 de la directive NIS 2 définit les mesures minimales que toutes les entités essentielles et importantes doivent mettre en œuvre. La directive établit 10 catégories de mesures (a à j), chacune comportant en pratique plusieurs sous-exigences à décliner proportionnellement au profil de risque, à la taille et au secteur de l'organisation. Ces exigences ne sont pas des recommandations : elles sont vérifiées lors des contrôles de l'ANSSI et leur absence constitue un manquement susceptible d'entraîner des sanctions.
- a) Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information
- b) Gestion des incidents (détection, signalement, réponse et retour d'expérience)
- c) Continuité des activités, gestion des sauvegardes, reprise après sinistre et gestion des crises
- d) Sécurité de la chaîne d'approvisionnement; relations avec les fournisseurs directs et prestataires de services
- e) Sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information, y compris le traitement des vulnérabilités
- f) Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité
- g) Pratiques de base en matière de cyberhygiène et formation à la cybersécurité pour l'ensemble du personnel
- h) Politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement
- i) Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs
- j) Utilisation de solutions d'authentification à plusieurs facteurs (MFA) ou d'authentification continue, de communications sécurisées et de systèmes de communication d'urgence sécurisés
Ces mesures sont des minimums obligatoires
L'article 21 définit le plancher, pas le plafond. Les entités dont le profil de risque est élevé doivent généralement aller au-delà. Le principe de proportionnalité s'applique : les mesures doivent être adaptées à la taille, à l'exposition aux risques et à l'impact potentiel d'un incident.
Les délais de notification d'incident : 24 h, 72 h, 1 mois
NIS 2 introduit des délais de notification contraignants qui constituent l'un des changements opérationnels les plus importants pour les équipes sécurité. Dès qu'un incident significatif est identifié, le calendrier suivant s'applique vis-à-vis de l'ANSSI :
Schéma représentant les trois étapes de notification d'incident imposées par NIS 2 : alerte précoce à 24 heures, notification complète à 72 heures, rapport final à 1 mois.
- Alerte précoce, 24 heures : notification initiale à l'ANSSI indiquant le type d'incident et si une activité malveillante est suspectée.
- Notification complète, 72 heures : évaluation initiale de la sévérité, de l'impact et des indicateurs de compromission (IoC).
- Rapport final, 1 mois : cause racine, mesures correctives mises en place, impact transfrontalier éventuel.
Qu'est-ce qu'un incident significatif ?
Un incident significatif est un incident qui a causé ou est susceptible de causer de graves perturbations opérationnelles, des pertes financières importantes, ou des dommages à d'autres personnes physiques ou morales. Ces délais imposent de disposer de procédures de réponse aux incidents testées et d'un contact préétabli avec l'ANSSI avant qu'un incident se produise.
La responsabilité personnelle des dirigeants : le changement clé
NIS 2 impose aux organes de direction une implication directe dans la gouvernance de la cybersécurité, sans précédent dans la réglementation européenne antérieure. La directive exige que les dirigeants approuvent les mesures de sécurité et supervisent leur mise en œuvre, avec un cadre de responsabilisation dont les modalités concrètes dépendent des dispositions nationales de transposition. Au minimum, les membres de la direction doivent :
- Approuver les mesures de gestion des risques en matière de cybersécurité mises en œuvre par l'entité
- Superviser la mise en œuvre de ces mesures et répondre de tout manquement
- Suivre des formations à la cybersécurité adaptées à leur rôle, et encourager leur personnel à en faire de même; cette obligation de formation est explicitement inscrite dans la directive
En cas d'incident significatif consécutif à une non-conformité, les autorités compétentes peuvent mettre en cause la responsabilité personnelle de membres de la direction. Dans les cas graves ou répétés, des interdictions temporaires d'exercer des fonctions dirigeantes peuvent être prononcées. Cette disposition transforme NIS 2 en dossier de gouvernance au niveau du conseil d'administration. La directive imposant explicitement la formation des dirigeants, la formation NIS 2 Foundation est le parcours adapté pour les décideurs qui doivent maîtriser les enjeux réglementaires et les obligations qui leur incombent personnellement.
NIS 2 et ISO 27001 : alignement et écarts
Les organisations déjà certifiées ISO 27001:2022 disposent d'une avance significative dans leur parcours de conformité NIS 2. La plupart des 10 mesures de l'article 21 trouvent une correspondance directe dans les clauses du corps de la norme ou dans les contrôles de l'Annexe A. Les plateformes GRC unifiées comme Acuna opérationnalisent cet alignement en consolidant les contrôles ISO 27001, NIS 2, DORA et apparentés dans un référentiel unique et auditable.
Correspondance entre les mesures NIS 2 (Article 21) et ISO 27001:2022
Mesure NIS 2 (Article 21): a) Analyse des risques
Mesure NIS 2 (Article 21): b) Gestion des incidents
Mesure NIS 2 (Article 21): c) Continuité et reprise
Mesure NIS 2 (Article 21): d) Sécurité chaîne appro.
Mesure NIS 2 (Article 21): g) Formation et hygiène
Mesure NIS 2 (Article 21): h) Cryptographie
Mesure NIS 2 (Article 21): i) Accès et actifs
Mesure NIS 2 (Article 21): j) MFA et authentification
Là où NIS 2 va plus loin qu'ISO 27001
- Délais de notification légaux : L'ISO 27001 n'impose pas de délais de 24 h/72 h/1 mois. Ces obligations existent uniquement sous NIS 2 (et RGPD pour les données personnelles).
- Responsabilité personnelle des dirigeants : L'ISO 27001 engage l'organisation, pas les individus. NIS 2 crée une responsabilité personnelle qui sort du cadre de la seule certification.
- Reporting réglementaire envers l'ANSSI : L'ISO 27001 ne prévoit pas d'obligations de notification vers une autorité nationale. NIS 2 et le ReCyF introduisent ce lien direct avec l'ANSSI.
L'ANSSI met à disposition un outil de comparaison entre le ReCyF, l'ISO 27001 et d'autres référentiels, accessible depuis la page NIS 2 de l'ANSSI. Cet outil permet aux organisations déjà certifiées d'identifier rapidement leurs écarts résiduels.
NIS 2 et le RGPD : deux régimes distincts, un risque commun
NIS 2 et le RGPD poursuivent des objectifs différents : NIS 2 vise la résilience opérationnelle des systèmes d'information, le RGPD protège les données personnelles des individus. Mais pour les organisations qui traitent des données personnelles, soit la quasi-totalité des entités NIS 2, un seul incident cyber peut déclencher simultanément des obligations sous les deux régimes, avec des délais et des autorités différents.
Deux obligations de notification distinctes après un incident
NIS 2 (article 23) : alerte précoce à l'ANSSI dans les 24 heures, pour tout incident significatif sur les systèmes d'information. RGPD (article 33) : notification à la CNIL dans les 72 heures, uniquement si l'incident implique une violation de données personnelles. Un ransomware touchant des données de patients déclenche les deux obligations en parallèle; avec des contenus de notification différents pour chaque autorité.
Les secteurs les plus exposés à ce double régime sont la santé (données médicales), la banque et l'assurance (données financières personnelles), et les administrations publiques (données citoyens). Pour ces organisations, les procédures de réponse aux incidents doivent distinguer les deux flux dès la détection : qui notifie quoi, à quelle autorité, dans quel délai. La formation NIS 2 Foundation couvre spécifiquement l'articulation entre les obligations NIS 2 et les autres cadres réglementaires applicables, dont le RGPD et DORA pour les entités financières.
NIS 2 et DORA : deux régimes complémentaires
DORA, Digital Operational Resilience Act
Règlement (UE) 2022/2554, directement applicable depuis le 17 janvier 2025. DORA cible spécifiquement les entités du secteur financier (banques, assurances, prestataires de paiement, plateformes de crypto-actifs...) et impose des exigences renforcées sur la résilience opérationnelle numérique, les tests de pénétration TIBER-EU et la gestion des risques liés aux prestataires ICT tiers. Distinct de NIS 2, il ne dispense pas les entités financières des obligations NIS 2.
NIS 2 et DORA sont deux régimes distincts mais complémentaires. NIS 2 pose le cadre général de cybersécurité applicable à 18 secteurs, tandis que DORA est un règlement directement applicable ciblant les entités financières. Pour les banques, assurances et autres acteurs financiers français, les deux s'appliquent simultanément. En France, le projet de loi Résilience intègre les deux dans un cadre de transposition cohérent, mais leurs périmètres et exigences spécifiques restent distincts.
Combien coûte la mise en conformité NIS 2 ?
Donnée ENISA, NIS Investments Report 2023
+22 % : c'est la hausse moyenne du budget cybersécurité observée dans les organisations entrant dans le périmètre NIS 2 pour atteindre la conformité initiale. Source : ENISA NIS Investments Report 2023 (enisa.europa.eu).
Les retours terrain des cabinets spécialisés convergent autour de fourchettes selon la taille et la maturité de départ. Pour une organisation de taille moyenne (50-250 salariés) dans un secteur important, partant sans politique de sécurité formalisée, les coûts de mise en conformité initiale s'échelonnent généralement entre 50 000 et 200 000 euros sur 18 mois. Pour une grande entité essentielle avec des systèmes d'information complexes, le budget peut atteindre plusieurs centaines de milliers d'euros à plusieurs millions selon l'étendue des mesures à implémenter. Ces fourchettes couvrent l'analyse des écarts, la mise à niveau technique, la documentation, et la formation obligatoire des équipes et des dirigeants.
Les organisations déjà certifiées ISO 27001 réduisent ces coûts de 30 à 50 % grâce à leur base documentaire existante; les 10 mesures de l'article 21 trouvent en grande partie une correspondance directe dans les contrôles ISO 27001. Une analyse des écarts NIS 2 menée par un cabinet spécialisé permet de qualifier précisément l'effort restant avant d'engager tout budget d'implémentation. Pour les équipes internes qui pilotent la conformité, se certifier NIS 2 Lead Implementer est l'investissement le plus rentable : il structure la démarche, réduit le recours aux consultants externes et démontre la compétence aux donneurs d'ordre et aux autorités de contrôle.
Se mettre en conformité NIS 2 : les 4 étapes
Schéma en 4 phases de la mise en conformité NIS 2 : Phase 1 évaluation 1-3 mois, Phase 2 planification 1-2 mois, Phase 3 mise en oeuvre 6-12 mois, Phase 4 contrôle continu.
Phase 1, Évaluation (1 à 3 mois)
Déterminer si votre organisation entre dans le périmètre NIS 2 (via MonEspaceNIS2 ou le quiz ci-dessus), inventorier les systèmes d'information concernés, et réaliser une analyse des écarts entre votre niveau de sécurité actuel et les 10 mesures de l'article 21. Cette phase permet d'identifier les priorités et de calibrer l'effort global.
Phase 2, Planification (1 à 2 mois)
Définir un plan de traitement des risques, une roadmap priorisée, les responsabilités internes et le budget. Accorder une attention particulière à la sécurité de la chaîne d'approvisionnement : l'article 21(d) impose d'évaluer et maîtriser les risques liés à vos fournisseurs directs et prestataires. Des plateformes de gestion des risques tiers (TPRM) comme Supplier Shield permettent de structurer et d'automatiser cette dimension de votre programme NIS 2.
Phase 3, Mise en œuvre (6 à 12 mois)
Implémenter les 10 mesures de l'article 21, mettre en place les procédures de notification d'incident avec contact préétabli avec l'ANSSI, sécuriser la chaîne d'approvisionnement et documenter l'ensemble pour les contrôles réglementaires. La formation des équipes, y compris les dirigeants, est une composante explicitement requise par la directive.
Phase 4, Contrôle continu
Tester régulièrement les procédures (exercices de gestion d'incidents, audits internes), assurer le reporting vers l'ANSSI et piloter l'amélioration continue du programme. Les organisations cherchant un accompagnement à la mise en conformité NIS 2 peuvent s'appuyer sur des cabinets spécialisés comme Abilene Advisors, expert en conformité réglementaire suisse et européenne (NIS 2, DORA, ISO 27001).
En pratique, une organisation partant de zéro doit compter 12 à 18 mois de la phase d'évaluation à un état de préparation aux contrôles ANSSI. Les organisations déjà certifiées ISO 27001 réduisent significativement ce délai grâce à leur base documentaire existante.
Formation et certification NIS 2 chez Abilene Academy
Abilene Academy, partenaire Titanium PECB basé à Morges en Suisse, a accompagné des équipes de sécurité et de conformité dans des organisations comme le Fonds Mondial (Genève), l'UNICC (Nations Unies) et Deloitte Danemark. Les deux formations certifiantes NIS 2 sont conçues et animées par des praticiens qui interviennent sur des programmes de conformité réels :
NIS 2 Directive Foundation (2 jours)
La formation NIS 2 Directive Foundation couvre la structure de la directive, les critères de périmètre (entreprises, collectivités, sous-traitants), les 10 mesures de l'article 21, les obligations de notification et les mécanismes de supervision de l'ANSSI. Elle s'adresse aux responsables de la sécurité, managers IT, juristes et membres de la direction qui doivent comprendre les exigences NIS 2 avant d'engager le programme de conformité.
NIS 2 Directive Lead Implementer (5 jours)
La formation NIS 2 Directive Lead Implementer couvre l'intégralité du cycle de mise en conformité : analyse des écarts, traitement des risques, mise en œuvre des contrôles, gestion de la sécurité fournisseurs, procédures de gestion des incidents et préparation aux contrôles ANSSI. La certification PECB NIS 2 Lead Implementer démontre une compétence indépendante reconnue par les clients, les donneurs d'ordre et les autorités de contrôle. Ce que nous observons systématiquement en session : les professionnels expérimentés maîtrisent les mesures techniques de l'article 21, mais n'ont jamais simulé une notification à l'ANSSI dans les 24 heures. C'est précisément ce gap; procédural, pas technique; que la formation fait pratiquer en conditions réelles.
Les deux formations sont disponibles à Genève, Lausanne et Paris en format présentiel et virtuel-live, en français et en anglais. Elles sont animées par des praticiens ayant une expérience directe des implémentations NIS 2, ISO 27001 et DORA dans des environnements internationaux.
Le regard terrain d'Alexis Hirschhorn, formateur, Abilene Academy
« Le paradoxe que nous rencontrons chez nos clients est simple : les DSI et RSSI comprennent les exigences techniques de NIS 2, mais les comités de direction n'ont pas encore intégré que la transposition française engage désormais leur responsabilité personnelle. Tant que la résilience reste déléguée à l'IT, la conformité est cosmétique et le risque bien réel. »
Étude de cas : NIS 2 dans un groupe industriel international
Pour illustrer concrètement ce que recouvre un programme NIS 2 à l'échelle d'un groupe, voici le déroulé d'un engagement accompagné par Abilene Advisors, cabinet suisse expert en conformité cyber et réglementaire, auprès d'un groupe industriel international possédant plusieurs entités en Europe. La mission a démarré en avril 2024 et se poursuit. L'objectif : sécuriser la conformité NIS 2 de toutes les entités européennes du groupe, dans un contexte où la transposition avançait à des rythmes très différents selon les pays, certains avec une loi nationale déjà en vigueur, d'autres encore en attente de leur texte.
Le programme en chiffres clés
Démarré en avril 2024; programme en cours. Plusieurs entités européennes couvertes sur un groupe présent à l'international. Trois référentiels alignés dans un cadre unique : NIS 2, ISO/IEC 27001:2022 et IEC 62443. Premières certifications ISO/IEC 27001 obtenues sur les entités les plus avancées.
Le défi : un cadre unique pour trois référentiels
La recommandation de NIS 2 est d'appuyer la mise en conformité sur un Système de Management de la Sécurité de l'Information (SMSI) conforme à ISO/IEC 27001:2022. Pour un groupe industriel, cela ne suffit pas : les réseaux OT (Operational Technology), automates, capteurs, systèmes de contrôle de procédés, relèvent de leurs propres exigences techniques, couvertes par la norme IEC 62443. Le vrai défi du projet était donc d'assembler un cadre unique capable d'intégrer simultanément les exigences réglementaires de NIS 2, les contrôles de management d'ISO 27001 et les spécificités de sécurité industrielle d'IEC 62443; tout en restant suffisamment adaptable pour être déployé sur des entités dont la maturité cybersécurité, la langue de travail et le contexte réglementaire local variaient fortement d'un pays à l'autre.
Schéma illustrant comment la démarche Abilene Advisors a combiné NIS 2 (couche réglementaire), ISO 27001 (management de la sécurité) et IEC 62443 (sécurité industrielle) dans un framework unifié et adaptable par entité.
L'approche : un framework adaptable par entité
La démarche s'est structurée en trois temps. D'abord, une évaluation du niveau de conformité par entité, pour identifier les écarts spécifiques et calibrer l'effort à déployer site par site. Ensuite, une phase d'implémentation de deux semaines en présentiel sur chaque entité, ateliers d'engagement management, analyses de risques, personnalisation des contrôles ISO 27001 et des politiques en fonction des processus locaux et des langues de travail. Enfin, un accompagnement à distance dans la durée, jusqu'à la préparation complète à l'audit de certification. Côté outillage, un choix délibéré a été fait : ne pas imposer d'outil de gestion d'ISMS dès le démarrage. L'expérience montre qu'introduire un tel outil avant que les processus de base ne soient stabilisés ajoute une charge cognitive que les équipes opérationnelles ne peuvent pas absorber. L'évaluation des tiers, en revanche, a été outillée dès la phase de planification via Supplier Shield, pour structurer l'exigence de sécurité fournisseurs imposée par l'article 21(d).
Les résultats à ce jour
Les premières entités ont obtenu leur certification ISO/IEC 27001. Les autres sont en phase de préparation à l'audit, avec un niveau de maturité cybersécurité désormais aligné sur le socle commun du groupe. Point important : le programme se poursuit au-delà de la certification. La conformité NIS 2 n'est pas un état atteint une fois pour toutes; c'est un cycle continu de surveillance, de notification d'incidents et d'amélioration, précisément ce que prévoit l'article 23 de la directive sur les obligations de reporting récurrent à l'ANSSI et aux autorités équivalentes dans les autres États membres concernés.
Ce que cette mission nous a appris et ce qui est transférable
- L'adaptabilité prime sur la standardisation : un framework unique oui, mais jamais rigide; chaque entité a son contexte, sa langue, son niveau de maturité.
- La compréhension du métier bat la maîtrise technique : un consultant qui comprend l'activité industrielle d'un site gagne la confiance des équipes opérationnelles en quelques heures, là où la pure expertise cyber peut en mettre plusieurs.
- Rester simple, toujours : chaque contrôle ajouté au cadre doit pouvoir être expliqué à un responsable d'exploitation en moins de deux minutes; sinon il ne sera pas appliqué correctement.
- Ne pas introduire d'outil ISMS trop tôt : avant que les processus documentaires de base ne soient adoptés, un outil ajoute une complexité qui ralentit le projet au lieu de l'accélérer.
- Dédier des ressources humaines internes dès le jour 1 : le manque de disponibilité côté client est la première cause de dérapage de calendrier sur les programmes NIS 2; les arbitrages de priorités doivent être actés avec la direction avant le kickoff.
Les programmes NIS 2 multi-entités, multi-pays et multi-référentiels demandent une combinaison rare de connaissance réglementaire, de capacité à adapter un cadre commun à des contextes industriels hétérogènes, et de présence opérationnelle sur le terrain. C'est précisément le type d'accompagnement que propose Abilene Advisors, cabinet partenaire d'Abilene Academy, basé en Suisse, spécialisé dans la conformité cyber et réglementaire pour les groupes internationaux (NIS 2, DORA, ISO 27001, IEC 62443).
Pour aller plus loin : l'EU AI Act ajoute, à partir du 2 août 2026, des obligations spécifiques aux systèmes d'IA à haut risque déployés dans les infrastructures critiques que NIS 2 couvre déjà. Consultez notre guide complet EU AI Act pour comprendre la superposition, et la certification ISO 42001 Lead Implementer pour structurer la gouvernance IA exigée par les deux textes.
Pour aller plus loin : DORA est lex specialis pour les entités financières ; là où NIS 2 couvre la même entité (établissement de crédit, assureur, prestataire de paiement) le régime de résilience opérationnelle plus spécifique de DORA prime au titre de l'Article 1(2) de NIS 2 elle-même. Si votre organisation se situe dans les deux périmètres, notre guide complet de conformité DORA parcourt l'articulation des deux régimes, et la certification DORA Lead Manager est le titre reconnu pour l'opérationnaliser.
