La directive NIS 2, également appelée directive SRI 2 dans les textes français, est la réforme la plus ambitieuse du cadre réglementaire européen en matière de cybersécurité depuis 2016. Adoptée le 14 décembre 2022 et publiée au Journal officiel de l'Union européenne (Directive (UE) 2022/2555), elle élargit de manière sans précédent le périmètre des entités soumises à des exigences de sécurité, renforce les obligations, double les sanctions et introduit pour la première fois une responsabilité personnelle des dirigeants.
En France, la transposition, qui aurait dû être achevée au plus tard le 17 octobre 2024, est portée par le projet de loi Résilience, toujours en cours d’adoption parlementaire. L’ANSSI a lancé le 17 mars 2026 le Référentiel Cyber France (ReCyF) et met à disposition l’outil MonEspaceNIS2 pour accompagner les entreprises dans leur préparation. Ce guide explique qui est concerné, quelles sont les obligations de l’article 21, où en est la transposition en France, et comment construire votre parcours de conformité.
Qu’est-ce que la directive NIS 2 (directive SRI 2) ?
Directive NIS 2 en bref
Directive (UE) 2022/2555 du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union européenne. Appelée « directive SRI 2 » (Sécurité des Réseaux et des Systèmes d’Information) dans les textes français.
La directive NIS 2 succède à la directive SRI de 2016, dont la portée était limitée à quelques centaines d’Opérateurs de Services Essentiels et de fournisseurs de Services Numériques. NIS 2 transforme ce périmètre restreint en un cadre couvrant potentiellement des dizaines de milliers d’entités à l’échelle européenne, environ 10 000 en France selon les estimations actuelles.
NIS 2 vs NIS 1 : trois changements structurants
- Périmètre inédit : 18 secteurs couverts (contre 7 sous NIS 1), avec deux catégories d’entités, essentielles et importantes, soumises aux mêmes exigences de sécurité.
- Obligations harmonisées : 10 mesures minimales obligatoires définies à l’article 21, applicables à toutes les entités concernées sans exception.
- Responsabilité personnelle : pour la première fois, les membres de la direction sont personnellement responsables de la mise en conformité et peuvent être sanctionnés individuellement.
Qui est concerné par la directive NIS 2 ?
Entités essentielles (11 secteurs)
Les entités essentielles opèrent dans des secteurs jugés critiques pour le fonctionnement de la société. Elles font l’objet d’une supervision proactive de l’ANSSI, des contrôles peuvent intervenir sans incident préalable. Les sanctions maximales s’élèvent à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
- Énergie (électricité, gaz naturel, pétrole, hydrogène)
- Transport (aérien, ferroviaire, maritime, fluvial, routier, transport urbain)
- Secteur bancaire (établissements de crédit)
- Infrastructures des marchés financiers (places de négociation, contreparties centrales)
- Santé (prestataires de soins, laboratoires de référence, fabricants de produits pharmaceutiques et dispositifs médicaux critiques, R&D)
- Eau potable (fournisseurs et distributeurs)
- Eaux usées (collecte, traitement et rejets)
- Infrastructure numérique (points d’échange Internet, DNS, TLD, services cloud, data centers, CDN, services de confiance qualifiés)
- Gestion des services ICT (fournisseurs de services managés et de sécurité managée)
- Administration publique (administrations centrales, régionales et locales selon les seuils nationaux)
- Espace (opérateurs d’infrastructures terrestres appuyant des services spatiaux)
Entités importantes (7 secteurs)
Les entités importantes sont soumises aux mêmes 10 mesures de sécurité que les entités essentielles, mais font l’objet d’une supervision réactive : l’ANSSI intervient principalement après signalement ou incident. Les sanctions maximales s’élèvent à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial.
- Services postaux et de messagerie
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution de denrées alimentaires
- Fabrication (dispositifs médicaux, produits informatiques, électronique, matériels électriques, machines, véhicules à moteur)
- Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
- Organismes de recherche
Le critère de taille : qui est réellement visé ?
Opérer dans un secteur couvert ne suffit pas : encore faut-il dépasser le seuil de taille. La règle générale distingue trois cas :
- Grande entreprise : 250 salariés ou plus, OU chiffre d’affaires supérieur à 50 M€ et bilan supérieur à 43 M€.
- Moyenne entreprise : 50 salariés ou plus, OU chiffre d’affaires supérieur à 10 M€. Les moyennes entreprises dans un secteur couvert sont assujetties à NIS 2.
- Petite entreprise (moins de 50 salariés, moins de 10 M€ de CA) : en principe exclue du périmètre NIS 2, sauf exceptions pour certaines infrastructures critiques spécifiquement identifiées.
L’ANSSI met à disposition l’outil MonEspaceNIS2 qui permet à chaque organisation de vérifier si elle entre dans le périmètre NIS 2. Vous pouvez également utiliser le quiz ci-dessous pour une première orientation.
Entités essentielles vs entités importantes sous NIS 2
Critère: Secteurs
Critère: Supervision ANSSI
Critère: Sanction maximale
Critère: Responsabilité dirigeants
Critère: Mesures Article 21
Quiz NIS 2 en 5 questions : testez vos connaissances sur la directive, les délais, les sanctions et les mesures de l’article 21. Résultat personnalisé selon votre score avec recommandation de formation.
La transposition NIS 2 en France, état des lieux 2026
La directive NIS 2 fixait au 17 octobre 2024 la date limite de transposition dans tous les États membres. En France, le projet de loi Résilience a été déposé au Sénat le 15 octobre 2024, adopté en première lecture par le Sénat, puis examiné en première lecture par l’Assemblée nationale à partir du 13 mars 2025. À la date de publication de ce guide, le processus parlementaire est toujours en cours, la loi définitive n’a pas encore été promulguée, faisant de la France l’un des États membres en retard sur cette transposition.
Cette situation de transition signifie que certains seuils sectoriels et les montants de sanction exacts en droit français seront confirmés par la loi définitive. En attendant, l’ANSSI encourage fortement les futures entités assujetties à engager dès maintenant leur démarche de sécurisation sur la base du cadre européen, qui constitue le plancher minimal des obligations.
Environ 10 000 entités concernées en France
Selon les estimations actuelles, NIS 2 concernera environ 10 000 entités en France, contre quelques centaines sous NIS 1. Ce chiffre peut varier selon les extensions prévues par la loi nationale (collectivités territoriales, établissements d’enseignement supérieur...). Certaines sources sectorielles citent jusqu’à 15 000 entités selon les hypothèses retenues.
ReCyF — Référentiel Cyber France (17 mars 2026)
L’ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2 — correspondant à l’article 14 du projet de loi Résilience. Non obligatoire par défaut, les entités qui l’appliquent peuvent s’en prévaloir lors des contrôles ANSSI. L’ANSSI propose également un outil de comparaison entre le ReCyF, ISO 27001, DORA et d’autres référentiels.
Les 10 mesures obligatoires de l’article 21
L’article 21 de la directive NIS 2 définit les mesures minimales que toutes les entités essentielles et importantes doivent mettre en œuvre. La directive établit 10 catégories de mesures (a à j), chacune comportant en pratique plusieurs sous-exigences à décliner proportionnellement au profil de risque, à la taille et au secteur de l’organisation. Ces exigences ne sont pas des recommandations : elles sont vérifiées lors des contrôles de l’ANSSI et leur absence constitue un manquement susceptible d’entraîner des sanctions.
- a) Politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
- b) Gestion des incidents (détection, signalement, réponse et retour d’expérience)
- c) Continuité des activités, gestion des sauvegardes, reprise après sinistre et gestion des crises
- d) Sécurité de la chaîne d’approvisionnement — relations avec les fournisseurs directs et prestataires de services
- e) Sécurité de l’acquisition, du développement et de la maintenance des réseaux et systèmes d’information, y compris le traitement des vulnérabilités
- f) Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
- g) Pratiques de base en matière de cyberhygiène et formation à la cybersécurité pour l’ensemble du personnel
- h) Politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement
- i) Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs
- j) Utilisation de solutions d’authentification à plusieurs facteurs (MFA) ou d’authentification continue, de communications sécurisées et de systèmes de communication d’urgence sécurisés
Ces mesures sont des minimums obligatoires
L’article 21 définit le plancher, pas le plafond. Les entités dont le profil de risque est élevé doivent généralement aller au-delà. Le principe de proportionnalité s’applique : les mesures doivent être adaptées à la taille, à l’exposition aux risques et à l’impact potentiel d’un incident.
Les délais de notification d’incident : 24 h, 72 h, 1 mois
NIS 2 introduit des délais de notification contraignants qui constituent l’un des changements opérationnels les plus importants pour les équipes sécurité. Dès qu’un incident significatif est identifié, le calendrier suivant s’applique vis-à-vis de l’ANSSI :
Schéma représentant les trois étapes de notification d’incident imposées par NIS 2 : alerte précoce à 24 heures, notification complète à 72 heures, rapport final à 1 mois.
- Alerte précoce, 24 heures : notification initiale à l’ANSSI indiquant le type d’incident et si une activité malveillante est suspectée.
- Notification complète, 72 heures : évaluation initiale de la sévérité, de l’impact et des indicateurs de compromission (IoC).
- Rapport final, 1 mois : cause racine, mesures correctives mises en place, impact transfrontalier éventuel.
Qu’est-ce qu’un incident significatif ?
Un incident significatif est un incident qui a causé ou est susceptible de causer de graves perturbations opérationnelles, des pertes financières importantes, ou des dommages à d’autres personnes physiques ou morales. Ces délais imposent de disposer de procédures de réponse aux incidents testées et d’un contact préétabli avec l’ANSSI avant qu’un incident se produise.
La responsabilité personnelle des dirigeants : le changement clé
NIS 2 impose aux organes de direction une implication directe dans la gouvernance de la cybersécurité, sans précédent dans la réglementation européenne antérieure en la matière. La directive exige que les dirigeants approuvent les mesures de sécurité et supervisent leur mise en œuvre, avec un cadre de responsabilisation dont les modalités d’application concrètes, notamment en matière de sanctions individuelles, dépendent des dispositions nationales de transposition. Au minimum, les membres de la direction doivent :
- Approuver les mesures de gestion des risques en matière de cybersécurité mises en œuvre par l’entité
- Superviser la mise en œuvre de ces mesures et répondre de tout manquement
- Suivre des formations à la cybersécurité adaptées à leur rôle, et encourager leur personnel à en faire de même
En cas d’incident significatif consécutif à une non-conformité, les autorités compétentes peuvent mettre en cause la responsabilité personnelle de membres de la direction. Dans les cas graves ou répétés, des interdictions temporaires d’exercer des fonctions dirigeantes peuvent être prononcées. Cette disposition transforme NIS 2 en dossier de gouvernance au niveau du conseil d’administration, et non plus seulement un sujet technique pour la DSI.
NIS 2 et ISO 27001 : alignement et écarts
Les organisations déjà certifiées ISO 27001:2022 disposent d’une avance significative dans leur parcours de conformité NIS 2. La plupart des 10 mesures de l’article 21 trouvent une correspondance directe dans les clauses du corps de la norme ou dans les contrôles de l’Annexe A.
Correspondance entre les mesures NIS 2 (Article 21) et ISO 27001:2022
Mesure NIS 2 (Article 21): a) Analyse des risques
Mesure NIS 2 (Article 21): b) Gestion des incidents
Mesure NIS 2 (Article 21): c) Continuité et reprise
Mesure NIS 2 (Article 21): d) Sécurité chaîne appro.
Mesure NIS 2 (Article 21): g) Formation et hygiène
Mesure NIS 2 (Article 21): h) Cryptographie
Mesure NIS 2 (Article 21): i) Accès et actifs
Mesure NIS 2 (Article 21): j) MFA et authentification
Là où NIS 2 va plus loin qu’ISO 27001
- Délais de notification légaux : L'ISO 27001 n’impose pas de délais de 24 h/72 h/1 mois. Ces obligations existent uniquement sous NIS 2 (et RGPD pour les données personnelles).
- Responsabilité personnelle des dirigeants : L'ISO 27001 engage l’organisation, pas les individus. NIS 2 crée une responsabilité personnelle qui sort du cadre de la seule certification.
- Reporting réglementaire envers l’ANSSI : L'ISO 27001 ne prévoit pas d’obligations de notification vers une autorité nationale. NIS 2 et le ReCyF introduisent ce lien direct avec l’ANSSI.
L’ANSSI met à disposition un outil de comparaison entre le ReCyF, L'ISO 27001 et d’autres référentiels, accessible depuis la page NIS 2 de l’ANSSI. Cet outil permet aux organisations déjà certifiées d’identifier rapidement leurs écarts résiduels.
NIS 2 et DORA : deux régimes complémentaires
DORA — Digital Operational Resilience Act
Règlement (UE) 2022/2554, directement applicable depuis le 17 janvier 2025. DORA cible spécifiquement les entités du secteur financier (banques, assurances, prestataires de paiement, plateformes de crypto-actifs...) et impose des exigences renforcées sur la résilience opérationnelle numérique, les tests de pénétration TIBER-EU et la gestion des risques liés aux prestataires ICT tiers. Distinct de NIS 2, il ne dispense pas les entités financières des obligations NIS 2.
NIS 2 et DORA sont deux régimes distincts mais complémentaires. NIS 2 pose le cadre général de cybersécurité applicable à 18 secteurs, tandis que DORA est un règlement directement applicable ciblant les entités financières. Pour les banques, assurances et autres acteurs financiers français, les deux s’appliquent simultanément. En France, le projet de loi Résilience intègre les deux dans un cadre de transposition cohérent, mais leurs périmètres et exigences spécifiques restent distincts.
Se mettre en conformité NIS 2 : les 4 étapes
Schéma en 4 phases de la mise en conformité NIS 2 : Phase 1 évaluation 1-3 mois, Phase 2 planification 1-2 mois, Phase 3 mise en oeuvre 6-12 mois, Phase 4 contrôle continu.
Phase 1 — Évaluation (1 à 3 mois)
Déterminer si votre organisation entre dans le périmètre NIS 2 (via MonEspaceNIS2 ou le quiz ci-dessus), inventorier les systèmes d’information concernés, et réaliser une analyse des écarts entre votre niveau de sécurité actuel et les 10 mesures de l’article 21. Cette phase permet d’identifier les priorités et de calibrer l’effort global.
Phase 2 — Planification (1 à 2 mois)
Définir un plan de traitement des risques, une roadmap priorisée, les responsabilités internes et le budget. Accorder une attention particulière à la sécurité de la chaîne d’approvisionnement : l’article 21(d) impose d’évaluer et maîtriser les risques liés à vos fournisseurs directs et prestataires. Des plateformes de gestion des risques tiers (TPRM) comme Supplier Shield permettent de structurer et d’automatiser cette dimension de votre programme NIS 2.
Phase 3 — Mise en œuvre (6 à 12 mois)
Implémenter les 10 mesures de l’article 21, mettre en place les procédures de notification d’incident avec contact préétabli avec l’ANSSI, sécuriser la chaîne d’approvisionnement et documenter l’ensemble pour les contrôles réglementaires. La formation des équipes, y compris les dirigeants, est une composante explicitement requise par la directive.
Phase 4 — Contrôle continu
Tester régulièrement les procédures (exercices de gestion d’incidents, audits internes), assurer le reporting vers l’ANSSI et piloter l’amélioration continue du programme. Les organisations cherchant un accompagnement expert peuvent s’appuyer sur des cabinets spécialisés comme Abilene Advisors, expert en conformité réglementaire suisse et européenne (NIS 2, DORA, ISO 27001).
En pratique, une organisation partant de zéro doit compter 12 à 18 mois de la phase d’évaluation à un état de préparation aux contrôles ANSSI. Les organisations déjà certifiées ISO 27001 réduisent significativement ce délai grâce à leur base documentaire existante.
Formation et certification NIS 2 chez Abilene Academy
Abilene Academy, partenaire Titanium PECB basé à Morges en Suisse, propose deux formations certifiantes pour les professionnels impliqués dans NIS 2 :
NIS 2 Directive Foundation (2 jours)
La formation NIS 2 Directive Foundation couvre la structure de la directive, les critères de périmètre, les 10 mesures de l’article 21, les obligations de notification et les mécanismes de supervision de l’ANSSI. Elle s’adresse aux responsables de la sécurité, managers IT, juristes et membres de la direction qui doivent comprendre les exigences NIS 2 avant d’engager le programme de conformité.
NIS 2 Directive Lead Implementer (5 jours)
La formation NIS 2 Directive Lead Implementer couvre l’intégralité du cycle de mise en conformité : analyse des écarts, traitement des risques, mise en œuvre des contrôles, gestion de la sécurité fournisseurs, procédures de gestion des incidents et préparation aux contrôles ANSSI. La certification PECB NIS 2 Lead Implementer démontre une compétence indépendante reconnue par les clients, les donneurs d’ordre et les autorités de contrôle.
Les deux formations sont disponibles à Genève et Lausanne en format présentiel et virtuel-live, en français et en anglais. Elles sont animées par des praticiens avec une expérience directe des implémentations NIS 2, ISO 27001 et DORA.
