Guide NIS2 Complet 2025

La directive NIS (Network and Information Security), adoptée en 2016, constitue le premier cadre législatif européen dédié à la cybersécurité. Elle imposait aux États membres de désigner des autorités compétentes et d'établir des exigences minimales pour les opérateurs de services essentiels et les fournisseurs de services numériques. Si elle a posé les fondations d'une approche commune, son application inégale d'un pays à l'autre a révélé des lacunes importantes en termes d'harmonisation.

Face à une évolution rapide des menaces cyber et à la fragmentation persistante entre États membres, la Commission européenne a publié la directive NIS2 (2022/2555) le 27 décembre 2022. Ce texte refond entièrement le cadre précédent : il élargit considérablement le périmètre des entités concernées, renforce les obligations de sécurité, alourdit les sanctions et exige une coopération renforcée entre autorités nationales. La directive est entrée en vigueur le 17 octobre 2024, date à laquelle les États membres devaient avoir transposé ses dispositions dans leur droit national.

En France, la transposition de NIS2 est pilotée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), l'autorité nationale compétente. Le projet de loi de transposition prévoit une montée en charge progressive : l'ANSSI identifiera les entités assujetties et les notifiera individuellement. Les entreprises concernées disposent alors d'un délai pour engager leur démarche de conformité. Il est toutefois recommandé d'anticiper dès maintenant en réalisant un état des lieux de ses pratiques de cybersécurité.

NIS2 distingue deux catégories d'entités soumises à obligations : les entités essentielles (EE) et les entités importantes (EI). Cette distinction détermine le niveau de supervision exercé par l'ANSSI et l'intensité des sanctions applicables. Les entités essentielles sont les grandes entreprises (plus de 250 salariés ou plus de 50 M€ de chiffre d'affaires) opérant dans les secteurs hautement critiques de l'Annexe I. Les entités importantes couvrent les moyennes entreprises (plus de 50 salariés ou plus de 10 M€ de CA) des secteurs de l'Annexe I ou II.

La directive couvre 18 secteurs répartis en deux annexes. L'Annexe I comprend les secteurs hautement critiques : énergie, transports, secteur bancaire, infrastructures financières, santé, eau potable, eaux usées, infrastructures numériques, gestion des TIC, administrations publiques et espace. L'Annexe II ajoute les services postaux, gestion des déchets, chimie, alimentation, industrie (dispositifs médicaux, électronique), fournisseurs numériques et recherche.

Même si votre entreprise ne relève pas directement d'un secteur couvert, vous pouvez être concerné si vous fournissez des services ou des produits à une entité essentielle ou importante. NIS2 impose en effet aux entités assujetties de s'assurer que leurs fournisseurs critiques respectent eux aussi un niveau de sécurité adéquat. En pratique, cela se traduit par des clauses contractuelles, des audits et des questionnaires de sécurité transmis par vos clients.

L'article 21 de la directive NIS2 définit les mesures techniques, opérationnelles et organisationnelles que les entités assujetties doivent mettre en place. Ces mesures doivent être proportionnées au niveau de risque, à la taille de l'entité et aux conséquences potentielles des incidents. On distingue huit grandes obligations.

Premièrement, la gouvernance et la responsabilité de la direction : les organes de direction doivent approuver les mesures de cybersécurité et répondre personnellement en cas de manquement. Deuxièmement, la gestion des risques : analyse régulière, identification des actifs critiques, politique de sécurité documentée. Troisièmement, la sécurité de la chaîne d'approvisionnement : évaluation et encadrement des fournisseurs critiques par des clauses contractuelles et des audits.

Quatrièmement, la gestion et notification des incidents sous 72 heures : alerte précoce à l'ANSSI dans les 24 h, notification complète dans les 72 h, rapport final dans le mois. Cinquièmement, la continuité d'activité : plan de continuité (PCA) et plan de reprise (PRA) formalisés et testés. Sixièmement, la sécurité des ressources humaines : vérifications d'antécédents, formations, révocation immédiate des accès. Septièmement, l'utilisation de la cryptographie : chiffrement des données sensibles en transit et au repos, gestion des clés et des certificats. Huitièmement, la sécurité des accès : authentification multi-facteurs (MFA) obligatoire pour les systèmes critiques, politique IAM avec principe du moindre privilège.

NIS2 instaure un régime de sanctions significativement plus sévère que son prédécesseur. Les amendes sont calculées en prenant le montant le plus élevé entre un plafond fixe et un pourcentage du chiffre d'affaires annuel mondial. Pour les entités essentielles, l'amende maximale est de 10 000 000 € ou 2 % du CA annuel mondial. Pour les entités importantes, elle est de 7 000 000 € ou 1,4 % du CA annuel mondial.

NIS2 introduit une innovation majeure par rapport à NIS1 : la responsabilité personnelle des dirigeants en cas de manquement grave aux obligations de cybersécurité. Les États membres peuvent prévoir des sanctions individuelles à l'encontre des personnes physiques exerçant des fonctions dirigeantes au sein des entités essentielles, pouvant aller jusqu'à l'interdiction temporaire d'exercer des fonctions de direction.

L'ANSSI dispose de pouvoirs étendus pour contrôler la conformité des entités assujetties : audits de sécurité sur pièces et sur place, demandes d'informations, injonctions de mise en conformité avec délai, et publication des manquements (name and shame). Pour les entités essentielles, les contrôles peuvent être initiés proactivement sans qu'un incident ne soit préalablement survenu.

La mise en conformité NIS2 est un projet d'entreprise qui s'étale sur plusieurs mois. Voici un plan en 5 étapes fondé sur les recommandations de l'ANSSI et les retours d'expérience de premières démarches de conformité.

Étape 1 (mois 1-2) — Cartographie des actifs : identifiez l'ensemble de vos actifs numériques (serveurs, applications, équipements réseau, postes de travail, accès cloud) et classifiez-les selon leur criticité. Étape 2 (mois 2-3) — Évaluation des risques : conduisez une analyse de risques en identifiant les menaces, vulnérabilités et impacts potentiels ; la méthode EBIOS Risk Manager recommandée par l'ANSSI est adaptée à cet exercice. Étape 3 (mois 3-6) — Mise en œuvre des mesures : déployez les mesures techniques et organisationnelles priorisées (MFA, chiffrement, segmentation réseau, gestion des patches, sauvegardes, détection des incidents) et documentez chaque mesure.

Étape 4 (mois 6-9) — Formation des équipes : sensibilisez l'ensemble des collaborateurs aux risques cyber et aux bonnes pratiques ; formez spécifiquement les équipes IT aux nouvelles procédures de détection et notification d'incidents ; incluez la direction dans les formations sur la gouvernance NIS2. Étape 5 (en continu) — Audit et amélioration continue : planifiez des audits internes et externes réguliers, mettez à jour votre analyse de risques au moins annuellement, testez votre plan de continuité via des exercices de crise et maintenez une documentation à jour.

Plusieurs ressources officielles vous permettent d'approfondir votre compréhension de la directive NIS2 et d'engager votre démarche de conformité.

Le texte officiel de la directive (UE) 2022/2555 est disponible dans son intégralité sur EUR-Lex, le journal officiel de l'Union européenne. L'ANSSI publie sur son site (ssi.gouv.fr) des guides pratiques, des outils d'auto-évaluation et des informations sur la transposition française de NIS2. L'ENISA (Agence de l'UE pour la cybersécurité) met à disposition des lignes directrices techniques et des recommandations d'implémentation pour les États membres et les entités concernées.

Pour la gestion des risques, la méthode EBIOS Risk Manager développée par l'ANSSI constitue la référence française recommandée pour conduire l'analyse de risques exigée par NIS2. Son guide complet est disponible en téléchargement gratuit sur le site de l'ANSSI.