Directive NIS 2

Cet article est une ébauche concernant l’Union européenne et l’informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Directive NIS 2
Directive (UE) 2022/2555
Type	Directive de l'Union européenne
Adoption	14 décembre 2022
Publication	27 décembre 2022
Transposition	17 octobre 2024
Application	18 octobre 2024
Domaine	Cybersécurité, Infrastructure critique
Remplace	Directive NIS 1 (2016/1148)
Texte intégral	EUR-Lex

La directive NIS 2 (Network and Information Security 2) ou directive (UE) 2022/2555 est une directive de l'Union européenne visant à renforcer la cybersécurité des infrastructures critiques et des services essentiels dans l'Union européenne. Adoptée le 14 décembre 2022 et publiée au Journal officiel de l'Union européenne le 27 décembre 2022^[1], elle remplace la directive NIS 1 de 2016 en élargissant significativement son champ d'application.

La directive impose aux États membres de l'Union européenne une transposition dans leur droit national avant le 17 octobre 2024, pour une application effective à partir du 18 octobre 2024^[2]. Elle introduit des obligations renforcées en matière de gestion des risques de cybersécurité, de notification des incidents et de responsabilité des dirigeants^[3].

Contexte et objectifs

Continuité de la directive NIS 1

La directive NIS 2 s'inscrit dans la continuité de la première directive NIS (directive (UE) 2016/1148) adoptée en 2016, qui constituait le premier texte législatif européen en matière de cybersécurité^[4]. La directive NIS 1 visait principalement à protéger les opérateurs de services essentiels dans des secteurs limités (énergie, transport, santé, services bancaires)^[5].

L'expérience de mise en œuvre de NIS 1 a révélé plusieurs limites : un périmètre trop restreint, des obligations inégalement appliquées selon les États membres, et des sanctions insuffisamment dissuasives^[6]. NIS 2 répond à ces lacunes en proposant un cadre harmonisé et renforcé.

Élargissement du périmètre

La directive NIS 2 élargit considérablement son champ d'application en ciblant 18 secteurs d'activité contre 7 pour NIS 1^[3]. L'ANSSI indique que la directive s'appliquera à des milliers d'entités appartenant à plus de dix-huit secteurs, concernant environ 600 types d'entités différentes, allant des PME aux groupes du CAC 40^[7]. Elle intègre désormais les petites et moyennes entreprises, les collectivités territoriales et les administrations publiques, reconnaissant ainsi que la cybersécurité ne concerne plus seulement les grandes infrastructures critiques^[2].

Accent sur la cybersécurité industrielle

La directive accorde une attention particulière à la cybersécurité des systèmes industriels, notamment les technologies opérationnelles (OT), les systèmes de contrôle industriel (ICS) et l'Internet des objets (IoT)^[8]. Elle s'appuie sur des référentiels reconnus comme la norme IEC 62443 pour la cybersécurité des systèmes d'automatisation et de contrôle industriel, standard international de référence pour la sécurité des environnements OT^[9].

Champ d'application

Secteurs concernés

La directive NIS 2 identifie 18 secteurs répartis en deux catégories^[2]^,^[10] :

Secteurs hautement critiques : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, gestion des services TIC, administrations publiques, espace.

Autres secteurs critiques : services postaux et d'expédition, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution de denrées alimentaires, industrie manufacturière, fournisseurs numériques, recherche.

Typologie des entités

La directive distingue deux catégories d'entités selon leur taille et leur criticité^[6]^,^[11] :

Les entités essentielles comprennent les organisations d'au moins 250 salariés ou affichant un chiffre d'affaires annuel supérieur à 50 millions d'euros et un bilan annuel supérieur à 43 millions d'euros.

Les entités importantes regroupent les organisations qui ne sont pas des entités essentielles et qui emploient au moins 50 salariés ou affichent un chiffre d'affaires et un bilan annuel supérieurs à 10 millions d'euros.

Critères d'applicabilité

Une organisation est susceptible d'être concernée par NIS 2 si elle remplit simultanément trois critères : employer plus de 50 salariés, réaliser un chiffre d'affaires supérieur à 10 millions d'euros, et intervenir dans l'un des 18 secteurs couverts par la directive^[12].

Principales obligations

Approche systémique de la cybersécurité

NIS 2 impose une approche systémique de la cybersécurité inspirée des référentiels ISO/IEC 27001 et IEC 62443^[13]. Les entités doivent mettre en place un cadre de gestion des risques qui s'apparente à un système de management de la sécurité de l'information (SMSI), intégrant une gestion du risque systématique, évaluée périodiquement et impliquant les parties prenantes internes et externes^[14].

Gouvernance

La directive impose plusieurs exigences en matière de gouvernance^[6]^,^[15] :

nomination d'un responsable de la cybersécurité (RSSI ou équivalent) ;
implication obligatoire de la direction générale dans la validation des politiques de sécurité ;
responsabilité personnelle des dirigeants, qui peuvent être sanctionnés directement en cas de manquement.

Gestion des risques

Les entités doivent réaliser un inventaire exhaustif de leurs actifs, mettre en place une segmentation réseau pour séparer les environnements IT et OT, et établir un processus de gestion des correctifs^[11]. Pour les environnements industriels spécifiquement, les entités doivent adapter leurs approches aux contraintes opérationnelles des systèmes OT, notamment en matière d'inventaire des actifs industriels et de gestion des vulnérabilités^[9].

Gestion de la chaîne d'approvisionnement

La directive introduit des obligations renforcées concernant la sécurité de la chaîne d'approvisionnement^[1]. Les entités doivent établir une politique de sécurité de la chaîne d'approvisionnement, intégrer des clauses de cybersécurité dans les contrats avec les fournisseurs, et réaliser des évaluations et audits continus des fournisseurs critiques^[6].

Notification des incidents

L'une des obligations majeures de NIS 2 concerne la notification rapide des incidents de cybersécurité aux autorités compétentes^[2]^,^[16] :

notification préliminaire dans les 24 heures suivant la découverte de l'incident ;
notification détaillée sous 72 heures ;
rapport final attendu dans un délai d'un mois.

Sanctions

La directive NIS 2 prévoit un régime de sanctions beaucoup plus dissuasif que sa version précédente^[2]^,^[16].

Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Pour les entités importantes, les amendes peuvent atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

La directive introduit également la responsabilité personnelle des dirigeants, qui peuvent faire l'objet d'interdictions d'exercer ou de poursuites civiles et pénales^[6]. Cette disposition élève la cybersécurité au rang d'enjeu stratégique pour les conseils d'administration.

Transposition en droit national

Calendrier

Les États membres devaient transposer la directive dans leur droit national avant le 17 octobre 2024^[2]. Malgré cette échéance, de nombreux pays ont pris du retard dans ce processus. En novembre 2024, la Commission européenne a ouvert des procédures d'infraction contre 23 États membres^[17]. En mai 2025, la Commission a envoyé un avis motivé à 19 États membres pour transposition incomplète^[18].

Transposition en France

En France, l'ANSSI pilote la transposition de la directive et assure sa mise en œuvre^[7]. Un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été présenté pour transposer NIS 2 dans le droit français^[19]. Le projet de loi a été présenté en Conseil des ministres en octobre 2024 et suit le parcours parlementaire^[20].

L'ANSSI a mis en place un simulateur en ligne permettant aux organisations de déterminer si elles entrent dans le champ d'application de la directive^[12]. L'agence accorde un délai de trois ans aux entreprises pour atteindre la conformité totale, bien que certaines obligations devront être respectées avant cette échéance^[21].

En février 2026, le retard pris par la transposition en droit français de cette directive est analysé, selon certains, comme dû à l'article 16bis introduit par le Sénat. Cet article interdit l'affaiblissement volontaire des dispositifs de chiffrement de bout en bout par l'ajout de portes dérobées^[22].

Articulation avec d'autres réglementations

La directive NIS 2 s'inscrit dans un écosystème réglementaire européen en matière de cybersécurité et doit être articulée avec d'autres textes^[6] :

Le Cyber Resilience Act (CRA), qui établit des exigences de cybersécurité pour les produits comportant des éléments numériques ;
Le Règlement général sur la protection des données (RGPD), qui régit la protection des données personnelles ;
Le Digital Operational Resilience Act (DORA), spécifique au secteur financier ;
La directive européenne sur la résilience des entités critiques (CER).

Réception

La directive a été globalement bien accueillie par les experts en cybersécurité, qui reconnaissent la nécessité d'un cadre européen harmonisé et renforcé face à l'augmentation des cybermenaces^[23].

Cependant, certaines organisations professionnelles ont exprimé des préoccupations concernant la complexité de mise en œuvre pour les PME, le coût de la conformité, et les délais de transposition jugés parfois courts^[24].

Notes et références

↑ ^{a et b} « Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 », sur EUR-Lex, 27 décembre 2022
↑ ^{a b c d e et f} « La directive sur la cybersécurité (directive NIS 2) », sur Commission européenne
↑ ^{a et b} « La directive NIS 2 », sur ANSSI, 2023
↑ (en) « The NIS2 Directive: A high common level of cybersecurity in the EU », sur Parlement européen
↑ (en) « NIS Directive », sur ENISA
↑ ^{a b c d e et f} « Directive NIS 2 : un nouveau cadre pour renforcer la cybersécurité », sur PwC
↑ ^{a et b} « Directive NIS 2 : ce qui va changer en France pour les entreprises et les administrations », sur ANSSI, 2023
↑ (en) « Industrial Control Systems Security », sur ENISA
↑ ^{a et b} « Directive NIS 2 : Guide complet de conformité pour les systèmes industriels », sur Akenatech, 2024
↑ « Directive NIS 2 - Plaquette d'information », sur ANSSI, 2024
↑ ^{a et b} « NIS2 : impacts, obligations et sanctions en cybersécurité », sur BNP Paribas Entreprises
↑ ^{a et b} « Simulateur NIS 2 », sur ANSSI
↑ « Directive NIS 2 : Guide complet et panorama des nouvelles exigences », sur Scalingo, 2025
↑ (en) « Exigences de conformité à la directive NIS 2 », sur NinjaOne, 2024
↑ « Tout savoir sur les changements de la nouvelle directive NIS 2 », sur Orange Cyberdefense
↑ ^{a et b} « Directive NIS 2 : obligations, sanctions et plan d'action », sur Egerie, 2025
↑ (en) « NIS2 Directive Transposition Tracker », sur ECSO, 2025
↑ « NIS 2 : où en sont les pays européens dans la transposition de la directive ? », sur Wavestone, 2025
↑ « Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », sur Légifrance
↑ « Directive NIS 2 : obligations, entreprises concernées, conformité », sur Bouygues Telecom Pro, 2025
↑ « NIS 2 : les mesures concoctées par l'Anssi », sur LeMagIT
↑ Louis Adam, « NIS2 : pourquoi le gros sujet des backdoors bloque la transposition du texte » , ZDNet, 24 février 2026 (consulté le 24 février 2026)
↑ « Directive NIS2 : tout ce qu'il faut savoir », sur Entrust
↑ « Directive NIS 2 : Guide complet (PDF) pour un plan de mise en conformité », sur Silexo

Voir aussi

Articles connexes

Liens externes

« Texte intégral de la directive (UE) 2022/2555 », sur EUR-Lex
« La directive sur la cybersécurité (directive NIS 2) », sur Commission européenne
« NIS 2 - Espace dédié », sur ANSSI
(en) « NIS Directive », sur ENISA

[eur-lex-1] {a et b} « Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 », sur EUR-Lex, 27 décembre 2022

[commission-2] {a b c d e et f} « La directive sur la cybersécurité (directive NIS 2) », sur Commission européenne

[anssi_presentation-3] {a et b} « La directive NIS 2 », sur ANSSI, 2023

[parlement_eu-4] (en) « The NIS2 Directive: A high common level of cybersecurity in the EU », sur Parlement européen

[enisa-5] (en) « NIS Directive », sur ENISA

[pwc-6] {a b c d e et f} « Directive NIS 2 : un nouveau cadre pour renforcer la cybersécurité », sur PwC

[anssi_verhoeven-7] {a et b} « Directive NIS 2 : ce qui va changer en France pour les entreprises et les administrations », sur ANSSI, 2023

[enisa_ics-8] (en) « Industrial Control Systems Security », sur ENISA

[akenatech-9] {a et b} « Directive NIS 2 : Guide complet de conformité pour les systèmes industriels », sur Akenatech, 2024

[anssi_plaquette-10] « Directive NIS 2 - Plaquette d'information », sur ANSSI, 2024

[bnp_paribas-11] {a et b} « NIS2 : impacts, obligations et sanctions en cybersécurité », sur BNP Paribas Entreprises

[anssi_simulateur-12] {a et b} « Simulateur NIS 2 », sur ANSSI

[scalingo-13] « Directive NIS 2 : Guide complet et panorama des nouvelles exigences », sur Scalingo, 2025

[ninjaone-14] (en) « Exigences de conformité à la directive NIS 2 », sur NinjaOne, 2024

[orange_cd-15] « Tout savoir sur les changements de la nouvelle directive NIS 2 », sur Orange Cyberdefense

[egerie-16] {a et b} « Directive NIS 2 : obligations, sanctions et plan d'action », sur Egerie, 2025

[ecso-17] (en) « NIS2 Directive Transposition Tracker », sur ECSO, 2025

[wavestone-18] « NIS 2 : où en sont les pays européens dans la transposition de la directive ? », sur Wavestone, 2025

[legifrance-19] « Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », sur Légifrance

[bouygues-20] « Directive NIS 2 : obligations, entreprises concernées, conformité », sur Bouygues Telecom Pro, 2025

[lemagit-21] « NIS 2 : les mesures concoctées par l'Anssi », sur LeMagIT

[22] Louis Adam, « NIS2 : pourquoi le gros sujet des backdoors bloque la transposition du texte » , ZDNet, 24 février 2026 (consulté le 24 février 2026)

[entrust-23] « Directive NIS2 : tout ce qu'il faut savoir », sur Entrust

[silexo-24] « Directive NIS 2 : Guide complet (PDF) pour un plan de mise en conformité », sur Silexo

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]