NIS2 : Directive UE 2022/2555 Cybersecurite (2026)

La directive NIS2, identifiee officiellement directive (UE) 2022/2555 du Parlement europeen et du Conseil du 14 decembre 2022, est l'instrument juridique central de la politique cyber de l'Union europeenne. Publiee au Journal officiel de l'Union europeenne le 27 decembre 2022 et entree en vigueur le 16 janvier 2023, elle abroge la premiere directive NIS de 2016 (UE 2016/1148) et impose aux Etats membres une transposition en droit national avant le 17 octobre 2024. NIS2 etend massivement le perimetre regule : on passe de 7 secteurs sous NIS1 a 18 secteurs categorises en essentiels (Annexe I) et importants (Annexe II), avec un seuil d'application bas (50 employes ou 10 M EUR de chiffre d'affaires) qui fait basculer environ 160 000 entites europeennes dans le champ des obligations cyber, contre 13 000 sous NIS1. La directive impose un socle de 10 mesures de gestion des risques (article 21), un regime de notification d'incidents en trois temps (24 h alerte initiale, 72 h notification, 1 mois rapport final), des sanctions financieres jusqu'a 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entites essentielles, et une responsabilite personnelle des organes de direction qui doivent suivre une formation cyber obligatoire. La France a transpose le 30 avril 2025 par la loi n 2025-391 (loi REC), l'Allemagne en decembre 2024 (NIS2UmsuCG), tandis que d'autres Etats membres restent en retard de transposition au printemps 2026.

Definition juridique de la directive NIS2

La directive NIS2 est un acte legislatif europeen de second rang qui fixe des objectifs minimaux et laisse aux Etats membres le soin de les transposer dans leur droit national. Son intitule complet est directive (UE) 2022/2555 du Parlement europeen et du Conseil du 14 decembre 2022 concernant des mesures destinees a assurer un niveau eleve commun de cybersecurite dans l'ensemble de l'Union, modifiant le reglement (UE) n 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148. Elle est consultable sur le portail eur-lex.europa.eu sous l'identifiant CELEX 32022L2555. Le texte comporte 46 articles repartis en 10 chapitres et deux annexes listant les secteurs reguliers. NIS2 est completee par les actes d'execution de la Commission europeenne, en particulier le reglement d'execution 2024/2690 du 17 octobre 2024 qui precise les exigences techniques et methodologiques de gestion des risques pour les fournisseurs de services numeriques et d'infrastructures critiques. La directive cohabite avec d'autres textes du paquet cyber europeen : le reglement DORA (UE 2022/2554) pour la finance, le Cybersecurity Act (UE 2019/881) pour la certification, le futur Cyber Resilience Act (CRA) pour les produits, et le reglement CER (Critical Entities Resilience, UE 2022/2557) qui aborde la resilience physique en parallele.

Histoire : de NIS1 (2016) a NIS2 (2022)

L'ancetre de NIS2 est la directive NIS1 ((UE) 2016/1148), adoptee le 6 juillet 2016 et premier texte horizontal cyber de l'Union. NIS1 ciblait sept secteurs (energie, transports, banque, infrastructures financieres, sante, eau potable, infrastructures numeriques) et imposait des obligations relativement legeres : notification volontaire des incidents, mesures de gestion des risques sans contenu detaille, et regime de sanctions laisse au choix des Etats. La revue de NIS1 menee par la Commission entre 2019 et 2021 a mis en evidence trois faiblesses : un perimetre trop restreint excluant des secteurs critiques (eaux usees, espace, administrations, services TIC manages), des disparites de transposition creant un patchwork reglementaire non harmonise, et une coercition insuffisante (peu d'Etats ont applique de sanctions). La proposition de NIS2 a ete deposee le 16 decembre 2020 par la Commission von der Leyen dans le cadre de la strategie cyber europeenne. Apres negociations en trilogue Parlement-Conseil-Commission, l'accord politique a ete trouve le 13 mai 2022. Le texte a ete adopte formellement le 14 decembre 2022, publie au JOUE le 27 decembre 2022, et est entre en vigueur 20 jours plus tard, le 16 janvier 2023. Le calendrier de transposition fixait au 17 octobre 2024 la date butoir, manquee par 23 des 27 Etats membres, ce qui a declenche la procedure d'infraction de la Commission contre 23 capitales le 28 novembre 2024.

Perimetre elargi vs NIS1

L'extension du perimetre est le changement le plus visible. NIS1 couvrait 7 secteurs et environ 13 000 entites (Operateurs de Services Essentiels et Fournisseurs de Service Numerique). NIS2 couvre 18 secteurs (11 essentiels en Annexe I, 7 importants en Annexe II) et l'estimation de la Commission europeenne situe le nombre d'entites concernees entre 110 000 et 160 000 selon la transposition nationale. La distinction essentielles / importantes remplace la dichotomie OSE / FSN de NIS1 et se traduit par un regime de supervision differencie : les entites essentielles sont soumises a une supervision ex ante (audits programmes, controles inopines, plans d'action), tandis que les entites importantes sont supervisees ex post, c'est a dire uniquement en cas d'incident ou de plainte. Le regime de sanctions, le quantum des amendes et les pouvoirs des autorites competentes (suspension de la certification, interdiction temporaire d'exercer pour les dirigeants) varient selon la categorie. Le perimetre s'apprecie au niveau de chaque entite juridique, pas au niveau du groupe : une filiale francaise d'un groupe americain bascule individuellement dans NIS2 si elle franchit les seuils sur le territoire de l'UE.

Secteurs essentiels (Annexe I)

L'Annexe I de NIS2 liste les 11 secteurs essentiels dont les entites doivent assurer un niveau de cybersecurite renforce et sont soumises a la supervision ex ante. Ces secteurs sont : energie (electricite, gaz, petrole, hydrogene, chauffage urbain) ; transports (aerien, ferroviaire, par eau, routier) ; banque (etablissements de credit) ; infrastructures des marches financiers (plateformes de negociation, contreparties centrales) ; sante (etablissements de soins, laboratoires de reference UE, fabricants de produits pharmaceutiques et dispositifs medicaux critiques) ; eau potable (fournisseurs et distributeurs) ; eaux usees (nouveaute NIS2) ; infrastructures numeriques (IXP, fournisseurs DNS, registres TLD, fournisseurs de services cloud, datacenters, CDN, fournisseurs de services de communication electronique) ; gestion des services TIC entreprise (MSP et MSSP, nouveaute NIS2) ; administration publique (gouvernement central et regional, optionnel pour les Etats membres) ; espace (operateurs d'infrastructures terrestres satellitaires, nouveaute NIS2). La recherche est listee en Annexe I dans certaines transpositions nationales lorsque les organismes de recherche operent des infrastructures critiques. La liste finale par secteur est consultable sur enisa.europa.eu, l'agence europeenne pour la cybersecurite, qui maintient la doctrine d'application.

Secteurs importants (Annexe II)

L'Annexe II liste les 7 secteurs importants dont la criticite societale justifie une regulation cyber, mais avec un regime de supervision allege (ex post). Les secteurs concernes sont : services postaux et de courrier ; gestion des dechets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution de denrees alimentaires ; fabrication critique incluant dispositifs medicaux non-critiques, ordinateurs et equipements electroniques, equipements electriques, machines et equipements, vehicules a moteur, autres materiels de transport ; fournisseurs numeriques tels que places de marche en ligne, moteurs de recherche en ligne, plateformes de reseaux sociaux ; recherche couvrant les organismes de recherche dont l'activite principale est la recherche-developpement et qui produisent ou utilisent des resultats commercialement applicables. La distinction essentielles vs importantes n'est pas figee : un Etat membre peut, sur motivation, requalifier une entite importante en essentielle si sa defaillance entrainerait des perturbations significatives. Les seuils financiers et les sanctions reduits visent a proteger les acteurs de taille intermediaire tout en garantissant un socle minimal d'hygiene cyber. La majorite des PME cotees ou ETI industrielles europeennes sont concernees, ce qui rend la conformite NIS2 strategique meme en l'absence d'audit programme.

Seuils d'application : qui est concerne ?

L'application de NIS2 obeit a un mecanisme dit size-cap rule : seules les entites depassant les seuils des moyennes entreprises au sens de la recommandation 2003/361/CE sont concernees. Concretement, une entite importante doit compter au moins 50 employes OU realiser un chiffre d'affaires annuel ou un total de bilan superieur ou egal a 10 millions d'euros. Une entite essentielle doit compter au moins 250 employes OU realiser un chiffre d'affaires annuel superieur ou egal a 50 millions d'euros ou un bilan superieur ou egal a 43 millions d'euros. Plusieurs derogations au size-cap rule font basculer dans NIS2 des entites en dessous de ces seuils : les fournisseurs de services TIC essentiels (DNS, registres TLD, fournisseurs cloud, MSP gerant des donnees critiques de tiers), les fournisseurs de services electroniques de confiance qualifies au sens d'eIDAS, les operateurs de telecommunications, les administrations publiques centrales et regionales, et les entites uniques en leur genre dont la defaillance aurait un impact systemique. Une PME de 30 salaries operant un service DNS public ou une plateforme cloud B2B est ainsi pleinement assujettie. Le guide NIS2 de l'ANSSI publie sur cyber.gouv.fr propose un outil d'auto-evaluation pour determiner si une organisation francaise est concernee, et avec quel statut.

Obligations de gestion des risques (article 21)

L'article 21 de NIS2 enumere 10 mesures techniques, operationnelles et organisationnelles minimales que toute entite reglementee doit mettre en oeuvre selon une approche fondee sur les risques. Ces mesures sont : (1) politique d'analyse des risques et de securite des systemes d'information ; (2) gestion des incidents (detection, analyse, confinement, eradication, retablissement, retour d'experience) ; (3) continuite des activites, gestion des sauvegardes et reprise apres sinistre, gestion des crises ; (4) securite de la chaine d'approvisionnement incluant les aspects relatifs aux relations entre l'entite et ses fournisseurs ou prestataires de services directs ; (5) securite de l'acquisition, du developpement et de la maintenance des systemes informatiques (SDLC securise, gestion des vulnerabilites, divulgation coordonnee) ; (6) politiques et procedures pour evaluer l'efficacite des mesures de gestion des risques cyber ; (7) pratiques d'hygiene cyber de base et formation a la cybersecurite ; (8) politiques et procedures relatives a l'utilisation de la cryptographie et de chiffrement ; (9) securite des ressources humaines, politiques de controle d'acces et gestion des actifs ; (10) utilisation de solutions d'authentification a plusieurs facteurs, de communications vocales, video et texte securisees, et de systemes de communication d'urgence securises au sein de l'entite, le cas echeant. La conformite a une norme ISO 27001 Annexe A 2022 et a un cadre de gestion des risques tel que EBIOS RM couvre l'essentiel de l'article 21, mais sans le remplacer.

Notification d'incidents : 24 h, 72 h, 1 mois

L'article 23 instaure un regime de notification d'incidents en trois temps, plus contraignant que NIS1 et calque sur les meilleures pratiques sectorielles. Premier temps : alerte precoce sous 24 heures a compter de la prise de connaissance de l'incident significatif, indiquant si l'incident est suspecte d'etre cause par une action illicite ou malveillante et s'il pourrait avoir un impact transfrontalier. Deuxieme temps : notification d'incident sous 72 heures, comportant une evaluation initiale incluant la severite, l'impact, et les indicateurs de compromission le cas echeant. Troisieme temps : rapport final au plus tard un mois apres la notification, contenant la description detaillee de l'incident, le type de menace ou la cause profonde probable, les mesures d'attenuation appliquees et les impacts transfrontaliers. Un rapport intermediaire peut etre demande par l'autorite competente entre la notification et le rapport final si l'incident est en cours. Un incident significatif est defini comme tout incident qui cause ou est susceptible de causer une perturbation operationnelle grave des services ou des pertes financieres pour l'entite, ou qui affecte ou est susceptible d'affecter d'autres personnes physiques ou morales. La notification s'effectue aupres de l'autorite competente nationale (en France l'ANSSI) ou du CSIRT national designe. Les retards de notification ou les omissions sont sanctionnables au meme titre qu'une faille de cybersecurite.

Sanctions : jusqu'a 10 M EUR ou 2 % du CA mondial

L'article 34 harmonise les sanctions a l'echelle europeenne en imposant aux Etats membres des plafonds minimaux. Pour les entites essentielles, les amendes administratives peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'exercice precedent, le montant le plus eleve etant retenu. Pour les entites importantes, le plafond est fixe a 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus eleve etant egalement retenu. Au-dela des amendes pecuniaires, les autorites competentes disposent de pouvoirs gradues : injonctions de mise en conformite, publication des manquements avec identite de l'entite (name and shame), suspension temporaire de la certification ou de l'autorisation pour les services regules, et surtout responsabilite personnelle des dirigeants avec possibilite d'interdiction temporaire d'exercer des fonctions de direction (article 32 paragraphe 5). La cumul avec les sanctions RGPD est explicite : un meme incident peut declencher une enquete CNIL et une enquete ANSSI avec amendes cumulatives. Les premieres sanctions effectives en France au premier trimestre 2026 ont concerne plusieurs entites essentielles ayant manque a leurs obligations de notification, avec des amendes situees entre 200 000 EUR et 1,5 M EUR.

Gouvernance et responsabilite des dirigeants

L'article 20 de NIS2 introduit une innovation majeure : la responsabilite personnelle des organes de direction dans la gouvernance cyber. Les conseils d'administration et les comites de direction doivent approuver les mesures de gestion des risques cyber, en superviser la mise en oeuvre, et peuvent etre tenus personnellement responsables des manquements de l'entite. Cette responsabilite se traduit concretement par trois exigences. Premierement, la formation cyber obligatoire : les membres des organes de direction doivent suivre regulierement des formations leur permettant d'acquerir des connaissances et des competences suffisantes pour identifier les risques et evaluer les pratiques de gestion des risques cyber. Deuxiemement, l'incitation a etendre cette formation aux salaries de maniere recurrente. Troisiemement, l'engagement de la responsabilite des dirigeants en cas de manquement : les autorites competentes peuvent prononcer une interdiction temporaire d'exercer des fonctions de direction au sein des entites essentielles concernees, sanction inedite dans le droit cyber europeen et qui s'inspire des dispositifs financiers (Sapin II, MAR). Cette responsabilisation transforme le cyber d'enjeu technique en sujet de gouvernance d'entreprise au meme titre que la conformite financiere ou le RGPD, et explique l'attention soutenue que les comites d'audit portent desormais a la cartographie cyber.

NIS2 vs DORA : qui est concerne par quoi ?

La cohabitation NIS2 / DORA est une source frequente de confusion. Le reglement DORA (Digital Operational Resilience Act, UE 2022/2554) cible exclusivement le secteur financier : etablissements de credit, entreprises d'investissement, etablissements de paiement, etablissements de monnaie electronique, prestataires de services sur crypto-actifs (CASP), gestionnaires de fonds, entreprises d'assurance et de reassurance, agences de notation, prestataires de services TIC tiers critiques. NIS2 et DORA partagent les memes piliers (gestion des risques, notification d'incidents, supervision) mais DORA est plus prescriptif : seuils d'incidents quantifies, tests de penetration TLPT obligatoires pour les acteurs systemiques, surveillance des prestataires TIC tiers critiques par le European Supervisory Authorities. La regle de coordination est claire : DORA = lex specialis, NIS2 = lex generalis. Une banque francaise releve donc de DORA et est exemptee des obligations correspondantes de NIS2 (article 4 NIS2). Mais une filiale TIC d'un groupe bancaire qui fournit des services aux clients non-financiers reste sous NIS2. Pour les entites assujetties aux deux regimes (rares cas de fournisseurs TIC tiers critiques au sens de DORA), une double conformite NIS2 + DORA est requise, avec deux notifications d'incidents potentiellement differentes. Voir aussi le panorama NIS2 + DORA + RGPD : exigences croisees et la fiche dediee DORA.

Methodologie de mise en conformite en 6 etapes

La mise en conformite NIS2 d'une organisation moyenne s'organise en six etapes structurees. Etape 1 — qualification : determiner si l'entite est concernee (secteur Annexe I ou II, seuils, derogations) et avec quel statut (essentielle vs importante). Cette qualification doit etre formalisee dans une note juridique signee par la direction. Etape 2 — cartographie des actifs et des risques : inventaire des systemes d'information critiques, des donnees sensibles, des dependances supply chain, et analyse de risques selon une methode reconnue (EBIOS RM, ISO 27005, NIST 800-30). Etape 3 — gap analysis sur les 10 mesures de l'article 21 et identification des ecarts par rapport au socle NIS2 ou au socle ISO 27001 si l'entite est deja certifiee. Etape 4 — plan de remediation chiffre, planifie, priorise selon la criticite des risques residuels. Etape 5 — mise en oeuvre des controles techniques (MFA, EDR, journalisation, sauvegardes immuables, segmentation reseau) et organisationnels (politiques, procedures, formation cyber des dirigeants, plan de continuite). Etape 6 — gouvernance recurrente : revue annuelle, exercices de crise (table top et red team), audits internes et externes, mise a jour de la cartographie supply chain, et notification preventive d'incidents test pour valider le canal d'echange avec l'autorite competente. La liste de jeux de donnees cyber publiee par Ayinedjimi Consultants peut servir de base d'enrichissement aux exercices de crise.

Cout estime d'une mise en conformite

Les couts de mise en conformite NIS2 varient considerablement selon la taille de l'entite, son niveau de maturite cyber initial, sa surface d'attaque et la sophistication de ses systemes. L'estimation indicative reposant sur les retours d'experience 2024-2026 distingue trois categories. Pour une PME importante de 50 a 250 salaries avec un SI standard, le cout total de mise en conformite (cartographie, gap analysis, mise en place des controles, formation, audits) se situe entre 30 000 et 80 000 euros en investissement initial, plus 10 a 25 % de cout recurrent annuel pour le maintien en condition de securite. Pour une ETI essentielle de 250 a 5 000 salaries, l'investissement initial monte a 200 000 a 500 000 euros avec un cout recurrent de 50 000 a 150 000 euros par an. Pour un grand groupe essentiel multi-sites multi-juridictions, l'investissement depasse frequemment 1 million d'euros et peut atteindre 5 a 10 millions d'euros pour les acteurs des infrastructures critiques (energie, telecoms, banque). Ces chiffres incluent les couts internes (RSSI, equipe SOC, juristes), les couts externes (cabinet de conseil, integrateurs, audits ANSSI ou prestataires PASSI), et les couts logiciels (SIEM, EDR, IAM, vulnerability management). La simplification annoncee par la Commission europeenne dans le cadre de l'initiative Cybersecurity Act 2 de 2026 vise a reduire la charge administrative pour les PME via des modeles de notification simplifies et un guichet unique europeen.

Etat de la transposition par pays

La transposition de NIS2 dans les 27 Etats membres a accuse un retard significatif. Au 17 octobre 2024, date butoir, seuls 4 Etats membres avaient transpose : la Belgique (loi du 26 avril 2024), la Croatie, la Lituanie et la Hongrie. La Commission europeenne a engage le 28 novembre 2024 des procedures d'infraction contre les 23 capitales restantes. Le panorama au printemps 2026 est le suivant. France : transposition par la loi REC n 2025-391 du 30 avril 2025 (Resilience des activites d'importance vitale et cybersecurite), avec decrets d'application echelonnes sur 2025-2026 et l'ANSSI comme autorite competente. Allemagne : transposition par la loi NIS2UmsuCG adoptee le 18 decembre 2024 apres deux reports, avec le BSI comme autorite competente. Italie : decret legislatif n 138 du 4 septembre 2024, avec l'ACN (Agenzia per la Cybersicurezza Nazionale). Espagne : projet de loi adopte au Conseil des ministres en mars 2025, transposition complete prevue T3 2026. Belgique : transposee des avril 2024, autorite CCB. Pays-Bas : projet de loi Cyberbeveiligingswet en debat parlementaire courant 2025, transposition prevue mi-2026. La fragmentation des calendriers de transposition complique la conformite des groupes multinationaux dont la maturite cyber doit s'aligner sur le pays le plus exigeant.

Articulation NIS2 + ISO 27001 + RGPD

La relation entre NIS2, ISO 27001 et le RGPD est complementaire et non substitutive. La norme ISO/IEC 27001:2022, avec son Annexe A revisee a 93 controles repartis en quatre themes (organisationnel, personnes, physique, technologique), constitue le socle technique de reference pour satisfaire les 10 mesures de l'article 21 NIS2. Une certification ISO 27001 a jour ne dispense pas de la conformite NIS2 (la directive ne reconnait pas formellement les certifications privees comme presomption de conformite, sauf au niveau europeen via les schemas de certification du Cybersecurity Act), mais elle reduit considerablement l'effort de mise en conformite : on estime que 70 a 80 % des exigences NIS2 article 21 sont couvertes par un ISMS ISO 27001 mature. Le RGPD (reglement UE 2016/679) couvre la securite des donnees a caractere personnel (article 32) et impose une notification de violation a la CNIL sous 72 heures (article 33). NIS2 couvre la securite des systemes au sens large (donnees personnelles ou non) et impose une notification cyber a l'ANSSI sous 24h/72h. Un meme incident affectant des donnees personnelles d'utilisateurs declenchera donc deux notifications paralleles aupres de deux autorites differentes (CNIL et ANSSI) avec des delais et des formats distincts. La synergie operationnelle se materialise dans une governance integree : RSSI, DPO et juriste co-pilotent la reponse a incident sous l'autorite du conseil d'administration.

Audits ANSSI et autorites competentes

Les autorites competentes nationales designees par chaque Etat membre disposent de pouvoirs d'enquete etendus. En France, l'ANSSI (Agence nationale de la securite des systemes d'information), placee sous l'autorite du Premier ministre via le SGDSN, est l'autorite competente principale. Pour certains secteurs, des autorites sectorielles co-interviennent : l'ACPR et l'AMF pour la finance (en coordination avec DORA), l'ARCEP pour les telecommunications, l'ANS (Agence du numerique en sante) pour le secteur sante, et l'ASN pour le nucleaire. Les pouvoirs des autorites incluent : controles sur place et sur piece, demande de documentation, ordonnances de conformite, audits de securite cibles realises par des prestataires PASSI (Prestataires d'audit de la securite des systemes d'information qualifies par l'ANSSI), tests de penetration sous controle, et suspension de l'activite en dernier recours. Les entites essentielles font l'objet d'un plan de controle annuel communique a l'autorite competente, tandis que les entites importantes sont controlees uniquement sur signalement. La duree d'un audit ANSSI complet varie de 4 a 12 semaines selon la complexite de l'organisation, et le rapport d'audit identifie les non-conformites majeures, mineures et observations, assorties d'un plan de remediation a executer dans un delai negocie (typiquement 3 a 18 mois).

Outils, frameworks et referentiels recommandes

La mise en conformite NIS2 s'appuie sur un ecosysteme de frameworks et outils qui n'ont pas vocation a etre prescriptifs mais qui structurent l'effort. Le referentiel ANSSI regroupe les guides d'hygiene cyber, le guide PSSI (Politique de securite des systemes d'information), le guide de notification d'incidents et le guide d'analyse de risques EBIOS Risk Manager. La methode EBIOS RM est la reference francaise pour l'analyse de risques cyber et est recommandee par l'ANSSI pour les entites NIS2. La norme ISO/IEC 27001:2022 et son guide d'implementation 27002:2022 fournissent la cartographie des controles. Le framework NIST Cybersecurity Framework 2.0 (publie en fevrier 2024) est utile pour les groupes internationaux exposes au marche americain. Le MITRE ATT&CK est le referentiel de tactiques et techniques adverses servant aux exercices red team et aux scenarios d'analyse de risques. Les controles CIS v8 (Center for Internet Security) offrent une priorisation operationnelle accessible aux PME. Cote outillage, les piliers techniques inclueront : un SIEM (Splunk, Sentinel, Elastic, Wazuh, QRadar), un EDR/XDR (CrowdStrike, SentinelOne, Microsoft Defender), une solution IAM/PAM (CyberArk, Okta, Microsoft Entra), un outil de vulnerability management (Tenable, Qualys, Rapid7), une solution de backup immuable (Veeam, Rubrik, Cohesity), et une plateforme de GRC (eGRC, Archer, ServiceNow GRC) pour piloter la conformite NIS2 dans la duree.

FAQ NIS2

Qui est concerne par NIS2 ?

Toute entite operant dans l'un des 18 secteurs listes en Annexes I et II de la directive et depassant les seuils des moyennes entreprises (50 employes ou 10 M EUR de CA pour les entites importantes, 250 employes ou 50 M EUR pour les essentielles) est concernee. Des exceptions baissent ces seuils pour certains acteurs critiques (DNS, fournisseurs cloud, MSP, telecoms, services de confiance qualifies, administrations publiques). Au total, environ 160 000 entites en Europe et 15 000 a 20 000 en France selon l'estimation ANSSI.

Comment savoir si je suis essentiel ou important ?

Le statut depend du secteur (Annexes I ou II) et de la taille. Une entite Annexe I depassant les seuils essentielles (250 / 50 M EUR) est essentielle. Une entite Annexe I sous ces seuils mais au-dessus des seuils importantes (50 / 10 M EUR) est importante. Une entite Annexe II depassant les seuils importants est importante. L'outil d'auto-evaluation publie sur cyber.gouv.fr permet de qualifier en quelques minutes une organisation francaise.

Les sanctions sont-elles vraiment appliquees ?

Oui. Les premieres sanctions ANSSI ont ete prononcees au premier trimestre 2026, avec des amendes comprises entre 200 000 EUR et 1,5 M EUR pour des manquements de notification ou de gestion des risques. Les autres autorites europeennes (BSI Allemagne, ACN Italie, CCB Belgique) ont egalement engage des procedures. Le regime de responsabilite personnelle des dirigeants n'a pas encore ete active publiquement mais les premieres mises en cause sont attendues sur 2026-2027.

Quelle difference entre NIS2 et DORA ?

DORA cible exclusivement le secteur financier (banque, assurance, marches financiers, prestataires TIC critiques de la finance) et est plus prescriptif (TLPT obligatoires, supervision europeenne directe). NIS2 cible 18 secteurs hors finance avec un regime general. La regle de coordination : DORA prime sur NIS2 pour les acteurs financiers (lex specialis), mais une filiale TIC servant des clients non-financiers reste sous NIS2.

Quelles etapes immediates pour se mettre en conformite ?

1. Qualifier le statut de l'entite (essentielle / importante / non concernee). 2. Realiser une cartographie des actifs critiques et une analyse de risques. 3. Lancer une gap analysis sur les 10 mesures de l'article 21. 4. Definir un plan de remediation chiffre et planifie. 5. Former le conseil d'administration et formaliser la gouvernance cyber. 6. Tester le canal de notification d'incidents avec l'autorite competente.

NIS2 s'applique-t-elle aux filiales hors UE ?

Non, NIS2 s'applique aux entites etablies dans l'Union europeenne. Toutefois, une entite extra-UE qui fournit des services dans l'UE et qui est designee comme prestataire critique (DNS, registre TLD, fournisseur cloud) doit designer un representant dans l'UE et est assujettie aux obligations de NIS2. Les filiales europeennes de groupes etrangers sont pleinement concernees au niveau de chaque entite juridique implantee dans l'UE.

Liens approfondis et ressources NIS2

Pour approfondir : la version officielle consolidee de la directive (UE) 2022/2555 est disponible sur EUR-Lex en 24 langues, accompagnee des actes d'execution et des considerants. L'ENISA publie des guides sectoriels, des modeles de notification et la doctrine d'application. L'ANSSI propose un portail dedie avec foire aux questions, outil d'auto-evaluation et liste des prestataires PASSI. Sur ce site : la transposition allemande NIS2UmsuCG, l'articulation NIS2 / DORA pour le secteur financier, le panorama croise NIS2 + DORA + RGPD, les premieres sanctions ANSSI 2026, l'initiative Cybersecurity Act 2 de simplification, ainsi que les fiches entites ISO 27001, DORA, EBIOS Risk Manager et la rubrique datasets cybersecurite. Pour un panorama transversal, consulter aussi les referentiels MITRE ATT&CK, NIST CSF 2.0 et CIS Controls v8.