Comprendre la directive NIS2 et qui est concerné
22 Sept 2025 - Non classé
Comprendre la directive NIS2 et qui est concerné
Chaque mois, on dénombre environ 100 000 incidents de cybersécurité sur le sol européen (chiffres pour 2025).
Pour faire face à ces menaces, les institutions ont pris les devants avec la directive européenne NIS2 entrée en vigueur en 2023.
Quel est le contenu de la directive ? Quelles sont les entités concernées ? On vous présente les informations essentielles pour tout comprendre sur la NIS2.
Directive NIS2 : évolution et objectifs
La directive Network and Information Security 2, adoptée en janvier 2023, impose aux structures privées et publiques d’améliorer leurs mesures de sécurité pour mieux lutter contre les nouvelles formes de cyberattaques.
L’objectif est simple, établir une stratégie de défense cybernétique efficace, performante et uniforme sur l’ensemble du territoire de l’Union européenne.
La norme NIS2 est, en réalité, l’actualisation d’une autre directive : la NIS (Network and Information Security).
Elle en reprend tout le contenu, mais l’élargit à un plus grand nombre de secteurs.
La principale évolution réside dans son extension aux entreprises privées dans des secteurs considérés comme critiques et importants.
Les objectifs concrets de la réglementation NIS2
- Établir un cadre unifié de cybersécurité au niveau européen.
- Faciliter la coopération et le partage d’informations entre les États membres.
- Définir des obligations claires pour les entreprises avec un renforcement des sanctions en cas de non-conformité.
- Mise en place de procédures standardisées d’évaluation des risques et de réponse aux menaces.
"NIS directive numéro 2" : qui est concerné ?
Avec la première version de la NIS, seules quelques milliers d’organisations étaient concernées.
Avec la NIS2, ce sont environ 160 000 entités publiques et privées qui entrent dans le champ d’application de la directive.
Les secteurs concernés par la NIS1
La NIS2 n’est pas une révolution.
Elle ne fait qu’étendre un champ de normes qui concernait déjà des organisations appartenant à 11 secteurs critiques, dont l’énergie, les transports, le secteur financier et l’ensemble des infrastructures numériques.
Les nouveaux secteurs concernés
Les obligations de conformité NIS2″ concernent maintenant 35 secteurs considérés comme essentiels pour l’économie et la société.
Les principaux sont :
- La santé (hôpitaux, laboratoires, établissements médicaux).
- L’administration publique et les collectivités territoriales.
- La production et la distribution d’eau potable.
- La gestion des déchets et la fabrication de produits chimiques.
- L’industrie agroalimentaire.
- Les services postaux.
- La recherche.
Les entreprises essentielles et importantes
Là où la NIS première du nom ne s’adressait qu’aux entités publiques, des entreprises sont maintenant concernées par les obligations de la NIS2.
Pour entrer dans cette catégorie, la structure doit être considérée comme essentielle ou importante.
Mais qu'est-ce que cela signifie concrètement ?
On parle d’entreprise essentielle pour une infrastructure dont l’arrêt d’activité aurait des conséquences significatives sur l’économie et le fonctionnement d’un pays. Dans cette catégorie, on inclut les ETI et les sociétés inscrites sur la liste des opérateurs de services essentiels (OSE).
Les entreprises sont considérées comme importantes si elles répondent aux critères suivants :
- Au moins 50 employés.
- Un chiffre d’affaires supérieur à 1 million d’euros.
Comment savoir si vous êtes concerné par la directive NIS2 ?
Si vous répondez aux critères exposés plus hauts, vous serez certainement concernés par les obligations liées à la NIS2.
On vous conseille de vous renseigner sur ce sujet, car c’est à vous d’évaluer si vous entrez dans le périmètre d’application et non à une quelconque organisation de contrôle.
NIS2 Obligations : Comment se conformer à la directive ?
Vous êtes concerné par la directive NIS2 ?
On vous explique, pas à pas, comment rester en conformité avec son contenu.
La première étape : vous enregistrer auprès de l'autorité nationale compétente
Avant même de vous pencher sur l’aspect pratique de la « NIS2 directive », vous devez enregistrer votre entité au niveau national.
Vous devrez également transmettre certaines informations (et les mettre à jour) pour faciliter le suivi de votre résilience cybernétique.
La liste des données est définie par le paragraphe 4 de l’article 3 et par l’article 27 de la directive NIS 2. Pour faciliter vos démarches, l’ANSSI met à votre disposition une plateforme en ligne.
Gestion des risques cyber : mesures et conseils pratiques
On passe au gros morceau de la directive : les mesures concrètes de cybersécurité à mettre en place.
Le texte impose les obligations juridiques, techniques et organisationnelles minimum suivantes :
- Mise en place de politiques relatives à l’analyse des risques et à la sécurité concernant les systèmes d’information.
- Création d’une stratégie de continuité des activités (externalisation de sauvegarde, plan de reprise, gestion de crises).
- Mise en œuvre de la sécurité cyber des chaînes d’approvisionnement, des réseaux et des systèmes d’information.
- Mise en pratique des concepts de base de la cyberhygiène et formation continue des équipes à la cybersécurité.
- Mise en œuvre de procédures relatives à l’utilisation de la cryptographie et du chiffrement.
- Utilisation de méthodes d’authentification multi-facteurs.
Pour vous garantir une conformité totale avec la NIS2, nous vous proposons plusieurs offres de protection pour vos systèmes informatiques :
- Nos solutions de Plan de Reprise et Continuité d’Activité PRA/PCA vous assurent une redondance complète, même en cas de cyberattaque d’envergure.
- Nos datacenters 100% français vous offrent une souveraineté totale sur vos données, sans risque de fuite vers l’étranger.
- Notre hébergement de Données de Santé (HDS) est spécialement conçu pour répondre aux besoins en cyberdéfense des organismes de santé.
Déclarer vos incidents
Le dernier aspect de la directive concerne la déclaration des incidents.
Les entreprises et les entités publiques doivent signaler leurs incidents de sécurité majeurs à l’autorité nationale désignée.
Elles devront également fournir un rapport concernant les suites de l’incident et les correctifs mis en place.
Quelles sont les sanctions pour non-conformité à la Directive NIS2 ?
En cas de non-conformité, la NIS2 frappe particulièrement fort :
- Une amende de 10 millions d’euros ou correspondant à 2 % du chiffre d’affaires annuel mondial.
- Une suspension temporaire des activités.
- L’obligation de mise en place de mesures correctives est immédiate.
- Publication de la liste des infractions constatées.
Le message est clair, les entreprises doivent prendre au sérieux leur politique de cybersécurité.
Comprendre la directive NIS2 : profitez de l'expertise ITinSell Cloud
Pour être certain de votre conformité, n’hésitez pas à faire appel à un expert de la cybersécurité comme ITinSell Cloud.
Protégez vos serveurs grâce à nos solutions d’hébergement et d’infogérance pour vous assurer une conformité totale.
La directive NIS2 n’est pas seulement une obligation, c’est une opportunité d’améliorer votre résilience dans un écosystème virtuel de plus en plus complexe.