Les cybermenaces ne cessent de croître, en volume comme en impact. Attaques par rançongiciels, fuites de données sensibles, interruptions de service critiques : les entreprises européennes sont de plus en plus exposées. Dans ce contexte, l’Union européenne a adopté une nouvelle directive pour relever le niveau de sécurité collectif : la directive (UE) 2022/2555, dite NIS2.
Cette directive ne se limite pas à des recommandations générales. Elle impose désormais des obligations juridiques claires aux entreprises de secteurs jugés critiques ou importants, ainsi qu’aux États membres, qui doivent en assurer la mise en œuvre et le contrôle. L’objectif est explicite : réduire les risques systémiques en renforçant la résilience numérique à tous les niveaux.
NIS2 représente une rupture par rapport au dispositif précédent (la directive NIS1 de 2016). Elle élargit considérablement le périmètre des entités concernées, accroît la responsabilité des dirigeants, et définit des exigences minimales obligatoires que chaque organisation doit mettre en œuvre.
Dans cet article, vous allez découvrir :
- Quelles sont les obligations concrètes à respecter en vertu de NIS2
- À quels articles du texte elles se réfèrent précisément
- Comment éviter les erreurs fréquentes
- Et quelles actions concrètes mettre en place pour rester conforme sur la durée
Vous dirigez une PME ou une entité soumise à des exigences clients dans un secteur numérique, industriel ou logistique ? Vous gagnez à comprendre dès maintenant ce que NIS2 vous impose, avant qu’un contrôle ou un incident ne vous place devant le fait accompli.
1. Ce que NIS2 impose réellement aux entreprises : les 10 exigences à respecter
1.1 Une base réglementaire obligatoire, même pour les PME
La directive NIS2 établit un socle commun d’exigences de cybersécurité que toutes les entités concernées doivent respecter, quelle que soit leur taille ou leur secteur. Ces obligations sont définies à l’article 21 de la directive (UE) 2022/2555 et s’appliquent à toutes les entités concernées.
Selon ce cadre, chaque entité doit mettre en œuvre des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées ». Le terme « appropriées » renvoie à la nature des risques, au niveau de criticité des systèmes, et aux capacités de l’entité concernée. Il ne s’agit donc pas d’imposer un standard unique, mais bien un niveau de sécurité justifié, démontrable et aligné sur les enjeux propres à l’organisation.
La directive précise que ces mesures doivent permettre :
- de gérer les risques pesant sur les réseaux et systèmes d’information,
- de prévenir ou limiter l’impact des incidents,
- et de garantir la continuité des services fournis par les entités concernées.
1.2 Les 10 domaines de conformité (et des exemples concrets)
Le paragraphe 2 de l’article 21 identifie dix domaines spécifiques que les entités doivent impérativement couvrir. Il ne s’agit pas de recommandations, mais d’un socle réglementaire minimum, qui servira de base aux contrôles et audits.
Voici un tableau synthétique de ces exigences, accompagnées d’exemples applicables à une PME :
| Exigence (article 21.2) | Illustration opérationnelle pour une PME |
| Politique de sécurité et d’analyse des risques | Évaluation annuelle des risques, registre des actifs critiques |
| Gestion des incidents | Procédure de réaction en cas d’attaque, canal de signalement identifié |
| Continuité d’activité et gestion de crise | Plan de reprise informatique, test de restauration de sauvegardes |
| Sécurité de la chaîne d’approvisionnement | Évaluation des prestataires critiques, clauses cyber dans les contrats |
| Sécurité des réseaux et systèmes d’information | Mise à jour régulière des logiciels, choix de solutions sécurisées |
| Évaluation de l’efficacité des mesures | Revue semestrielle, tableau de bord avec indicateurs clés de sécurité |
| Formation et bonnes pratiques d’hygiène cyber | Sensibilisation annuelle, chartes d’usage, guide des mots de passe |
| Politiques et procédures de cryptographie et/ou de chiffrement | Usage du chiffrement pour les données sensibles, sécurisation des emails |
| Contrôle d’accès et sécurité RH | Gestion des droits par rôle, suppression des comptes inactifs, vérification à l’embauche |
| MFA et communications sécurisées | Authentification à deux facteurs, usage de VPN ou d’accès chiffré |
Ces obligations s’appliquent de manière continue, pas seulement lors d’un audit ponctuel. Elles doivent pouvoir être justifiées et documentées à tout moment.
1.3 Comment les PME peuvent répondre à ces obligations, étape par étape
La directive laisse une marge de manœuvre proportionnée aux capacités des entités. Autrement dit, une PME n’a pas à mettre en œuvre les mêmes dispositifs qu’un opérateur d’énergie ou une infrastructure critique, mais elle doit montrer qu’elle a identifié ses risques et engagé une démarche cohérente.
Voici quelques actions simples et progressives qu’une PME peut lancer :
- Cartographier ses actifs numériques exposés (nom de domaine, services accessibles, prestataires)
- Mettre en place un registre des incidents et une procédure d’escalade interne
- Activer l’authentification multifacteur (MFA) sur les accès critiques
- Former les collaborateurs à la sécurité de base (phishing, mots de passe, usage des outils pro)
- Centraliser les accès administrateurs et documenter les dépendances logicielles
Des outils comme Sekost permettent par exemple de réaliser un diagnostic automatisé de l’exposition sur internet, en analysant un simple nom de domaine. Cette étape permet d’identifier les services ouverts, les vulnérabilités connues, et de prioriser les actions sans expertise technique avancée. Un point d’appui utile pour débuter une mise en conformité sans s’éparpiller.
Ce socle ne se limite pas à un exercice de conformité. Il constitue aussi une base solide pour prévenir les incidents, protéger vos clients et renforcer la fiabilité de vos services.
2. Dirigeants et responsables : des obligations de pilotage et de preuve
2.1 La gouvernance cybersécurité devient un devoir de direction
L’un des changements majeurs introduits par la directive NIS2 est la mise en cause directe de la responsabilité des dirigeants en matière de cybersécurité. L’article 20 de la directive précise que les organes de direction doivent être impliqués activement dans la gestion des risques cyber.
Concrètement, cela signifie que les dirigeants ne peuvent plus considérer la cybersécurité comme un simple sujet technique confié au prestataire informatique ou au DSI. La directive impose qu’ils assurent :
- Le suivi de la mise en œuvre des mesures prévues à l’article 21 (obligations de sécurité)
- La validation des politiques et des budgets liés à la sécurité numérique
- La formation régulière pour être en mesure de superviser efficacement ces enjeux
Autrement dit, un manquement grave à ces devoirs de gouvernance peut engager la responsabilité personnelle du dirigeant, notamment en cas d’incident majeur ou de non-conformité manifeste.
Cette évolution aligne la cybersécurité sur d’autres obligations de pilotage stratégique, comme celles liées à la conformité RGPD ou à la gestion des risques financiers.
2.2 Ce qu’on attend d’une entreprise « conforme » : preuves, revues, alertes
La conformité à NIS2 ne repose pas uniquement sur la mise en place de mesures techniques. Elle implique aussi une capacité à prouver, à tout moment, que votre organisation :
- A identifié ses risques et adapté ses mesures
- Dispose d’une documentation à jour
- Met en œuvre un dispositif de suivi et d’amélioration continue
Cela se traduit par des attendus concrets, facilement vérifiables en audit :
- Un registre des incidents de sécurité, avec date, impact, cause, réponse et mesure corrective
- Des revues régulières de la politique de sécurité, des droits d’accès, et des journaux systèmes
- Un plan d’action structuré, hiérarchisé, avec des échéances réalistes
- Des preuves de sensibilisation ou formation du personnel (attestations, quiz, présentations internes)
L’article 32 de la directive autorise les autorités compétentes (comme l’ANSSI en France) à effectuer des contrôles sur pièces ou sur site, y compris sans préavis, pour s’assurer que les obligations sont respectées.
Parmi les pratiques courantes non conformes, on retrouve :
- Des accès administrateurs non contrôlés ou partagés entre collaborateurs
- L’absence de procédures documentées en cas d’incident
- Aucune vérification des prestataires ou logiciels critiques
- L’absence d’authentification forte sur les services en ligne
- Des sauvegardes non testées ou non isolées
Ces écarts, s’ils sont constatés, peuvent entraîner des sanctions administratives significatives, allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, un plafond qui peut être revu à la hausse par chaque Etat membre.
En résumé, être « conforme » ne se résume pas à cocher des cases techniques. Il s’agit de démontrer une gouvernance active, pilotée et documentée, avec des preuves concrètes que les obligations sont comprises, suivies et actualisées dans le temps. C’est sur cette base que les autorités jugeront la maturité et la responsabilité de votre organisation.
3. Ce que les États membres doivent mettre en place pour encadrer NIS2
3.1 Supervision, contrôles, sanctions : le rôle des autorités nationales
La directive NIS2 ne se limite pas à poser des exigences pour les entreprises. Elle impose également des obligations claires aux États membres. Chaque État doit désigner une ou plusieurs autorités compétentes, responsables de la supervision des entités concernées.
En France, cette mission est confiée à l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui agit comme autorité de référence pour la mise en œuvre de NIS2, en lien avec le CERT-FR pour la gestion opérationnelle des incidents.
Les missions de ces autorités sont détaillées dans les articles 31 à 33. Elles incluent notamment :
- La vérification du respect des obligations par les entités concernées
- La réalisation de contrôles, pouvant être inopinés, sur site ou à distance
- L’imposition de mesures correctives en cas de manquement
- La réception des déclarations d’incidents, dans des délais imposés (voir article 23)
Les entreprises doivent notamment signaler les incidents significatifs dans un délai de 24 heures (notification initiale), puis compléter leur rapport sous 72 heures, et fournir un rapport final sous un mois (article 23).
En cas de non-conformité, l’article 34 prévoit un régime de sanctions qui peut aller jusqu’à :
- 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles
- 7 millions d’euros ou 1,4 % du CA mondial pour les entités importantes
Les sanctions peuvent également inclure des astreintes, des restrictions d’activité, voire la mise en cause des dirigeants.
Autrement dit, les contrôles seront réels, les délais encadrés, et la réponse des autorités proportionnée… mais contraignante. La supervision est donc intégrée au dispositif, pas accessoire.
3.2 Appuis, guides, plateformes : que met en place l’État pour accompagner ?
Face à cette montée en exigence, les États membres ont aussi pour mission d’outiller les entités concernées, en particulier les PME et prestataires indirectement soumis.
En France, plusieurs initiatives ont été mises en place pour accompagner la montée en conformité, notamment :
- Le portail MonEspaceNIS2, piloté par l’ANSSI, qui permet de :
- Vérifier si votre entreprise entre dans le périmètre
- Accéder à des guides pratiques par secteur
- Réaliser une auto-évaluation de maturité cyber
- Bientôt, gérer vos déclarations d’incidents
- Des référentiels sectoriels, en cours de publication, viendront préciser les attentes concrètes dans des domaines comme :
- L’énergie, la santé, le transport
- Le numérique, la logistique, les services financiers
- La mise à disposition de supports de sensibilisation, de modèles de politiques de sécurité, et de référentiels d’exigences, via cyber.gouv.fr
Les États sont également invités à assurer la cohérence de NIS2 avec d’autres réglementations existantes, telles que :
- Le RGPD, pour la protection des données personnelles (articulation incidents/notifications)
- La réglementation DORA, pour les entités financières et les fournisseurs ICT critiques
- Les exigences ISO/IEC (notamment la norme 27001), qui peuvent servir de socle commun
L’objectif : éviter les doubles efforts et permettre aux entreprises de s’appuyer sur des démarches déjà engagées pour répondre à plusieurs cadres en parallèle.
En résumé, les États membres ne se contentent pas de surveiller. Ils ont la responsabilité de guider, structurer et harmoniser la mise en œuvre de NIS2. Les outils sont là, mais c’est aux entreprises de s’en saisir sans attendre.
4. Ne pas subir NIS2 : comment maintenir la conformité dans la durée
4.1 Éviter l’erreur classique : traiter NIS2 comme une action ponctuelle
Une erreur fréquente dans les entreprises, notamment les PME, consiste à aborder la conformité NIS2 comme un projet à réaliser une fois pour toutes, souvent en amont d’un audit ou d’un appel d’offres. Or, la directive est claire : la conformité doit être continue, vérifiable et adaptable dans le temps.
Les mesures de cybersécurité doivent être réévaluées régulièrement et adaptées aux évolutions des risques, des systèmes et des menaces. Cela implique une logique de cycle d’amélioration continue, pas une mise en conformité figée.
Voici quelques erreurs couramment observées dans les audits de cybersécurité et qui peuvent mettre une entreprise en défaut vis-à-vis de NIS2 :
- MFA oubliée ou appliquée partiellement : les accès critiques sans authentification forte sont une faille évidente
- Absence de documentation : politiques de sécurité non formalisées, pas de registre des incidents, ni de plan de continuité
- Dépendances non identifiées : aucun inventaire des prestataires ou logiciels clés, ce qui rend impossible une analyse d’impact sérieuse
- Sensibilisation ponctuelle sans suivi : une session unique, sans évaluation ni recyclage
- Sauvegardes techniques, mais jamais testées
Ces manquements ne relèvent pas de la mauvaise volonté, mais souvent d’un manque de méthode ou d’outils adaptés. Pourtant, NIS2 exige une capacité de pilotage dans la durée, au même titre que les obligations fiscales, RH ou comptables.
4.2 Trois bonnes pratiques pour rester aligné avec la directive
Pour répondre aux exigences de NIS2 dans la durée sans alourdir la charge interne, il est possible de structurer une démarche simple mais robuste autour de trois pratiques clés.
1. Un plan de vérification semestriel
- Définissez un calendrier avec deux points de contrôle par an.
- Revoyez à chaque itération : votre politique de sécurité, vos incidents déclarés, vos accès critiques, et vos mesures techniques.
- Imposez une revue régulière de la documentation : cela permet d’éviter l’accumulation de non-conformités.
2. Un suivi actif des vulnérabilités et dépendances
- Tenez une liste à jour des prestataires critiques, outils SaaS et systèmes exposés.
- Surveillez les failles connues (CVE) liées à vos outils : un simple flux RSS ou un service automatisé suffit.
- Vérifiez que vos fournisseurs (cloud, infogérance, logiciels métiers) respectent eux-mêmes les exigences NIS2.
3. Des audits réguliers et un tableau de bord de suivi
- Utilisez un outil permettant d’auditer régulièrement votre SI (services ouverts, certificats, ports, versions logicielles). Par exemple, une solution comme Sekost permet d’effectuer cet audit à partir de votre nom de domaine, sans configuration.
- Alimentez un tableau de bord de maturité, avec les actions réalisées, les écarts constatés, et les points de progrès.
Ce type de démarche est proportionnée, facilement actionnable, et offre un niveau de transparence suffisant pour démontrer votre engagement auprès d’un client ou d’une autorité.
En somme, respecter NIS2, ce n’est pas atteindre une conformité parfaite une fois pour toutes. C’est mettre en place une organisation capable de prouver, réagir et s’améliorer, de manière continue et réaliste. C’est aussi ce qui protège le mieux votre activité sur le long terme.
Conclusion : Une conformité exigeante mais structurante
La directive NIS2 impose un cadre plus rigoureux que jamais en matière de cybersécurité. Elle transforme un sujet longtemps perçu comme purement technique en un enjeu de gouvernance stratégique, avec des obligations précises, des contrôles renforcés et une responsabilité clairement identifiée.
Oui, NIS2 est une contrainte réglementaire. Elle mobilise du temps, des moyens, des compétences. Mais c’est aussi une opportunité pour structurer durablement votre sécurité numérique, mieux connaître vos risques, maîtriser vos dépendances, et renforcer la confiance de vos clients, partenaires ou actionnaires.
En respectant les obligations définies dans la directive, votre entreprise :
- Réduit son exposition aux incidents critiques
- Anticipe les demandes de conformité dans les appels d’offres ou audits clients
- Et surtout, gagne en crédibilité et en maturité, face à un environnement numérique de plus en plus exigeant
Face à cette évolution, l’inaction ou l’attentisme sont des risques en soi. Mieux vaut structurer une démarche progressive dès maintenant, même modeste, que devoir reconstruire dans l’urgence après un incident ou sous pression d’un régulateur.
La conformité NIS2 n’est pas un objectif à atteindre une fois pour toutes, mais un cadre de pilotage à intégrer dans la durée. Et c’est précisément ce qui en fait un levier solide pour améliorer la résilience de votre entreprise, aujourd’hui comme demain.
