Aller au contenu
FortaRisks
Retour au glossaireConformité et réglementation

NIS2

NIS2 est la directive européenne de cybersécurité qui remplace la directive NIS de 2016. Elle élargit les secteurs couverts, renforce les obligations de gestion des risques, impose des délais de notification d'incident serrés et engage directement la responsabilité des dirigeants.

Mis à jour le 2 juillet 2026

Qu'est-ce que NIS2 ?

NIS2 (Network and Information Security 2) est la directive européenne qui remplace la directive NIS d'origine adoptée en 2016. Elle relève le niveau d'exigence cyber dans toute l'Union européenne et devait être transposée en droit national par les États membres au plus tard en octobre 2024.

Là où la première directive NIS visait un nombre restreint d'opérateurs, NIS2 élargit considérablement le champ d'application, uniformise les obligations entre pays et introduit un régime de sanctions plus dissuasif.

Pourquoi c'est important pour votre organisation

NIS2 classe les organisations en entités « essentielles » ou « importantes », avec des obligations et des sanctions différenciées. Les manquements peuvent entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

Point souvent sous-estimé : la directive engage personnellement la responsabilité des organes de direction, qui doivent approuver les mesures de gestion des risques et suivre une formation. La cybersécurité devient explicitement un sujet de conseil d'administration.

Les obligations clés

  • Gestion des risques : mettre en place des mesures techniques et organisationnelles proportionnées, incluant la sécurité de la chaîne d'approvisionnement.
  • Notification des incidents : respecter les délais de 24 heures, 72 heures et un mois.
  • Continuité d'activité : sauvegardes, gestion de crise et plans de reprise.
  • Sécurité de la chaîne d'approvisionnement : évaluer et encadrer le risque lié aux fournisseurs et prestataires directs.
  • Gouvernance et responsabilité : implication documentée de la direction et formation des dirigeants.
  • Enregistrement : s'identifier auprès de l'autorité nationale compétente.

Où les organisations pèchent le plus souvent

Beaucoup pensent encore que NIS2 ne concerne que les grands opérateurs d'énergie ou de télécommunications. En pratique, le périmètre devient réel dès qu'un client envoie un questionnaire de sécurité ou qu'un contrat ajoute une clause de notification. Les écarts fréquents portent sur la sécurité de la chaîne d'approvisionnement, la capacité à respecter le délai de 24 heures et l'absence de preuve d'implication du conseil.

Questions fréquentes

Mon entreprise est-elle concernée par NIS2 ?

NIS2 s'applique aux entités moyennes et grandes (à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires) actives dans dix-huit secteurs jugés essentiels ou importants : énergie, transport, santé, secteur bancaire, infrastructures numériques, fournisseurs de services TIC, administration publique, et plus. Certaines entités plus petites y sont soumises quand elles jouent un rôle critique. Même hors périmètre, une entreprise peut se voir imposer des exigences par ses clients ou par contrat.

Quels sont les délais de notification d'incident sous NIS2 ?

Une alerte précoce doit être transmise au CSIRT ou à l'autorité compétente dans les 24 heures suivant la prise de connaissance d'un incident significatif, une notification plus complète dans les 72 heures, puis un rapport final dans un délai d'un mois.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.