Conformite NIS2
Network and Information Security Directive 2 — Directive (UE) 2022/2555
Derniere mise a jour : 28 avril 2026
1. La directive NIS2 en bref
La directive NIS2 a ete publiee le 27 decembre 2022 et devait etre transposee par les Etats membres avant le 17 octobre 2024. Elle remplace la directive NIS1 et elargit considerablement le perimetre : 18 secteurs, des dizaines de milliers d'entites, et des exigences renforcees en matiere de gouvernance, de gestion de risque et de notification d'incident.
2. Entites essentielles vs entites importantes
NIS2 distingue deux categories d'entites assujetties, selon le secteur, la taille et le chiffre d'affaires :
- Entites essentielles (EE) — secteurs hautement critiques (energie, transport, sante, banque, eau, infrastructure numerique, administration publique, espace). Surveillance ex-ante : controles proactifs, audits reguliers.
- Entites importantes (EI) — autres secteurs critiques (poste & courrier, dechets, fabrication chimique, agroalimentaire, fournisseurs numeriques, recherche). Surveillance ex-post : controles a posteriori, sur incident.
Le calculateur de proportionnalite ResilienceCore est disponible sur /compliance/nis2 (wizard EE/EI).
3. Les 10 mesures techniques minimales (Art. 21)
L'article 21 enumere 10 categories de mesures techniques, operationnelles et organisationnelles a mettre en oeuvre. Voici la cartographie ResilienceCore :
| # | Mesure | Module |
|---|---|---|
| 1 | Politiques de risque & systemes d'information | Politiques |
| 2 | Gestion des incidents | Incidents |
| 3 | Continuite d'activite & gestion de crise | PCA / PRA |
| 4 | Securite de la chaine d'approvisionnement | Fournisseurs |
| 5 | Acquisition, developpement, maintenance | Applications |
| 6 | Politiques d'evaluation de l'efficacite des mesures | Conformite |
| 7 | Hygiene cyber et formation | Formation |
| 8 | Cryptographie et chiffrement | Politiques |
| 9 | Securite des ressources humaines, controle d'acces, gestion des actifs | Actifs ICT |
| 10 | Authentification multi-facteurs et communications securisees | SSO / MFA |
4. Notification d'incident significatif (Art. 23)
En cas d'incident significatif, l'entite doit notifier sans retard injustifie le CSIRT national ou l'autorite competente, selon trois fenetres :
- Alerte precoce — 24h — premiere notification, indiquant si l'incident est soupconne d'origine malveillante et s'il peut avoir un impact transfrontalier.
- Notification — 72h — evaluation initiale, gravite, IOC, mesures correctives prises ou en cours.
- Rapport final — 1 mois — description detaillee, type de menace, cause profonde, mesures correctives appliquees et leur efficacite.
ResilienceCore permet de generer ces notifications depuis le module Incidents avec timeline tracee, classification automatique et export.
5. Sanctions
Les sanctions financieres sont consequentes :
- Entites essentielles — jusqu'a 10 M€ ou 2% du chiffre d'affaires mondial annuel (le plus eleve des deux).
- Entites importantes — jusqu'a 7 M€ ou 1,4% du chiffre d'affaires mondial annuel.
- Responsabilite personnelle des dirigeants : suspension temporaire de fonction possible.
6. Calculateur de proportionnalite
Pour determiner si votre organisation entre dans le perimetre NIS2 et a quel niveau (EE / EI / hors-scope), utilisez le wizard ReCyF v2.5 disponible sur /compliance/nis2. Il prend en compte le secteur, la taille (effectifs / chiffre d'affaires) et les exclusions sectorielles.
7. Aller plus loin
Clients existants : retrouvez votre tableau de bord NIS2 dans l'onglet Conformite ou votre dashboard. Pour une demonstration ou une demande commerciale : /contact.
Cette page a un caractere informatif. Elle ne se substitue pas au texte officiel de la Directive (UE) 2022/2555 ni aux mesures de transposition adoptees par chaque Etat membre.