Legiwatch
ESC

Tape pour rechercher dans les pages, le lexique (250 termes), les articles, les tags…

Lexique parlementaire

NIS2 (Directive sur la sécurité des réseaux et systèmes d'information)

Directive européenne 2022/2555 imposant des obligations de cybersécurité aux entités essentielles et importantes (énergie, santé, finance, administration, services numériques…). Transposition française fin 2024 / 2025.

NIS2 est la directive (UE) 2022/2555 du 14 décembre 2022, qui révise et étend la première directive NIS (2016). Elle harmonise les obligations de cybersécurité des opérateurs critiques dans l’UE. Délai de transposition expiré le 17 octobre 2024 ; en France, transposée par la loi n° 2025-391 du 30 avril 2025.

Pourquoi NIS2 ?

NIS1 ciblait quelques centaines d’opérateurs par État. Constat : sous-couverture sectorielle, disparités énormes entre États, niveau d’exigence insuffisant face à la professionnalisation des attaques (rançongiciels, supply chain). NIS2 élargit drastiquement le périmètre et durcit les exigences.

Champ d’application

Entités essentielles (EE)

Grandes entreprises (≥ 250 salariés ou CA > 50 M€) dans les secteurs hautement critiques :

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Banques et infrastructures de marché
  • Santé (hôpitaux, fabricants de médicaments)
  • Eau potable et eaux usées
  • Infrastructures numériques (datacenters, DNS, cloud, telco)
  • Administration publique
  • Espace

Entités importantes (EI)

Autres secteurs critiques + entités moyennes des secteurs essentiels :

  • Services postaux
  • Gestion des déchets
  • Industrie chimique, alimentaire, manufacturière
  • Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
  • Recherche

Entités exclues

PME et TPE (< 50 salariés et < 10 M€ CA), sauf cas spéciaux (DNS, opérateurs de réseaux de communications électroniques, administration centrale…).

Estimation France : entre 10 000 et 15 000 entités soumises à NIS2 (contre ~700 sous NIS1).

Principales obligations

Mesures techniques et organisationnelles

  • Analyse de risque et politique de sécurité des SI
  • Gestion des incidents (détection, réponse, continuité)
  • Sécurité de la chaîne d’approvisionnement
  • Sécurité du cycle de vie des SI
  • Cryptographie, gestion des accès, MFA
  • Sensibilisation et formation
  • Gestion des vulnérabilités et divulgation coordonnée

Gouvernance

  • Responsabilité personnelle des dirigeants : approbation des mesures, formation obligatoire
  • Risque de sanction personnelle (interdiction d’exercer pour les EE)

Notification d’incidents

DélaiAction
24hPré-notification (incident significatif)
72hNotification complète avec évaluation initiale
1 moisRapport final

Inscription

Auprès de l’ANSSI (autorité nationale compétente en France).

Sanctions

  • Entités essentielles : jusqu’à 10 M€ ou 2 % du CA mondial
  • Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA mondial
  • Mesures non financières : injonctions, suspension de certifications, mise en cause personnelle des dirigeants pour les EE

Mise en œuvre française

Loi n° 2025-391 du 30 avril 2025 transpose NIS2 et désigne :

  • ANSSI : autorité nationale compétente, point de contact unique
  • CSIRT national : coordination des incidents
  • Régulateurs sectoriels : compétences déléguées dans certains secteurs (ACPR pour la finance, ARCEP pour les telco)

Décrets d’application en cours de publication (2025-2026).

Articulation avec d’autres textes

  • Cyber Resilience Act : NIS2 régit les opérateurs ; le CRA régit les produits. Cumulatifs.
  • RGPD : un incident peut déclencher les deux notifications (CNIL + ANSSI).
  • DSA : pour les très grandes plateformes (VLOP), les obligations DSA en matière de risques systémiques recoupent NIS2.
  • DORA (R 2022/2554) : régime spécifique pour le secteur financier, prévaut sur NIS2.
  • Directive REC (résilience des entités critiques) : volet physique parallèle à NIS2.

Enjeux pour les organisations

Entités nouvellement soumises

Cartographier les SI critiques, structurer la gouvernance cyber, implémenter MFA / journalisation / PCA. Coût d’entrée significatif pour les ETI sans CISO dédié.

Dirigeants

Formation obligatoire. Engagement de responsabilité personnelle — assurance D&O à revoir.

Sous-traitants

Effet de cascade : les EE/EI répercutent les exigences à leur supply chain numérique. Beaucoup de fournisseurs SaaS, intégrateurs, MSP doivent monter en gamme.

Cabinets AP

Discussion active sur le périmètre exact des secteurs (zones grises : recherche, édition logicielle hors numérique pur). Décrets sectoriels à suivre.

Sources officielles

Comprendre, c'est bien. Agir, c'est mieux.

Legiwatch suit en temps réel toutes les mentions de ces objets parlementaires : amendements, scrutins, articles, alinéas, débats. Avec une IA qui parle votre métier.

Voir une démo