Sécurité de l'information

La directive NIS2 : le guide complet pour 2026

Ce qu'est NIS2, qui elle concerne, ce qu'elle exige et où en est la transposition.

Auteur
Catherine Higginson
Date
13.7.2026
Mis à jour le
13.7.2026
La directive NIS2 : le guide complet pour 2026

À retenir

  • NIS2 est la directive européenne de cybersécurité élargie, qui remplace la directive NIS d'origine et fait entrer dans son champ environ 160 000 organisations.
  • Elle répartit les organisations en entités « essentielles » et « importantes » à travers 18 secteurs, principalement des entreprises de taille moyenne et grande.
  • Les obligations centrales sont dix mesures de gestion des risques et une notification stricte des incidents : alerte précoce sous 24 heures, notification sous 72 heures et rapport final sous un mois.
  • La direction est personnellement responsable de la conformité, et les amendes atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.
  • La date de transposition était le 17 octobre 2024 ; à la mi-2026, la plupart des États membres, dont l'Allemagne, ont transposé NIS2 en droit national, quelques-uns étant encore en cours.

La directive NIS2 est le plus grand élargissement du droit européen de la cybersécurité à ce jour, et si votre entreprise opère en Europe ou y vend, il y a de fortes chances qu'elle s'y applique. Elle remplace la directive NIS de 2016 par des exigences plus strictes, un champ d'application bien plus large et des amendes assez lourdes pour atteindre le conseil d'administration. Ce guide explique ce qu'est la directive NIS2, quelles organisations elle couvre, les obligations qu'elle impose et ce que l'état actuel de la transposition signifie pour vos échéances.

C'est la référence centrale de nos contenus NIS2. Une fois les grandes lignes comprises ici, les articles liés approfondissent les points qui vous concernent le plus, des obligations sectorielles à la planification de la continuité.

Qu'est-ce que la directive NIS2 ?

NIS2 est la directive (UE) 2022/2555, un texte qui fixe un socle commun et relevé pour la gestion des risques de cybersécurité et la notification des incidents dans les secteurs essentiels et importants. Elle est entrée en vigueur en janvier 2023 et a remplacé la directive NIS de 2016, jugée trop étroite et trop inégalement appliquée.

Le changement le plus important est l'échelle. Là où la première directive couvrait quelques milliers d'opérateurs, NIS2 en intègre bien davantage, environ 160 000 dans l'UE selon certaines estimations, et harmonise les obligations pour qu'une entreprise fasse face à peu près aux mêmes attentes partout. Vous pouvez consulter le texte complet via la base de données officielle du droit de l'UE, et l'agence européenne de cybersécurité publie des orientations de mise en œuvre en continu.

À qui s'applique NIS2 ?

NIS2 s'applique aux organisations de taille moyenne et grande opérant dans l'un de ses secteurs couverts, réparties en deux niveaux : entités essentielles et entités importantes. En règle générale, cela vise les organisations d'au moins 50 salariés ou de plus de 10 millions d'euros de chiffre d'affaires dans un secteur listé, certaines organisations étant couvertes quelle que soit leur taille en raison de leur criticité. Pour savoir quelles obligations s'attachent à votre niveau, notre décryptage des exigences NIS2 les détaille. Le champ d'application est aussi là où naissent la plupart des idées reçues, de « nous sommes trop petits » à « c'est l'affaire de l'informatique », que nous corrigeons dans les idées reçues les plus dangereuses sur NIS2.

Les deux niveaux sont soumis aux mêmes obligations centrales, mais à une surveillance et à des plafonds d'amende différents. Le tableau résume la répartition.

Entités essentielles Entités importantes
Secteurs (exemples)Énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable et usée, infrastructure numérique, administration publique, espaceServices postaux et de messagerie, gestion des déchets, chimie, alimentation, fabrication, fournisseurs numériques, recherche
SurveillanceProactive (les autorités peuvent auditer avant tout incident)Réactive (contrôle surtout après un incident ou en cas de soupçon de non-conformité)
Amende maximale10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu

Les opérateurs d'infrastructures critiques (souvent les mêmes organisations que celles couvertes par les règles nationales de type KRITIS) sont soumis aux obligations les plus intensives. Si c'est votre cas, le guide de mise en œuvre NIS2 pour KRITIS en couvre les spécificités.

Ce qu'exige NIS2 : gestion des risques et notification des incidents

Deux obligations sont au cœur de NIS2 : un ensemble de mesures de base de gestion des risques et une notification rapide des incidents. L'article 21 énumère dix mesures minimales que toute entité concernée doit mettre en œuvre :

  • Analyse des risques et politiques de sécurité de l'information
  • Gestion des incidents
  • Continuité d'activité, gestion des sauvegardes et gestion de crise
  • Sécurité de la chaîne d'approvisionnement
  • Sécurité de l'acquisition, du développement et de la maintenance des systèmes
  • Politiques d'évaluation de l'efficacité des mesures
  • Hygiène cyber de base et formation
  • Cryptographie et chiffrement
  • Contrôle d'accès, gestion des actifs et sécurité du personnel
  • Authentification multifacteur et communications sécurisées

La seconde obligation est la rapidité de notification. En cas d'incident important, NIS2 fixe un calendrier strict, et le manquer constitue en soi une infraction. La continuité d'activité revient comme un fil rouge dans ces mesures, ce qu'approfondit notre guide sur la planification d'urgence NIS2.

Délai Ce que vous transmettez
Sous 24 heuresUne alerte précoce signalant l'incident à votre autorité nationale
Sous 72 heuresUne notification d'incident avec évaluation initiale, gravité et indicateurs de compromission
Sous 1 moisUn rapport final couvrant la cause racine, la remédiation et l'impact

Responsabilité de la direction et sanctions

NIS2 place la responsabilité sur l'organe de direction, pas seulement sur l'équipe sécurité. La direction doit approuver les mesures de gestion des risques, en superviser la mise en œuvre et suivre une formation à la cybersécurité, et elle peut être tenue personnellement responsable des manquements. Ce déplacement délibéré vise à faire monter la sécurité à l'agenda du conseil, d'où notre checklist NIS2 pour dirigeants.

Les sanctions le confirment. Les entités essentielles s'exposent à des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu ; les entités importantes jusqu'à 7 millions d'euros ou 1,4 %. Les autorités peuvent aussi suspendre des certifications et, pour les entités essentielles, interdire temporairement à des personnes d'exercer des fonctions de direction.

Échéances NIS2 et état de la transposition en 2026

NIS2 est une directive : elle prend effet via le droit national de chaque État membre, et non directement. La date de transposition était le 17 octobre 2024. En pratique, la plupart des États membres l'ont manquée, et le tableau reste inégal.

À la mi-2026, la grande majorité des 27 États membres ont transposé NIS2 en droit national, dont l'Allemagne. Quelques-uns, parmi lesquels la France, l'Irlande, le Luxembourg, les Pays-Bas et l'Espagne, finalisaient encore leur législation, et la Commission européenne en a renvoyé plusieurs devant la Cour de justice pour ce retard. La conséquence pratique : les obligations sont déjà en vigueur dans une grande partie de l'UE, et le sens est unique, si bien qu'attendre votre échéance nationale n'est pas une stratégie. Les pages NIS2 de la Commission européenne suivent l'état pays par pays.

Comment vous préparer à NIS2

Le chemin le plus rapide vers la conformité NIS2 consiste à s'appuyer sur un système de management de la sécurité de l'information que vous avez peut-être déjà ou prévoyez. Les dix mesures de NIS2 recoupent étroitement ISO 27001 : si vous êtes certifié ou en cours de l'être, vous avez déjà fait l'essentiel du chemin ; notre guide sur les recoupements entre NIS2 et ISO 27001 montre précisément comment les deux s'alignent.

Ensuite, le travail consiste à confirmer le périmètre et le niveau, à combler les écarts par rapport aux dix mesures, à mettre en place le processus de notification à 24/72 heures et à former et faire valider la direction. Kertos automatise le travail de preuves et de contrôles sous-jacent et cartographie un jeu de contrôles sur NIS2, ISO 27001 et vos autres référentiels, de sorte que NIS2 devienne une extension de votre programme plutôt qu'un projet distinct. Voyez les détails sur la page solution NIS2 ou sur la plateforme de conformité.

Questions fréquentes

Qui doit se conformer à NIS2 ?

Les organisations de taille moyenne et grande (en général 50 salariés et plus, ou plus de 10 millions d'euros de chiffre d'affaires) opérant dans l'un des secteurs couverts par NIS2, classées comme entités essentielles ou importantes. Certaines organisations sont couvertes quelle que soit leur taille, du fait de leur criticité.

Quelle différence entre entités essentielles et importantes ?

Les deux sont soumises aux mêmes obligations centrales, mais les entités essentielles font l'objet d'une surveillance proactive et de sanctions plus élevées (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires), tandis que les entités importantes sont surveillées de façon réactive, avec des plafonds plus bas (jusqu'à 7 millions d'euros ou 1,4 %).

Quels sont les délais de notification NIS2 ?

Une alerte précoce sous 24 heures, une notification d'incident sous 72 heures et un rapport final sous un mois à compter de l'incident important.

NIS2 est-elle déjà en vigueur ?

La date de transposition était le 17 octobre 2024. À la mi-2026, la plupart des États membres, dont l'Allemagne, l'ont transposée en droit national, si bien que les obligations s'appliquent dans une grande partie de l'UE, quelques pays finalisant encore.

Quel lien entre NIS2 et ISO 27001 ?

Les mesures de gestion des risques de NIS2 recoupent fortement ISO 27001, si bien qu'un SMSI ISO 27001 couvre une grande partie de ce qu'exige NIS2. Voyez notre guide sur les recoupements entre NIS2 et ISO 27001 pour la correspondance.

Découvrez comment Kertos vous met en conformité NIS2 en vous appuyant sur les référentiels que vous exploitez déjà : réservez une démo.

Le guide du fondateur à propos de NIS2 : Préparez votre entreprise maintenant

Protégez votre start-up : découvrez comment NIS2 peut avoir un impact sur votre activité et ce que vous devez prendre en compte dès maintenant. Lisez le livre blanc gratuit dès maintenant !

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

La directive NIS2 : le guide complet pour 2026
Bereit, deine Compliance auf Autopilot zu setzen?
Dr Kilian Schmidt

Dr Kilian Schmidt

PDG et cofondateur de Kertos GmbH

Le Dr Kilian Schmidt a développé très tôt un vif intérêt pour les processus juridiques. Après des études de droit, il a commencé sa carrière en tant que conseiller juridique principal et responsable de la protection des données au sein du groupe Home24. Après avoir travaillé chez Freshfields Bruckhaus Deringer, il a rejoint TIER Mobility, où, en tant que directeur juridique, il a participé de manière significative à l'expansion du département juridique et des politiques publiques. L'entreprise est passée d'une à 65 villes et de 50 à 800 employés. Motivé par les avancées technologiques limitées dans le secteur juridique et inspiré par son travail de consultant chez Gorillas Technologies, il a cofondé Kertos pour développer la prochaine génération de technologies européennes de protection des données.

À propos de Kertos

Kertos est l'épine dorsale moderne des activités de protection des données et de conformité des entreprises en pleine expansion. Nous permettons à nos clients de mettre en œuvre des processus intégrés de protection des données et de sécurité des informations conformément au RGPD, à la norme ISO 27001, à la TISAX®, à la SOC2 et à de nombreuses autres normes rapidement et à moindre coût grâce à l'automatisation.

Prêts pour un allègement concernant le DSGVO ?

Image CTA

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check