Les idées reçues sur NIS2 ne constituent pas seulement un problème de connaissance. Elles représentent un risque concret. Lorsqu'une entreprise agit sur la base de fausses hypothèses concernant ce que NIS2 exige, à qui elle s'applique ou quand l'application commence, les conséquences sont précises : amendes significatives, responsabilité personnelle des dirigeants et posture de sécurité plus faible que ce que la direction imagine.
NIS2, la directive européenne révisée sur la sécurité des réseaux et des systèmes d'information, avait une date limite de transposition fixée à octobre 2024. Pourtant, un grand nombre d'organisations européennes, notamment les PME et les entreprises de taille intermédiaire, continuent d'agir sur la base d'hypothèses concernant la directive qui vont de l'obsolète au simplement erroné. Cet article corrige les sept idées fausses les plus courantes, avec les faits et le contexte nécessaires pour comprendre ce que la conformité implique réellement.
NIS2 ne s'applique qu'aux grandes entreprises et aux infrastructures critiques
Il s'agit du mythe NIS2 le plus répandu, et il a laissé des milliers d'organisations sans préparation.
La directive NIS originale se concentrait principalement sur les opérateurs de services essentiels dans les secteurs critiques traditionnels : énergie, eau, transport, banques et santé. En pratique, il s'agissait d'une réglementation destinée aux grandes entités d'importance stratégique. NIS2 représente une extension fondamentale de ce champ d'application.
Selon la Commission européenne, plus de 160 000 entités dans l'UE relèvent désormais du champ d'application de NIS2. La directive couvre 18 secteurs, répartis entre l'Annexe I (entités essentielles) et l'Annexe II (entités importantes). Les secteurs essentiels comprennent l'énergie, les transports, les banques, la santé, l'eau, les infrastructures numériques, l'administration publique et l'espace. Les secteurs importants s'étendent aux services postaux et de messagerie, à la gestion des déchets, aux produits chimiques, à la production alimentaire, à la fabrication de produits critiques comme les dispositifs médicaux et l'électronique, aux fournisseurs numériques et aux organismes de recherche. Cette liste décrit une très grande partie du tissu économique européen.
Le seuil de taille est également clairement défini, et plus bas que beaucoup ne le supposent. Tel qu'établi dans le texte officiel de la directive, NIS2 s'applique aux entités comptant au moins 50 employés ou affichant un chiffre d'affaires annuel supérieur à 10 millions d'euros, opérant dans l'un des secteurs couverts. Cette description correspond à une part significative des PME européennes qui n'ont pas encore entamé leur démarche de conformité. Si vous n'êtes pas certain que votre organisation entre dans le champ d'application, le vérificateur NIS2 de Kertos vous guide à travers l'évaluation en quelques minutes.
Être certifié ISO 27001 signifie être conforme à NIS2
La certification ISO 27001 est une réelle valeur ajoutée. Elle démontre qu'une organisation a mis en place un système de management de la sécurité de l'information structuré et l'a soumis à un audit indépendant. Si votre organisation l'a obtenue, vous disposez déjà d'une solide base pour NIS2. Mais se déclarer conforme à NIS2 sur la seule base de l'ISO 27001 constitue l'une des erreurs de conformité NIS2 les plus lourdes de conséquences qu'une entreprise puisse commettre.
Les deux référentiels se chevauchent de manière significative, mais traitent d'obligations distinctes. L'interprétation de NIS2 à travers le prisme de l'ISO 27001 révèle trois lacunes importantes.
Premièrement, les délais de notification des incidents. NIS2 impose aux entités essentielles de soumettre une alerte précoce à l'autorité nationale compétente dans les 24 heures suivant la prise de connaissance d'un incident significatif, suivie d'une notification plus complète dans les 72 heures et d'un rapport final dans le délai d'un mois. L'ISO 27001 ne prévoit aucun délai réglementaire obligatoire équivalent. La norme demande une bonne gestion des incidents, mais n'impose pas d'horloge légale assortie de conséquences en cas de non-respect.
Deuxièmement, la sécurité de la chaîne d'approvisionnement. NIS2 oblige les organisations à évaluer et à gérer activement les vulnérabilités de sécurité de leurs fournisseurs directs et, le cas échéant, de leurs sous-traitants. Cela va bien au-delà d'un questionnaire standard d'évaluation des fournisseurs et exige un programme formel et documenté de sécurité de la chaîne d'approvisionnement, couvrant plusieurs niveaux. L'ISO 27001 aborde le risque lié aux tiers, mais NIS2 applique une rigueur et une profondeur différentes.
Troisièmement, et peut-être le point le plus pratiquement significatif, la responsabilité du management. NIS2 place une responsabilité personnelle explicite sur les cadres dirigeants et les organes de gouvernance pour la supervision de la cybersécurité. L'ISO 27001 exige l'engagement de la direction, mais n'expose pas les dirigeants individuels à des amendes personnelles ou à une interdiction temporaire d'exercer des fonctions de direction. Il s'agit d'une obligation spécifique à NIS2 qu'aucune certification ne peut satisfaire à elle seule.
NIS2 est un problème du département informatique
Cette hypothèse est compréhensible. La cybersécurité a historiquement relevé du domaine technique, gérée par les équipes informatiques et, dans les organisations plus matures, par une fonction de sécurité dédiée. NIS2 change ce modèle de manière explicite et avec une portée juridique.
L'article 20 de la directive NIS2 impose aux organes de direction des entités essentielles et importantes d'approuver les mesures de gestion des risques de cybersécurité, d'en superviser la mise en œuvre et de suivre des formations en cybersécurité. Si un incident significatif survient et qu'une négligence grave de la part du management peut être démontrée, les membres individuels de l'organe directeur peuvent être tenus personnellement responsables. Pour les entités essentielles en cas de violations répétées, des interdictions temporaires d'exercer des fonctions de direction figurent parmi les sanctions dont disposent les autorités nationales.
Il ne s'agit pas d'un risque théorique. Les obligations NIS2 qui incombent directement aux dirigeants sont explicites et font de plus en plus l'objet des premières actions d'application. En Allemagne, par exemple, les dirigeants individuels peuvent faire face à des amendes personnelles allant jusqu'à 500 000 euros pour des manquements en matière de gouvernance, en vertu de la loi nationale de transposition de NIS2. Ce montant n'apparaît dans aucun budget informatique. Il appartient à l'ordre du jour de chaque conseil d'administration et de chaque comité exécutif concerné.
La conséquence pratique est que la conformité NIS2 requiert une responsabilité transversale. Les équipes de sécurité assurent la mise en œuvre technique. Les équipes juridiques et de conformité interprètent les obligations. La direction approuve le programme, supervise son exécution et assume la responsabilité du résultat. Les organisations qui traitent NIS2 comme un ticket dans le carnet de commandes de l'informatique répartissent mal à la fois la responsabilité et le risque.
La date limite est passée, il n'y a donc plus d'urgence
La date limite de transposition d'octobre 2024 est arrivée et repartie, et pour beaucoup d'organisations, rien de dramatique ne s'est produit immédiatement après. Pas d'amendes. Pas d'auditeurs. Il est tentant d'en conclure que l'urgence était exagérée, ou que la fenêtre d'action est déjà fermée.
Ces deux conclusions sont erronées, et la seconde est la plus dangereuse.
Sur la transposition : seuls quatre États membres de l'UE ont respecté la date limite d'octobre 2024. La Commission européenne a ensuite ouvert des procédures d'infraction contre 23 États membres. L'Allemagne, qui abrite un grand nombre d'entreprises concernées par NIS2, a adopté sa loi nationale de transposition en novembre 2025, avec une obligation d'enregistrement auprès du BSI pour les entités essentielles et importantes d'ici avril 2026. L'infrastructure d'application est désormais opérationnelle et le compte à rebours est lancé.
Le BSI a déjà émis des dizaines de mises en demeure formelles à des organisations ayant omis de s'enregistrer ou de désigner un point de contact, avec une attention particulière portée au secteur de l'énergie et aux fournisseurs d'infrastructure numérique. Aucune amende substantielle n'a encore été prononcée, mais le chemin vers des sanctions concrètes est clairement défini et les régulateurs ont démontré leur intention de le suivre.
La fenêtre d'action n'est pas fermée. Mais les organisations qui attendaient une raison impérieuse d'agir en ont désormais une : une date limite d'enregistrement ferme, une autorité nationale d'application active et une responsabilité personnelle pour les dirigeants chargés de la gouvernance. Attendre davantage ne réduit pas l'écart de conformité. Cela accroît l'exposition personnelle de tous ceux qui en sont responsables.
La conformité NIS2 est un projet ponctuel, et la sécurité de la chaîne d'approvisionnement est le problème de quelqu'un d'autre
Ces deux croyances apparaissent souvent ensemble, et ensemble elles représentent une incompréhension fondamentale de ce que NIS2 exige réellement.
NIS2 n'est pas une certification que l'on obtient une fois pour toutes. Il s'agit d'une obligation continue. La directive exige que les mesures de gestion des risques soient maintenues, révisées et mises à jour de façon permanente. Les obligations de notification des incidents sont toujours actives. Les évaluations de la sécurité de la chaîne d'approvisionnement doivent refléter l'état actuel de vos relations avec les fournisseurs, et non un instantané pris lors d'un projet achevé il y a deux ans. Les enregistrements auprès des autorités nationales doivent être tenus à jour lors de tout changement organisationnel.
La nature continue de la conformité NIS2 explique pourquoi l'automatisation de la conformité est devenue centrale pour les équipes de sécurité qui ont accepté la réalité de ce qu'exige la directive. Maintenir manuellement les preuves, suivre le statut des contrôles et gérer les évaluations des fournisseurs au sein d'une entreprise vivante et en constante évolution représente une charge opérationnelle considérable, en particulier pour des équipes déjà sous pression. Des plateformes comme Kertos automatisent la collecte de preuves, surveillent en continu le statut des contrôles via les systèmes intégrés et signalent les lacunes en temps réel, transformant la conformité d'un sprint périodique en une fonction permanente qui ne mobilise pas une capacité d'équipe disproportionnée.
Sur la chaîne d'approvisionnement : l'article 21 de NIS2 oblige explicitement les entités à traiter "la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs." Les orientations de l'ENISA sur la sécurité de la chaîne d'approvisionnement soulignent que cette obligation est active et substantielle, pas une case à cocher sur une liste de contrôle. Cette responsabilité ne peut pas être externalisée par contrat. Si un incident de sécurité chez un fournisseur se propage dans votre environnement alors qu'aucune diligence raisonnable appropriée n'a été effectuée, une clause contractuelle ne réduit pas votre exposition réglementaire. NIS2 rend votre organisation responsable, et c'est votre équipe dirigeante qui porte cette responsabilité.
Questions fréquentes sur les idées reçues concernant NIS2
NIS2 s'applique-t-elle à notre entreprise si nous avons moins de 50 employés ?
En général, non. NIS2 s'applique aux entités qualifiées de moyennes ou grandes entreprises au sens de la recommandation UE 2003/361/CE, c'est-à-dire comptant au moins 50 employés ou affichant un chiffre d'affaires annuel et un total de bilan supérieurs à 10 millions d'euros, et opérant dans l'un des 18 secteurs couverts. Les organisations plus petites peuvent toutefois être indirectement concernées : les entités soumises à NIS2 sont tenues d'évaluer la sécurité de leur chaîne d'approvisionnement, ce qui peut créer des attentes en matière de conformité vis-à-vis de fournisseurs plus petits. Utilisez le vérificateur NIS2 de Kertos pour confirmer rapidement votre statut.
La certification ISO 27001 satisfait-elle aux exigences de NIS2 ?
En partie. L'ISO 27001 constitue une base solide pour NIS2, notamment en matière de gestion des risques et de contrôles de sécurité. Cependant, NIS2 ajoute des délais de notification des incidents obligatoires (alerte précoce sous 24h, notification sous 72h, rapport final sous 1 mois), des obligations de sécurité de la chaîne d'approvisionnement multi-niveaux et une responsabilité personnelle du management que l'ISO 27001 ne couvre pas. Les organisations certifiées ISO 27001 devraient réaliser une analyse des écarts pour identifier les mesures supplémentaires requises par NIS2.
Quelles sont les amendes pour non-conformité à NIS2 ?
Les entités essentielles s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. Les entités importantes sont exposées à des amendes allant jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel. Les États membres peuvent fixer des seuils nationaux plus élevés : l'Allemagne, par exemple, a établi un maximum de 20 millions d'euros pour les entités essentielles, avec des amendes personnelles pouvant atteindre 500 000 euros pour les dirigeants reconnus coupables de manquements en matière de gouvernance.
Que requiert NIS2 en matière de notification des incidents ?
Les entités essentielles doivent émettre une alerte précoce auprès de l'autorité nationale compétente dans les 24 heures suivant la prise de connaissance d'un incident significatif. Une notification plus complète doit suivre dans les 72 heures, et un rapport final doit être remis dans le délai d'un mois. Pour les entités importantes, le délai de 72 heures s'applique à la première notification. Il s'agit d'obligations réglementaires contraignantes assorties de conséquences en cas de non-respect, non d'objectifs internes.
Comment Kertos soutient-il la conformité NIS2 ?
Kertos est une plateforme européenne d'automatisation de la conformité qui aide les organisations à atteindre et à maintenir une conformité NIS2 continue. La plateforme automatise la collecte de preuves, cartographie vos contrôles de sécurité par rapport aux exigences NIS2, suit l'état de votre programme de conformité en temps réel et soutient la gestion de la sécurité de la chaîne d'approvisionnement. Pour les organisations qui travaillent simultanément à l'ISO 27001 ou à d'autres référentiels, Kertos gère plusieurs cadres en parallèle, réduisant les doublons et la charge opérationnelle. Réservez une démonstration pour voir comment cela fonctionne en pratique.
Les idées reçues sur NIS2 ne sont pas une simple gêne mineure. Elles expliquent pourquoi des organisations se retrouvent dans des conversations avec les régulateurs sans préparation, avec des lacunes qui auraient pu être comblées plusieurs mois plus tôt. La directive est large, les obligations sont juridiquement contraignantes, et les conséquences personnelles pour le management sont suffisamment précises pour ne pas pouvoir être silencieusement déléguées. Mais NIS2 est aussi atteignable. Les organisations qui l'abordent clairement, sans le filtre des hypothèses optimistes, constatent régulièrement que le chemin vers la conformité est bien plus gérable que les mythes ne le laissaient supposer. Connaître les faits avec exactitude est le seul point de départ qui ait du sens.
