Directive NIS 2 : une extension du champ d’application et un renforcement des obligations de cybersécurité
Un changement d’échelle et d’approche
La directive (UE) 2022/2555, ci-après NIS 2 s’inscrit dans la continuité du cadre européen existant en matière de cybersécurité tout en modifiant la manière dont les entités concernées sont identifiées.
Désormais, l’applicabilité de la directive repose sur une combinaison de critères tenant au secteur d’activité, à la nature de l’activité exercée et à la taille de l’entité.
En pratique, l’applicabilité peut être appréciée au regard des éléments suivants :
- • l’appartenance à un secteur essentiel ou important, tel que défini à l’article 3 et dans les annexes I et II
- • l’exercice d’une activité entrant dans le champ de ces secteurs, conditionnant la qualification de l’entité
- • la taille de l’entité, appréciée au regard des seuils européens (effectifs, chiffre d’affaires ou total de bilan évoqués à l’article 2 de la directive et à la recommandation 2003/361/CE)
Toutefois, la directive prévoit également plusieurs cas particuliers. Certaines entités sont soumises au dispositif indépendamment de leur taille, notamment les fournisseurs de services numériques critiques (tels que les fournisseurs de réseaux de communications électroniques, les prestataires de services de confiance ou les opérateurs de noms de domaine).
Par ailleurs, les États membres peuvent, dans certaines hypothèses, désigner des entités comme relevant du champ de la directive en raison de leur criticité, indépendamment des seuils de taille (art. 2, §2).
Enfin, la directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.
En pratique, cette évolution se traduit par une augmentation significative du nombre d’entités concernées : en France, le périmètre serait élargi passant d’environ 500 Organismes de Service Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) soumis à la directive Nis 1 à près de 15 000 organisations.
Une applicabilité territoriale adaptée aux activités numériques
La directive NIS 2 précise son champ d’application territorial en combinant deux logiques complémentaires (art. 26).
Elle repose, d’une part, sur un principe d’établissement : une entité est soumise à la réglementation de l’État membre dans lequel elle est établie et relève, à ce titre, de l’autorité nationale compétente telle que l’ANSSI en France (art. 26, §1).
D’autre part, des modalités spécifiques sont prévues pour les services numériques et les activités transfrontières. L’assujettissement est alors déterminé en fonction du lieu de l’établissement principal dans l’Union européenne ou, à défaut, par la désignation d’un représentant au sein de l’Union (art. 26, §2 et suivants).
Pour les groupes opérant dans plusieurs États membres, cette organisation implique d’identifier une entité de rattachement principal, d’assurer la cohérence des obligations et d’harmoniser les dispositifs de sécurité à l’échelle du groupe.
La territorialité constitue ainsi un enjeu structurant de gouvernance juridique et opérationnelle.
Les entités déjà soumises à NIS face au renforcement du cadre existant
Les entités historiquement régulées doivent désormais intégrer un cadre sensiblement renforcé.
La directive (UE) 2022/2555 consacre en premier lieu un rôle accru des organes de direction. Ceux-ci sont désormais explicitement responsables des dispositifs de cybersécurité et doivent en assurer l’approbation, la mise en œuvre et la supervision (art. 20).
Dans ce contexte, les obligations s’étendent et se structurent autour de plusieurs exigences. Elles incluent notamment la formation des organes de direction et du personnel (art. 20), la formalisation d’un processus de gestion des risques assortie de mesures appropriées (art. 21), ainsi que l’intégration de la chaîne d’approvisionnement dans le périmètre de sécurité (art. 21).
S’y ajoutent des exigences renforcées en matière de notification des incidents significatifs (art. 23), de continuité d’activité et de gestion de crise, ainsi que le développement des capacités de détection et de réponse aux incidents (art. 21).
La directive introduit par ailleurs une distinction dans les modalités de contrôle, traduisant une approche proportionnée. Les entités essentielles font l’objet d’une supervision ex ante, reposant sur des contrôles proactifs (art. 32), tandis que les entités importantes relèvent d’un contrôle ex post, généralement déclenché en cas d’incident ou d’indice de non-conformité (art. 33).
Enfin, un régime de sanctions administratives renforcé est prévu (art. 34), en cohérence avec les standards européens. Les autorités compétentes disposent à ce titre de plusieurs leviers prévus aux articles 32 et 33, allant des mesures correctrices, telles que des injonctions de mise en conformité ou des audits imposés, à des mesures plus contraignantes, incluant des limitations d’activité ou la suspension de services, jusqu’à des sanctions pécuniaires.
Les plafonds de ces sanctions sont différenciés selon la catégorie d’entité : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel pour les entités importantes.
La directive prévoit également la possibilité d’engager la responsabilité des organes de direction en cas de manquement à leurs obligations de supervision (art. 20).
Les nouvelles entités : une obligation de structuration
Pour les entités nouvellement assujetties, NIS 2 implique la mise en place d’un socle organisationnel et technique en matière de cybersécurité.
Conformément aux exigences de gestion des risques prévues à l’article 21, les organisations doivent notamment :
- • définir des politiques de sécurité formalisées, adaptées à leurs activités (art. 21, §2, a)
- • établir une cartographie des risques cyber, permettant d’identifier, d’analyser et de prioriser les menaces (art. 21, §1 et §2)
- • mettre en place des procédures de gestion des incidents, incluant détection, réponse et notification (art. 21, §2, b et art. 23)
- • déployer des mesures techniques et organisationnelles appropriées, proportionnées aux risques identifiés (art. 21, §1)
Ces exigences s’inscrivent dans une logique de gestion des risques, qui constitue le socle du dispositif NIS 2.
Un schéma méthodologique de mise en conformité
La mise en conformité avec NIS 2 repose sur une démarche structurée, progressive et documentée, fondée sur une logique de gestion des risques (art. 21).
Elle peut être appréhendée selon plusieurs étapes successives.
- • une phase de qualification afin de déterminer le statut de l’entité.
Celle-ci implique l’identification du secteur d’activité, l’analyse des seuils applicables et la qualification en entité essentielle ou importante, conformément aux critères définis par la directive.
- • la réalisation d’un diagnostic de conformité.
Il s’agit d’évaluer les dispositifs existants, d’identifier les écarts au regard des exigences réglementaires et de prioriser les risques à traiter.
- • la structuration de la gouvernance
Elle passe par la définition des responsabilités, l’implication des organes de direction (art. 20) et la formalisation de politiques et procédures de sécurité.
- • La mise en conformité suppose ensuite le déploiement de mesures techniques et organisationnelles appropriées (art. 21), incluant notamment la sécurisation des systèmes, la gestion des accès et la maîtrise des risques liés aux fournisseurs.
- • les organisations doivent également structurer leurs capacités de gestion des incidents, en intégrant des dispositifs de détection, de réponse et de notification aux autorités compétentes (art. 23).
- • Enfin, une attention particulière doit être portée à la documentation des mesures mises en œuvre . La formalisation des dispositifs, la conservation des éléments de preuve et la préparation aux contrôles constituent des éléments essentiels du dispositif.
Cette approche traduit une évolution vers une conformité démontrable, reposant sur la capacité des organisations à justifier de leurs choix, de leurs arbitrages et de l’effectivité des mesures mises en œuvre.
État de la transposition en droit français : un processus législatif engagé
La transposition de la directive NIS 2 s’inscrit dans le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Le projet de loi a été présenté en 2024, adopté par le Sénat en mars 2025, puis transmis à l’Assemblée nationale, où son examen s’est poursuivi en 2025.
Ce texte se caractérise par une approche coordonnée, en ce qu’il vise à transposer simultanément plusieurs instruments européens structurants :
- • la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 relative à des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union
- • le règlement (UE) 2022/2554 du 14 décembre 2022 relatif à la résilience opérationnelle numérique du secteur financier
- • la directive (UE) 2022/2557 du 14 décembre 2022 relative à la résilience des entités critiques
Cette articulation traduit une volonté d’assurer une cohérence d’ensemble des dispositifs de gestion des risques numériques et opérationnels à l’échelle nationale.
Le calendrier prévisionnel évoque une promulgation du texte courant 2026, avec une mise en conformité progressive des entités concernées sur plusieurs années.
Ouverture du dispositif de pré-enregistrement en France
Conformément à l’article 9 de la directive NIS 2 et bien que le processus d’enregistrement ne soit pas encore obligatoire dans l’attente de la loi de transposition du texte, l’ANSSI a ouvert, fin 2025, un dispositif de pré-enregistrement à destination des entités susceptibles d’être assujetties à NIS 2 qu’elles soient considérées comme « essentielles » ou « importantes », service accessible à l’adresse https://monespacenis2.cyber.gouv.fr/.
Ce service permet aux entités de s’identifier auprès du régulateur en fournissant des informations de base les concernant (nom, coordonnées, activités concernées, contact désigné, chiffre d’affaires, nombre de collaborateurs…), d’identifier d’éventuels écarts au regard des exigences réglementaires et d’initier les travaux de mise en conformité. Du côté du régulateur, ce registre permet d’identifier les entités soumises à la directive, de structurer le programme de supervision et de contrôle, et de faciliter la communication rapide en cas d’incident cyber significatif.
Une organisation nationale structurée
Le dispositif français en cours d’élaboration repose sur plusieurs principes directeurs.
Il s’appuie d’abord sur un pilotage centralisé par l’ANSSI, appelée à jouer un rôle central dans la mise en application du texte.
Il repose également sur la mise en place d’un référentiel de sécurité commun, destiné à préciser les exigences applicables, ainsi que sur une logique de proportionnalité, distinguant les entités essentielles des entités importantes.
Enfin, une attention particulière est portée à l’accompagnement des acteurs, notamment ceux présentant un niveau de maturité initial plus faible, tels que certaines collectivités territoriales ou entreprises de taille intermédiaire.
La démarche de conformité doit en outre s’inscrire dans une logique coordonnée avec les autres obligations applicables en matière de cybersécurité et de résilience numérique, notamment celles issues d’autres cadres européens (tels que DORA ou les dispositifs relatifs à la protection des données).
L’enjeu, pour les organisations concernées, réside ainsi moins dans la juxtaposition d’exigences que dans leur intégration cohérente au sein d’un dispositif global de gestion des risques, aligné avec la gouvernance et les priorités stratégiques de l’entité.
Consultant expert
Directeur Général
Lexing Technologies
Consultant cybersécurité, Directeur Sécurité
Lexing Technologies
