Blog
Actualités

NIS 2 : ce que la directive change pour votre entreprise

La directive NIS 2 renforce les obligations de cybersécurité en Europe. Découvrez qui est concerné, ce qui change concrètement et comment s’y préparer efficacement.

Par
Alessandro Fiorentino
Partagez cet article
Cadenas directive NIS 2

En deux ans, les cyberattaques critiques visant les infrastructures européennes ont augmenté de plus de 300 %.

Hôpitaux, collectivités, opérateurs industriels ou énergétiques… Les acteurs les plus sensibles sont devenus des cibles fréquentes. L’impact n’est plus seulement technique : il est économique, politique, humain.

C’est dans ce contexte que la directive européenne NIS 2entre en application.

Évaluez votre niveau de conformité NIS 2 dès maintenant

Qu’est-ce que la directive NIS 2 ?

La directive (UE) 2022/2555, dite NIS 2, vient renforcer le cadre réglementaire en matière de cybersécurité. Elle vise un double objectif :

  • Renforcer la résilience des systèmes critiques
  • Harmoniser les exigences à l’échelle européenne

Elle s’adresse aux entités essentielles (énergie, transport, santé, numérique, finance…) et aux entités importantes(fabrication B2B, infrastructures numériques…). Et élargit le champ d’application de la directive NIS initiale, avec une nouveauté : les obligations sont désormais contraignantes, quel que soit le secteur concerné.

NIS 2 impose également de nouvelles obligations aux États membres :

  • La désignation d’une autorité compétente, d’un CSIRT national (Computer Security Incident Response Team), et d’un point de contact unique pour la coopération avec les autres États membres.
  • L’obligation pour les entités concernées de notifier tout incident majeur dans un délai de 24 h, avec une notification complète dans les 72 h.
  • Une approche basée sur l’évaluation des risques, avec la mise en place de mesures techniques et organisationnelles appropriées, régulièrement révisées.
       
       

Comment se conformer à la directive NIS 2 ?

Pour respecter NIS 2, votre organisation doit mettre en place des mesures techniques et organisationnelles documentées, selon une approche basée sur le risque. Voici les étapes à suivre :

  1. Identifier le périmètre concerné (entités essentielles/importantes, secteurs visés).
  2. Analyser vos risques (actifs, vulnérabilités, incidents passés).
  3. Structurer des politiques et procédures pour gérer incidents, continuité, sécurité des SI, sous-traitants, formations.
  4. Documenter et démontrer votre conformité (journaux, rapports, audits, sensibilisation).    
  5. Mettre en place un plan d’action progressif (priorisation, suivi, indicateurs, reporting).

Découvrez les fonctionnalités NIS 2 dans Adequacy

Pourquoi agir rapidement ?

Les obligations introduites par NIS 2 ne se limitent pas à des principes généraux. Elles impliquent des moyens, des preuves, et surtout des responsabilités.

Les sanctions peuvent aller jusqu’à :

  • 10 millions d’euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles
  • 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités importantes
       
       

Mais au-delà des amendes, la directive introduit une responsabilité renforcée des dirigeants.

En cas de manquement, ils peuvent être directement mis en cause pour des décisions ou des absences de décision liées à la cybersécurité.

Quelles sont les implications concrètes de NIS 2 pour les équipes internes ?

Avec NIS 2, les équipes IT, conformité, juridique et direction sont appelées à collaborer. Cela suppose :

  • De suivre, qualifier et documenter les incidents
  • De mettre en place des processus de gestion de crise
  • D'assurer la sécurité tout au long du cycle de vie des systèmes d'information
  • De disposer de procédures d'évaluation régulières des risques
  • De généraliser les formations à la cybersécurité et la cyber-hygiène

Facilitez votre gouvernance NIS 2 avec un outil structurant

État d’avancement de la transposition en France

La directive NIS 2 est entrée en vigueur au niveau européen début 2023. Les États membres devaient la transposer dans leur droit national au plus tard le 17 octobre 2024. En France, le projet de loi a été adopté en première lecture au Sénat le 12 mars 2025. L’Assemblée nationale l’a examiné à partir de mai 2025.

En pratique, la directive est déjà applicable, et les organisations doivent se préparer dès maintenant à en justifier la mise en œuvre.

Les dernières actus

Actualités

NIS 2 : ce que la directive change pour votre entreprise

La directive NIS 2 renforce les obligations de cybersécurité en Europe. Découvrez qui est concerné, ce qui change concrètement et comment s’y préparer efficacement.

Alessandro Fiorentino
Actualités

Dépendance numérique : 3 facteurs d'un sursaut annoncé ?

La dépendance de l’Europe aux services numériques américains coûte 264 milliards d’euros par an et freine sa souveraineté. Entre influence juridique extraterritoriale, retard industriel et court-termisme économique, un sursaut devient crucial pour bâtir une autonomie numérique durable.

Alessandro Fiorentino
Produit

Découvrez les nouveautés de la version 6.0 !

Cette mise à jour majeure d’ADEQUACY repense l’ergonomie, enrichit les fonctionnalités RGPD et prépare les évolutions à venir autour de l’IA et de la sécurité.

Stéphane Galois

Ils nous font confiance depuis des années

Utilisé par plus de 10 000 entités juridiques

Découvrez Adequacy

Un de nos experts vous présente comment Adequacy s’adapte à votre réalité terrain.
Demander un devis