nis2-pro.fr

Article 21 NIS2 — les 10 mesures de gestion des risques de cybersécurité

L'article 21 §2 de la directive (UE) 2022/2555 constitue le socle technique et opérationnel du dispositif européen NIS2. Il impose dix catégories de mesures de gestion des risques de cybersécurité que toutes les entités essentielles et importantes doivent mettre en œuvre de manière proportionnée. Ces mesures ne sont pas optionnelles : elles définissent le niveau minimum de maturité cyber exigé pour les quelque 15 000 entités françaises concernées, selon l'estimation de l'ANSSI.

Ces dix mesures forment un cadre cohérent qui couvre l'analyse des risques, la gestion opérationnelle des incidents, la résilience, la sécurité de la chaîne d'approvisionnement et la protection technique des systèmes. Leur mise en œuvre conditionne la conformité réglementaire, mais aussi la capacité de l'organisation à résister aux menaces cyber de masse qui visent désormais l'ensemble du tissu économique.

Le cadre juridique et technique de l'article 21

L'article 21 §1 de la directive NIS2 oblige les États membres à garantir que les entités essentielles et importantes « prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information » qu'elles utilisent. Ces mesures doivent « assurer un niveau de sécurité adapté au risque », en tenant compte de l'état de l'art et des normes européennes et internationales applicables.

Le paragraphe 2 de l'article 21 détaille les dix catégories de mesures minimales. Il précise que ces mesures doivent se fonder sur une « approche tous risques » (all-hazards approach), qui vise à protéger non seulement les systèmes d'information, mais aussi leur environnement physique. Cette approche reconnaît que les menaces peuvent provenir de sources multiples : cyberattaques, erreurs humaines, défaillances techniques, catastrophes naturelles ou accès physiques non autorisés, comme l'indique le considérant 79 de la directive.

En France, ces exigences sont déclinées dans le projet de loi Résilience, dont l'examen en hémicycle est attendu pour juillet 2026. Le ReCyF (Référentiel Cyber France), publié par l'ANSSI le 17 mars 2026, traduit ces dix mesures en vingt objectifs de sécurité opérationnels, distincts pour les entités essentielles et importantes.

L'approche « tous risques » : une rupture méthodologique

La directive NIS2 introduit explicitement une all-hazards approach pour la gestion des risques de cybersécurité. Cette logique impose d'identifier et de traiter non seulement les menaces cyber classiques (ransomware, phishing, compromission de comptes), mais aussi les risques physiques et environnementaux susceptibles de compromettre la disponibilité, l'intégrité, la confidentialité ou l'authenticité des systèmes d'information.

Selon le considérant 79, les mesures doivent protéger les systèmes « contre les événements tels que le vol, l'incendie, les inondations, les pannes de télécommunications ou d'électricité, ou l'accès physique non autorisé ». L'approche tous risques oblige donc les DSI et RSSI à élargir le périmètre de l'analyse de risques au-delà du seul volet numérique : continuité électrique, accès aux locaux techniques, résilience des infrastructures physiques et sécurité environnementale doivent être formellement intégrés dans la démarche.

Cette évolution marque une convergence entre cybersécurité et sécurité physique, domaines traditionnellement gérés par des équipes distinctes. Elle nécessite une cartographie unifiée des actifs critiques et une analyse de risques qui tienne compte des interdépendances entre environnements physique et numérique. Pour les organisations déjà certifiées ISO 27001, l'approche tous risques NIS2 nécessite un élargissement de l'analyse de risques existante, en particulier sur la dimension sociétale et l'impact potentiel des incidents.

Les 10 mesures de l'article 21 §2 : cadre structurant

1. Analyse des risques et sécurité des systèmes d'information

La première mesure impose la mise en place de politiques formalisées d'analyse des risques et de sécurité des systèmes d'information. Elle constitue le socle sur lequel reposent toutes les autres mesures. L'analyse de risques doit être documentée, actualisée régulièrement et couvrir l'ensemble du périmètre des systèmes critiques de l'entité, en tenant compte de l'approche tous risques.

Le ReCyF précise que cette mesure correspond, pour les entités essentielles, à l'objectif de sécurité 16 (approche par les risques) et impose la réalisation d'une cartographie des systèmes d'information, l'identification des menaces et vulnérabilités, et l'évaluation des impacts potentiels. Les méthodes reconnues incluent EBIOS RM, ISO 27005 et les approches de quantification des risques cyber (CRQ).

En savoir plus : Analyse des risques et sécurité des SI

2. Gestion des incidents de sécurité

L'article 21 §2(b) exige la mise en œuvre de politiques et procédures permettant de traiter les incidents de sécurité. Cette mesure couvre la détection, la qualification, la réponse, la remédiation et la notification des incidents. Elle se combine avec l'article 23 de la directive, qui impose des délais stricts de notification à l'autorité compétente : alerte précoce sous 24 heures, notification complète sous 72 heures et rapport final sous un mois.

La gestion des incidents nécessite la formalisation d'un processus complet incluant la supervision des systèmes, la qualification des événements de sécurité, la mobilisation d'une cellule de crise, la préservation des preuves, la communication interne et externe, et le retour d'expérience. Pour les entités importantes, le ReCyF couvre cette mesure à travers l'objectif 12.

En savoir plus : Gestion des incidents

3. Continuité des activités et reprise après incident

La mesure 3 impose la mise en place de plans de continuité d'activité (PCA), de reprise d'activité (PRA) et de gestion de crise adaptés aux scénarios cyber. Les entités doivent être capables de maintenir ou de restaurer leurs services critiques en cas d'incident majeur, de compromission prolongée ou de destruction de données.

Le ReCyF distingue l'objectif 13 (continuité et reprise d'activité), l'objectif 14 (réaction aux crises d'origine cyber) et l'objectif 15 (exercices, tests et entraînements). Les PCA/PRA doivent être testés régulièrement, avec des RTO et RPO définis pour chaque service critique. Les sauvegardes doivent être isolées, chiffrées et testées en condition réelle, conformément aux bonnes pratiques 3-2-1 ou 3-2-1-1-0.

En savoir plus : Continuité des activités

4. Sécurité de la chaîne d'approvisionnement

L'article 21 §2(d) exige que les entités sécurisent leurs relations avec les fournisseurs et prestataires de services directs. Cette mesure marque une extension significative du périmètre de responsabilité : l'entité régulée doit évaluer les vulnérabilités spécifiques de chaque fournisseur critique, la qualité de leurs pratiques de cybersécurité et leurs procédures de développement sécurisé, comme le précise l'article 21 §3.

La sécurité de la chaîne d'approvisionnement passe par la cartographie des prestataires ayant un accès au SI, l'évaluation de leur posture cyber (questionnaires, audits, certifications), l'intégration de clauses contractuelles de sécurité et la supervision continue des accès tiers. NIS2 impose contractuellement aux fournisseurs des entités régulées l'application de mesures strictes de cybersécurité, créant ainsi un effet domino sur l'ensemble de l'écosystème.

En savoir plus : Sécurité de la chaîne d'approvisionnement

5. Sécurité de l'acquisition, du développement et de la maintenance

L'article 21 §2(e) impose la prise en compte de la sécurité dès la phase d'acquisition, de développement et de maintenance des systèmes d'information. Cette mesure couvre notamment le traitement et la divulgation des vulnérabilités, la gestion des correctifs, la sécurisation du cycle de développement logiciel (S-SDLC) et la réalisation de tests d'intrusion.

Le ReCyF traduit cette mesure en plusieurs objectifs : maîtrise des systèmes d'information (objectif 5), sécurisation de la configuration des ressources (objectif 18) et administration des SI depuis des ressources dédiées (objectif 19). Les pratiques attendues incluent la mise en place d'une politique de gestion des vulnérabilités (CVD), l'application des correctifs critiques sous délai contraint, et l'intégration de la sécurité dès la conception (Security by Design).

En savoir plus : Sécurité acquisition, développement et maintenance

6. Évaluation de l'efficacité des mesures de gestion des risques

L'article 21 §2(f) exige la mise en œuvre de politiques et procédures pour évaluer l'efficacité des mesures de cybersécurité. Cette obligation transforme la conformité en démarche d'amélioration continue : les entités doivent être capables de mesurer, documenter et démontrer que les contrôles déployés atteignent les objectifs de sécurité fixés.

L'évaluation de l'efficacité passe par des indicateurs de performance (KPI), des audits internes et externes, des tests techniques (scan de vulnérabilités, pentests), des exercices de crise, et le suivi des plans d'action correctifs. Le ReCyF impose aux entités essentielles de réaliser des audits de sécurité des systèmes d'information (objectif 17), généralement par des prestataires qualifiés PASSI ou PASSI-LPM.

En savoir plus : Évaluation de l'efficacité

7. Pratiques de cyberhygiène de base et formation

La mesure 7 couvre deux volets complémentaires : les pratiques de cyberhygiène de base et la formation à la cybersécurité. Ce double volet reconnaît que la sécurité repose autant sur la sensibilisation des utilisateurs que sur les contrôles techniques.

Les pratiques de cyberhygiène incluent la gestion rigoureuse des mots de passe, la mise à jour régulière des systèmes, la limitation des privilèges, la sécurisation des postes de travail (EDR, antivirus) et la protection des navigateurs. La formation doit être régulière, adaptée aux profils des collaborateurs et couvrir les menaces courantes (phishing, ingénierie sociale, ransomware). L'article 20 §2 impose également une formation spécifique des organes de direction, soulignant que la cybersécurité devient une responsabilité de gouvernance.

En savoir plus : Cyber-hygiène et formation

8. Cryptographie et chiffrement

L'article 21 §2(h) impose la définition de politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement. Cette mesure vise à protéger la confidentialité et l'intégrité des données, en particulier pour les données sensibles, les communications critiques et les sauvegardes.

Les entités doivent définir les cas d'usage du chiffrement (données au repos, en transit, sauvegardes), les algorithmes acceptables (AES-256, TLS 1.3), les mécanismes de gestion des clés cryptographiques et les procédures de déchiffrement d'urgence. La directive encourage également l'anticipation de la transition vers la cryptographie post-quantique, compte tenu de l'évolution des menaces à moyen terme.

En savoir plus : Cryptographie et chiffrement

9. Sécurité des ressources humaines, contrôle d'accès et gestion des actifs

La mesure 9 regroupe trois domaines interdépendants : la sécurité des ressources humaines (vérifications lors du recrutement, sensibilisation, clauses contractuelles), les politiques de contrôle d'accès (moindre privilège, ségrégation des fonctions, revue périodique des droits) et la gestion des actifs (inventaire, classification, cycle de vie).

Le ReCyF traduit cette mesure en plusieurs objectifs : intégration de la sécurité numérique dans la gestion des ressources humaines (objectif 4), gestion des identités et des accès (objectif 10), maîtrise de l'administration des systèmes (objectif 11). Les pratiques attendues incluent l'inventaire exhaustif des actifs matériels et logiciels, la classification des données, les revues de droits trimestrielles et la désactivation immédiate des comptes en cas de départ.

En savoir plus : Sécurité RH, contrôle d'accès et gestion des actifs

10. Authentification multifacteur et communications sécurisées

La dernière mesure impose l'utilisation de l'authentification multifacteur (MFA) ou de l'authentification continue pour les accès sensibles, ainsi que la mise en œuvre de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence au sein de l'entité, « selon les besoins ».

Le MFA doit être déployé sur tous les accès administrateurs, les accès distants au SI, les applications critiques et les comptes privilégiés. Les communications sensibles (notamment en cas de crise) doivent être protégées par des solutions chiffrées de bout en bout. Le ReCyF couvre cette mesure via l'objectif 8 (sécurisation des accès distants) et l'objectif 10 (gestion des identités).

En savoir plus : MFA et communications sécurisées

Le ReCyF : déclinaison française des 10 mesures

Le Référentiel Cyber France (ReCyF), publié par l'ANSSI le 17 mars 2026, constitue la traduction opérationnelle française de l'article 21. Il traduit les dix mesures européennes en vingt objectifs de sécurité, chacun assorti de moyens acceptables de conformité.

La structure du ReCyF repose sur une distinction fondamentale : les objectifs de sécurité fixent les résultats obligatoires (le « quoi »), tandis que les moyens acceptables de conformité proposent des méthodes reconnues pour les atteindre (le « comment »). Ces moyens ne sont pas obligatoires par défaut, mais permettent aux entités qui les appliquent de se prévaloir de leur conformité en cas de contrôle.

Le ReCyF intègre un principe de proportionnalité : certains objectifs s'appliquent uniquement aux entités essentielles (EE), d'autres aux entités importantes (EI), et certains aux deux catégories avec des niveaux d'exigence distincts. Les entités essentielles doivent satisfaire les 20 objectifs, tandis que les entités importantes en couvrent 15, selon l'ANSSI.

L'ANSSI propose également un outil de comparaison permettant de rapprocher les objectifs ReCyF d'autres référentiels (ISO 27001, ISO 27002, ISO 27005, NIST CSF, CIS Controls). Cet outil facilite l'analyse d'écart pour les entités déjà engagées dans une démarche de certification ou de conformité réglementaire.

Articulation avec ISO 27001:2022 et NIST CSF 2.0

Les dix mesures de l'article 21 NIS2 présentent des correspondances fortes avec les contrôles de la norme ISO/IEC 27001:2022 (Annexe A) et les fonctions du NIST Cybersecurity Framework 2.0. Toutefois, la conformité ISO 27001 ne garantit pas automatiquement la conformité NIS2 : ISO 27001 couvre seulement 2 des 20 objectifs ReCyF, selon l'ANSSI.

Correspondances ISO 27001:2022

  • Mesure 1 (analyse des risques) : A.5.7 Threat intelligence, A.8.8 Management of technical vulnerabilities, Clause 6.1 Risk assessment
  • Mesure 2 (gestion des incidents) : A.5.24 à A.5.28 (Incident management), A.5.29 Information security during disruption
  • Mesure 3 (continuité) : A.5.29, A.5.30 ICT readiness for business continuity
  • Mesure 4 (chaîne d'approvisionnement) : A.5.19 à A.5.23 (Supplier relationships)
  • Mesure 5 (développement sécurisé) : A.8.25 à A.8.31 (Secure development lifecycle)
  • Mesure 6 (évaluation) : Clause 9.2 Internal audit, Clause 9.3 Management review
  • Mesure 7 (formation) : A.6.3 Awareness, education and training
  • Mesure 8 (cryptographie) : A.8.24 Use of cryptography
  • Mesure 9 (accès, actifs, RH) : A.5.15 à A.5.18 (Access control), A.5.9 Inventory of information and assets, A.6.1 à A.6.2 (Screening, terms and conditions)
  • Mesure 10 (MFA) : A.5.17 Authentication information, A.5.18 Access rights

Correspondances NIST CSF 2.0

Les dix mesures NIS2 recoupent les six fonctions du NIST Cybersecurity Framework 2.0 (Govern, Identify, Protect, Detect, Respond, Recover). En particulier :

  • Govern : responsabilité de la direction (article 20), stratégie de gestion des risques
  • Identify : analyse des risques (mesure 1), gestion des actifs (mesure 9), chaîne d'approvisionnement (mesure 4)
  • Protect : MFA (mesure 10), chiffrement (mesure 8), développement sécurisé (mesure 5), formation (mesure 7)
  • Detect : supervision (mesure 2), gestion des vulnérabilités (mesure 5)
  • Respond : gestion des incidents (mesure 2)
  • Recover : continuité et reprise (mesure 3)

Cette convergence facilite l'intégration de NIS2 dans les démarches de conformité multi-normatives, mais nécessite un travail d'alignement documenté.

Démontrer la conformité : documentation, audit et évaluation

La conformité aux dix mesures de l'article 21 ne se limite pas au déploiement technique : elle exige une capacité à prouver, documenter et maintenir dans le temps l'efficacité des contrôles mis en œuvre. Trois leviers structurants permettent de démontrer la conformité.

Documentation de sécurité

Les entités doivent formaliser et tenir à jour un corpus documentaire couvrant les politiques, procédures, plans et preuves d'application des mesures. Ce corpus inclut :

  • La Politique de Sécurité des Systèmes d'Information (PSSI), approuvée par l'organe de direction
  • L'analyse de risques et le plan de traitement des risques
  • Les procédures de gestion des incidents, de gestion de crise, de PCA/PRA
  • Les politiques de contrôle d'accès, de gestion des actifs, de classification des données
  • Les procédures de gestion des vulnérabilités, de gestion des correctifs
  • Les registres de traçabilité (logs, événements de sécurité, accès privilégiés, modifications)
  • Les rapports d'audit, de test d'intrusion, d'exercice de crise
  • Les contrats et questionnaires fournisseurs incluant les clauses de sécurité

Le ReCyF impose que la PSSI inclue l'engagement personnel du dirigeant exécutif, repositionnant ainsi la cybersécurité comme une discipline de direction et non une simple affaire technique.

Audit par prestataires qualifiés

Les entités essentielles doivent, selon le ReCyF (objectif 17), réaliser des audits réguliers de la sécurité de leurs systèmes d'information. Ces audits peuvent être conduits en interne (pour les entités disposant de ressources dédiées), mais sont généralement confiés à des prestataires qualifiés PASSI ou PASSI-LPM pour garantir indépendance et qualité.

Les prestations PASSI couvrent les audits de configuration, les audits d'architecture, les tests d'intrusion, les revues de code, l'accompagnement à la qualification et les audits organisationnels. Les prestataires sont référencés sur l'annuaire officiel de l'ANSSI, garantissant le respect de critères techniques et déontologiques stricts.

Pour la gestion opérationnelle des incidents, les entités peuvent également s'appuyer sur des prestataires qualifiés PRIS (Réponse aux Incidents de Sécurité) ou PDIS (Détection des Incidents de Sécurité).

Évaluation périodique et amélioration continue

L'article 21 §2(f) impose une évaluation régulière de l'efficacité des mesures. Cette évaluation doit être planifiée, documentée et suivie d'actions correctrices. Les modalités incluent :

  • Des auto-évaluations semestrielles ou annuelles par rapport aux objectifs ReCyF
  • Des audits externes périodiques (annuels ou bisannuels selon le profil de risque)
  • Des tests techniques réguliers (scans de vulnérabilités trimestriels, pentests annuels)
  • Des exercices de gestion de crise et de reprise d'activité
  • Des revues de conformité suite à des changements organisationnels ou techniques majeurs

Le ReCyF exige des exercices, tests et entraînements réguliers (objectif 15), permettant de valider en condition réelle la capacité de l'organisation à gérer une crise cyber.

Proportionnalité et taille de l'entité

L'article 21 §1 de la directive précise que les mesures doivent être « appropriées et proportionnées », en tenant compte du degré d'exposition aux risques de l'entité, de sa taille, de la probabilité d'occurrence des incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.

Principe de proportionnalité

Le principe de proportionnalité reconnaît que toutes les entités ne disposent pas des mêmes ressources ni n'encourent les mêmes risques. Une PME de 60 salariés dans le secteur de la gestion des déchets n'est pas soumise aux mêmes contraintes qu'un opérateur de transport ferroviaire de 5 000 collaborateurs. Le ReCyF intègre ce principe en distinguant les exigences applicables aux entités essentielles et importantes, avec un niveau d'effort adapté à la maturité et aux ressources disponibles.

Application aux PME et ETI

Les PME et ETI concernées par NIS2 doivent appliquer les dix mesures, mais peuvent adapter leur mise en œuvre à leurs moyens. L'ANSSI a publié un guide TPE/PME proposant 13 mesures essentielles accessibles aux petites structures. Les entités peuvent également mutualiser certaines fonctions (SOC externalisé, RSSI à temps partagé, services managés) ou recourir à des prestataires qualifiés.

Le principe de proportionnalité ne dispense pas de l'obligation de résultat : les dix mesures doivent être couvertes, mais la profondeur et la formalisation des contrôles varient selon la taille, le secteur et le profil de risque. Une PME importante classée dans le secteur de la chimie ou de l'alimentation devra démontrer qu'elle a mis en œuvre un niveau de protection adapté à son exposition, même si les moyens déployés diffèrent d'une grande entité essentielle.

Effet domino sur la chaîne d'approvisionnement

L'article 21 §2(d) impose aux entités régulées de sécuriser leur chaîne d'approvisionnement. Dans les faits, cela génère un effet domino : les PME fournisseurs de grandes entités régulées se voient contractuellement imposer des exigences de cybersécurité alignées sur NIS2, même si elles ne dépassent pas les seuils de taille. Cette pression indirecte transforme progressivement NIS2 en standard de marché pour l'ensemble de l'écosystème numérique français et européen.

Pour aller plus loin