NIS2 : Directive (UE) 2022/2555 sur la cybersécurité

La Directive (UE) 2022/2555, dite NIS2, établit un cadre réglementaire commun en matière de cybersécurité visant à améliorer le niveau de cybersécurité dans l'Union européenne, en exigeant des États membres qu'ils renforcent leurs capacités et introduisent des mesures de gestion des risques de cybersécurité et des rapports dans les secteurs critiques. Entrée en vigueur le 16 janvier 2023, elle remplace la directive NIS1 de 2016 et élargit considérablement le périmètre d'application : elle couvre désormais 18 secteurs critiques, incluant énergie, transport, santé, infrastructures numériques, mais aussi gestion des eaux usées, fabrication de produits critiques, services postaux et administration publique.

Champ d'application et catégories d'entités

La directive s'applique aux entités publiques ou privées de taille moyenne ou supérieure (≥ 50 salariés, ≥ 10 M€ CA) qui fournissent leurs services au sein de l'Union. NIS2 introduit une classification en deux catégories : entités essentielles (secteurs hautement critiques) et entités importantes (autres secteurs), avec des exigences et sanctions graduées. L'ANSSI indique que la directive s'appliquera en France à des milliers d'entités appartenant à plus de dix-huit secteurs, concernant environ 600 types d'entités différentes, allant des PME aux groupes du CAC 40.

NIS2 impose des obligations organisationnelles et techniques strictes. L'article 21 impose aux entités essentielles et importantes de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques posés à la sécurité des réseaux et systèmes d'information. Ces mesures couvrent : politiques d'analyse de risque, gestion des incidents, continuité d'activité et reprise après sinistre, sécurité de la chaîne d'approvisionnement, cryptographie, gestion des accès, formation cyber, authentification multi-facteurs. La directive introduit également la responsabilité personnelle des dirigeants en cas de non-conformité aux mesures de gestion des risques cyber.

Lien avec NIS2

Les 10 mesures minimales de l'article 21 et les obligations de gouvernance de l'article 20 (implication du top management, formation des dirigeants) constituent le socle de conformité NIS2. Les entités doivent également notifier les incidents significatifs à l'autorité compétente dans les 24 heures (notification préliminaire). Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles.

En France, l'ANSSI pilote la transposition en droit national de la directive et assure sa mise en œuvre. La France n'a pas respecté la date limite de transposition du 17 octobre 2024 et fait l'objet d'une procédure d'infraction européenne. Le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité », présenté en octobre 2024, est en cours d'examen parlementaire (adoption en discussion pour juillet 2026).

Pour aller plus loin

• Texte officiel de la Directive (UE) 2022/2555 (EUR-Lex)
• MonEspaceNIS2 – portail officiel ANSSI : outil d'autoévaluation et ressources de mise en conformité
• Article 21 – Mesures de gestion des risques cyber (obligations techniques détaillées)