Retour au glossaire
N
Définition

NIS2 Définition IT

Directive européenne de cybersécurité qui étend les exigences NIS à 18 secteurs critiques, transposée en droit français en 2025.

NIS2 (Network and Information Security 2, Directive UE 2022/2555) est la directive européenne qui renforce et étend les exigences de cybersécurité en Europe. Elle remplace la directive NIS originale (2016) et impose à un périmètre élargi d'organisations — environ 160 000 entités dans l'UE, contre 18 000 sous NIS — des obligations renforcées en matière de gestion des risques cyber, de notification d'incidents et de supervision.

Transposée en droit français par la loi du 21 octobre 2024 (modifications par décret en 2025), NIS2 est devenu l'un des principaux moteurs d'investissement cybersécurité des DSI européennes.

Qui est concerné par NIS2

NIS2 couvre 18 secteurs critiques, répartis en deux catégories :

### Secteurs « essentiels » (Annexe I, 11 secteurs)

  • Énergie: (électricité, gaz, pétrole, hydrogène, chauffage urbain).
  • Transports: (aérien, ferroviaire, maritime, routier).
  • Banque et marchés financiers: (en complément de DORA pour certains aspects).
  • Santé: (hôpitaux, laboratoires, fabricants de médicaments).
  • Eau potable et eaux usées: .
  • Infrastructures numériques: (DNS, registres TLD, IXP, fournisseurs cloud, datacenters, CDN).
  • Administration publique: .
  • Espace: .

### Secteurs « importants » (Annexe II, 7 secteurs)

  • Services postaux et de messagerie: .
  • Gestion des déchets: .
  • Fabrication et distribution de produits chimiques: .
  • Production et distribution alimentaire: .
  • Fabrication: (dispositifs médicaux, ordinateurs, électronique, machines, véhicules).
  • Fournisseurs de services numériques: (moteurs de recherche, plateformes, places de marché, réseaux sociaux).
  • Recherche: (laboratoires de recherche, instituts).

### Critères de taille

NIS2 s'applique aux entités d'au moins 50 salariés ou 10 M€ de chiffre d'affaires dans ces secteurs (avec exceptions pour certaines activités).

Les obligations NIS2

NIS2 impose quatre catégories d'exigences :

### 1. Gouvernance et responsabilité

Le comité exécutif est personnellement responsable de la mise en œuvre des mesures cybersécurité et doit être formé à ces enjeux. Sanctions individuelles possibles.

### 2. Gestion des risques cyber

Mise en place d'un cadre de gestion des risques couvrant :

  • Politique de sécurité de l'information.
  • Gestion des incidents.
  • PCA / PRA.
  • Sécurité de la chaîne d'approvisionnement.
  • Sécurité réseau et systèmes.
  • Cryptographie.
  • Sécurité des ressources humaines.
  • Authentification multifacteur (MFA).

### 3. Notification d'incidents

Notification à l'autorité compétente (ANSSI en France) :

  • Alerte précoce: dans les 24 heures après détection d'un incident significatif.
  • Notification détaillée: dans les 72 heures.
  • Rapport final: dans le mois.

### 4. Supervision et sanctions

  • Audits réguliers par les autorités compétentes (ANSSI, CNIL, ARCEP en France selon les cas).
  • Amendes administratives: jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes.
  • Sanctions individuelles: pour les dirigeants en cas de manquement grave.
  • Possibilité de suspension d'activité dans les cas extrêmes.

NIS2 et la cartographie applicative

NIS2 exige (articles 21 et 23) :

  • Un inventaire à jour des actifs critiques et de leurs dépendances.
  • La cartographie des fournisseurs IT et de leur exposition aux risques cyber.
  • Le suivi des vulnérabilités sur l'ensemble de la chaîne d'approvisionnement (cf. SBOM).
  • La traçabilité des accès aux systèmes critiques.

Sans cartographie applicative à jour, fournir ces preuves à l'ANSSI lors d'un audit devient impossible. C'est précisément ce que Kabeen apporte : un graphe vivant du SI, des applications, des dépendances et des fournisseurs IT, exploitable pour démontrer la conformité NIS2.

NIS2 vs NIS vs [DORA](/fr/glossary/dora)

  • NIS: (2016) : 7 secteurs, ~18 000 entités, exigences plus légères.
  • NIS2: (2024) : 18 secteurs, ~160 000 entités, exigences renforcées et harmonisées.
  • DORA: : lex specialis pour le secteur financier européen. Les entités financières relèvent de DORA, pas de NIS2.

Les organisations sont couvertes par l'un ou l'autre, jamais les deux.

Mise en conformité

Démarche type sur 12 à 18 mois :

  1. Diagnostic d'éligibilité : suis-je concerné ? Essentiel ou important ?
  2. Gap analysis : où en suis-je vis-à-vis des 10 mesures ?
  3. Cartographie du SI critique et de la chaîne fournisseurs.
  4. Politique de gestion des risques validée par le COMEX.
  5. Procédure de notification des incidents.
  6. Programme de sensibilisation et formation des dirigeants.
  7. Audit interne annuel.
  8. Enregistrement auprès de l'autorité compétente (ANSSI en France).

Standards et référentiels alignés

  • ISO 27001: : management de la sécurité de l'information.
  • NIST Cybersecurity Framework: .
  • MITRE ATT&CK: : taxonomie des menaces.
  • EBIOS RM: (ANSSI) : méthode d'analyse de risques.
  • PSSI: (ANSSI) : politique de sécurité des systèmes d'information.

Questions fréquentes

Qu'est-ce que NIS2 ?

+

NIS2 (Network and Information Security 2, directive UE 2022/2555) est la directive européenne qui renforce les exigences de cybersécurité en Europe. Elle remplace NIS originale (2016) et impose à environ 160 000 entités européennes — dans 18 secteurs critiques — des obligations renforcées de gestion des risques cyber, notification d'incidents et supervision. Transposée en droit français en octobre 2024.

Mon entreprise est-elle concernée par NIS2 ?

+

NIS2 s'applique aux entités d'au moins 50 salariés ou 10 M€ de CA opérant dans 18 secteurs critiques : énergie, transports, banque, santé, eau, infrastructures numériques, administration publique, mais aussi fabrication, agroalimentaire, services postaux, fournisseurs numériques, recherche. Deux catégories : entités essentielles (11 secteurs) et entités importantes (7 secteurs), avec des sanctions différenciées.

Quelles sanctions risque-t-on en cas de manquement à NIS2 ?

+

Pour les entités essentielles : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial (le plus élevé des deux). Pour les entités importantes : jusqu'à 7 M€ ou 1,4 % du CA. Sanctions individuelles pour les dirigeants en cas de manquement grave. Possibilité de suspension d'activité dans les cas extrêmes. Les dirigeants sont personnellement responsables, contrairement à NIS originale.

Quelle différence entre NIS2 et DORA ?

+

NIS2 couvre 18 secteurs critiques européens (énergie, santé, transports, eau, administration publique, etc.). DORA est lex specialis pour le secteur financier : banques, assurances, gestionnaires de fonds. Une entité financière relève de DORA et non de NIS2. Les deux régulations partagent une logique commune (gestion des risques, notification d'incidents, supervision des tiers IT) mais s'appliquent à des périmètres distincts.

Tous les termes

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

Méthode des 5R

Une stratégie utilisée lors de la rationalisation des applications pour déterminer la meilleure approche de gestion.

8

Méthode des 8R

Une version étendue de la méthode 5R utilisée dans la gestion du portefeuille d'applications et les stratégies de migration.

A

Application

Un programme informatique ou un ensemble de programmes conçus pour rationaliser les opérations commerciales.

A

Architecture

Réfère à la structure et au comportement des systèmes informatiques, des processus et de l'infrastructure au sein d'une organisation.

Retour au glossaire

Besoin d'aide pour cartographier votre SI ?

Kabeen vous aide à inventorier, analyser et optimiser votre portefeuille d'applications.

Essayer gratuitement