KabeenKabeenIT Playbook
Découvrir Kabeen
04 · Sécuriser

04.03 · Sécuriser

Se mettre en conformité NIS2

NIS2 multiplie par dix le nombre d’organisations régulées en Europe. Pour la plupart, c’est la première fois qu’une obligation cyber les concerne directement — et les délais sont déjà courts.

Par L’équipe Kabeen·13 min de lecture·Mis à jour le 15 mai 2026

Ce qui change avec NIS2

La directive NIS2 (Network and Information Security 2), transposée en droit français en 2024-2025, étend considérablement le périmètre des entités régulées par rapport à NIS1. Là où NIS1 visait quelques centaines d’opérateurs critiques, NIS2 couvre des milliers d’organisations dans dix-huit secteurs — santé, énergie, transport, numérique, alimentation, gestion de l’eau, services postaux, infrastructure financière, recherche…

× 10
Multiplicateur estimé du nombre d’entités régulées en France entre NIS1 et NIS2.
ANSSI, communication NIS2 2024
€ 10 M
Sanction financière maximale pour les entités essentielles (ou 2 % du CA mondial).
Directive (UE) 2022/2555
24 h
Délai maximal pour notifier l’autorité compétente après détection d’un incident significatif.
Article 23 de la directive NIS2

Quatre familles d’obligations

NIS2 ne se présente pas comme une liste de contrôles techniques mais comme un ensemble d’obligations organisationnelles. Pour rendre le sujet pilotable, on peut les regrouper en quatre familles que la DSI/RSSI doit traiter dans cet ordre.

01

Gouvernance cyber

Engagement formel du dirigeant, attribution des responsabilités, formation du COMEX. C'est le point de départ — sans cela, le reste est vacant.

02

Analyse des risques

Identification des actifs critiques, évaluation des menaces, plan de traitement. Démarche structurée type EBIOS RM.

03

Mesures de sécurité

Chiffrement, sauvegarde, gestion des accès, sécurisation de la chaîne d'approvisionnement, gestion des vulnérabilités.

04

Gestion des incidents

Détection, qualification, notification dans les 24 h, suivi, retour d'expérience. C'est l'obligation la plus contraignante en pratique.

Fig. 15.1Les quatre familles d’obligations NIS2, dans l’ordre de mise en œuvre.

Le sujet sous-estimé : la chaîne d’approvisionnement

Une exigence spécifique de NIS2 mérite une attention particulière — elle est nouvelle pour beaucoup d’organisations et difficile à instrumenter. La directive impose de maîtriser la sécurité des fournisseurs, en particulier les fournisseurs critiques et la chaîne logicielle. Cela signifie évaluer la posture cyber des fournisseurs, contractualiser des engagements, et savoir réagir si l’un d’eux subit un incident majeur.

Sans inventaire applicatif fiable, cette obligation est impossible à tenir. Une cartographie des fournisseurs critiques et de leurs dépendances mutuelles devient un prérequis NIS2 — alors même qu’elle relève en première lecture du pilier Cartographier.

Le piège du sous-traitance

Une option apparente pour beaucoup d’organisations : confier la conformité NIS2 à un cabinet externe qui produira la documentation attendue. Cette approche fonctionne pour la preuve de conformité mais pas pour la conformité elle-même. NIS2 n’est pas un audit — c’est une posture continue. Les notifications d’incident sous 24 heures, la gestion des accès, la sécurité de la chaîne d’approvisionnement ne peuvent pas être sous-traitées : elles s’opèrent au quotidien.

La sous-traitance peut accélérer la structuration — framework documentaire, analyse de risques, politique formelle. Elle ne remplace jamais la mise en œuvre opérationnelle, qui reste interne ou hybride.

Ce qu’il faut retenir

  • NIS2 multiplie par dix le nombre d’entités régulées. Premier réflexe : vérifier si vous êtes concernés — directement ou comme sous-traitant.
  • Quatre familles d’obligations dans l’ordre : gouvernance, analyse des risques, mesures, gestion des incidents.
  • La maîtrise de la chaîne d’approvisionnement est l’exigence la plus nouvelle — et celle qui rend l’inventaire applicatif obligatoire, pas optionnel.