Passez à la Défense Adaptative: Un référentiel interactif pour les décideurs : des stratégies centrées sur l’humain face à l’accélération des menaces par l’IA.

Contact
Languages
Personnes consultant un écran d’ordinateur en arrière-plan, avec un logo SRI2 de grande dimension au premier plan.

La directive NIS2 : exigences, échéances et implémentation en 2026

Updated on: 8 juin 2026 · 15 min read
Back to Glossary

La directive SRI2 (NIS2) redéfinit la cybersécurité en Europe. Découvrez quelles sont ses exigences, à qui elle s’applique et comment s’y préparer.

Sommaire

  1. Qu’est-ce que la directive SRI2 (NIS2) ?
  2. Échéances et entrée en vigueur
  3. Implémentation
  4. Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
  5. Qui est concerné ?
  6. Exigences : checkliste
  7. Conformité et certification
  8. DORA et SRI2 (NIS2) : étude comparative

La directive NIS2 en un coup d’œil

  • Applique les règles à 18 nouveaux secteurs critiques au sein de l’UE
  • Distingue les entités essentielles et les entités importantes
  • Incite à intègrer davantage la cybersécurité dans la gouvernance, la surveillance et la gestion quotidienne des risques
  • Introduit un modèle de signalement par étapes pour les incidents importants
  • Donne aux instances dirigeantes un rôle plus direct dans la surveillance de la cybersécurité
  • Un test NIS2 peut vous aider à déterminer si votre entreprise est concernée et dans quel domaine des mesures supplémentaires pourraient être nécessaires

La directive NIS2 vise avant tout à organiser la cyberdéfense européenne en imposant des mesures fortes et unifiées. La directive impose une gestion systématique du risque informatique au sein des entités critiques et le signalement immédiat des incidents pour améliorer la résilience des réseaux.

La directive NIS2 s’applique à 18 secteurs critiques, mais ce n’est pas seulement une question de secteur. La taille de l’entité est également prise en compte, ainsi que la législation nationale et la façon dont elle transpose la directive. Les entités concernées sont généralement classées comme essentielles ou importantes. Pour plus de détails, consultez : NIS2 : Qui est concerné ?

Selon la directive NIS2, les incidents graves doivent être signalés en plusieurs étapes. Une première notification doit être envoyée dans les 24 heures, suivie d’informations plus détaillées dans un délai de 72 heures. Un rapport final doit ensuite être émis dans un délai d’un mois. Les détails de la procédure peuvent varier d’un État membre à l’autre.

La directive NIS2 peut influer sur les relations avec les fournisseurs, même lorsqu’ils ne sont pas concernés au même titre que l’entité réglementée. Elle insiste sur le risque lié à la chaîne d’approvisionnement Cela peut entraîner un examen plus attentif des dépendances vis-à-vis des tiers et peut conduire à une surveillance plus stricte ou à des garanties plus claires.

La directive NIS2 prévoit que la responsabilité ne repose pas uniquement sur les équipes informatiques ou de sécurité. La haute direction ne peut pas se désengager complètement du problème. La responsabilité et les sanctions ne sont pas traitées exactement de la même manière partout en Europe : le cadre juridique national continue de jouer sur ce point.

Pas dans le cadre de la loi britannique. Depuis le Brexit, le Royaume-Uni a sa propre réglementation NIS. Le gouvernement est en train de la réformer dans un projet de loi sur la cybersécurité et la résilience. Certaines entités britanniques peuvent être soumises aux obligations de la directive NIS2 lorsque leurs activités tombent sous le coup de la directive au sein de l’UE.

Qu’est-ce que la directive NIS2 ? La directive NIS2 expliquée

La directive NIS2 renforce le cadre juridique en matière de cybersécurité dans l’ensemble de l’Union européenne. Elle remplace la directive précédente, qui datait de 2016, et montre toute l’évolution des cybermenaces au cours de ces dernières années. Par rapport à la version précédente, le champ d’action a été élargi et le niveau d’exigence attendu des entités, relevé.

En bref, qu’est-ce que la directive NIS2 ? La directive NIS2 introduit trois changements majeurs : une gestion du risque plus stricte, un signalement plus précoce des incidents graves et une meilleure préparation aux perturbations. Dans les entités concernées, la cybersécurité ne doit plus être traitée comme un simple problème technique. Pour le dire plus concrètement, la directive NIS2 nécessite d’intégrer plus expressément la cybersécurité dans les principes de responsabilité, les processus internes et la résilience opérationnelle.

Aujourd’hui, l’économie européenne repose beaucoup sur les systèmes numériques connectés. Si ceux-ci sont perturbés, les conséquences vont souvent bien au-delà de simples problèmes informatiques. La réglementation NIS2 tient compte de cette réalité opérationnelle plus large.

Un document faisant référence à la directive NIS2 à côté d’un document de type checkliste symbolisant les exigences réglementaires énoncées dans la réglementation NIS2

Résumé : les points clés de la directive NIS2

Depuis l’introduction de la première directive NIS en 2016, le paysage des menaces a considérablement évolué, sans compter que la mise en application des exigences prévues était inégale d’un pays de l’UE à l’autre. Face à ces lacunes, la directive NIS2 a été émise en vue d’établir un cadre plus homogène et plus strict.

Le résumé ci-dessous de la directive NIS2 montre que les exigences s’étendent à un champ d’action plus large. L’accent n’est plus mis uniquement sur les mesures d’ordre technique : la directive insiste en effet beaucoup plus sur la gouvernance, le signalement, le contrôle des fournisseurs et la résilience organisationnelle.

Aperçu des principaux changements :

  • Champ d’application plus vaste (article 3) :

La distinction qui était faite dans le texte précédent n’a plus la même portée. La question principale est désormais de savoir si une entreprise relève des entités essentielles ou des entités importantes.

  • Procédure plus stricte pour le signalement des incidents (article 23) :

La directive NIS2 est plus exigeante sur la question du signalement des incidents. Un incident grave doit généralement être signalé en plusieurs étapes : une notification précoce, envoyée dans les 24 heures, des informations complémentaires, dans les 72 heures, puis un rapport final dans un délai d’un mois.

  • Sécurité de la chaîne d’approvisionnement (article 21) :

Les fournisseurs peuvent être des maillons qui affaiblissent l’ensemble de la structure. Conscients de ce fait, les auteurs de la directive NIS2 ont veillé à ce que le cyberrisque lié aux fournisseurs soit davantage pris en compte. En conséquence, les entreprises sont incitées à étudier régulièrement leurs liens de dépendance avec des tiers, à en vérifier le mode de supervision et à s’intéresser aux points sur lesquels il est nécessaire de renforcer les garanties contractuelles.

  • Responsabilité de la direction (article 20) :

Les organes de direction sont censés approuver les mesures de gestion du risque et suivre leur mise en œuvre.

  • Cyberhygiène obligatoire (article 21) :

La directive NIS2 insiste davantage sur les mesures de sécurité basiques. Celles-ci peuvent inclure des mises à jour régulières, la sécurité des mots de passe, les contrôles d’accès et les mesures de sensibilisation du personnel, y compris des formations sur le phishing et l’ingénierie sociale.

  • Coopération à l’échelle de l’UE (articles 16 & 19) :

Avec le réseau EU-CyCLONe et l’évaluation par les pairs, l’UE met davantage l’accent sur la coordination transfrontalière lors de cyberincidents graves.

Un guide pour votre stratégie NIS2

Parcourez d’autres articles en lien avec la directive NIS2 pour mieux comprendre quelles ont les exigences et déterminer les points les plus importants pour votre entreprise.

Lire la suite Checkliste NIS2 : les grandes étapes pour structurer votre implémentation
Glossary

Checkliste NIS2 : les grandes étapes pour structurer votre implémentation

Lire la suite NIS2 : à qui s’applique la directive NIS2 ? Le point pour les entreprises
Glossary

NIS2 : à qui s’applique la directive NIS2 ? Le point pour les entreprises

Lire la suite Conformité NIS2 : comment la construire efficacement
Glossary

Conformité NIS2 : comment la construire efficacement

Échéances de la directive NIS2 : quand la directive entre-t-elle en vigueur ?

Le cadre européen de cybersécurité évolue sur deux niveaux. Au niveau de l’UE, la directive NIS2 définit l’orientation juridique commune. Pour les entreprises, cependant, le calendrier des obligations légales dépend de la manière dont chaque État membre transpose ces règles dans son droit national.

Infographie sur le calendrier de mise en conformité avec les exigences de la directive NIS2.

Calendrier de l’UE : comment la directive NIS2 est entrée en vigueur

L’Union européenne a adopté la directive NIS2 fin 2022 pour une entrée en vigueur le 16 janvier 2023. À compter de cette date, le compte à rebours était lancé pour que les États membres transposent la directive dans leur droit national. Ils avaient jusqu’au 17 octobre 2024 pour légiférer à ce sujet.

Tous n’ont pas progressé au même rythme. Certains États membres n’ont pas réussi à transposer la directive à temps dans leur législation. Dans un certain nombre de pays, l’implémentation à l’échelle nationale s’est poursuivie bien après le début de l’année 2025. Par conséquent, la situation juridique pratique est restée floue plus longtemps dans certaines parties de l’UE. La Commission européenne a prévu le premier contrôle formel au sens de la directive NIS2 pour octobre 2027.

NIS2 Check in 3 minutes

Go to the NIS2 assessment

Not sure where your organisation stands on NIS2? Our free assessment can help spot gaps, prioritise next steps and prepare more confidently.

Implémentation de la directive NIS2 : qu’exige l’UE des États membres ?

La directive NIS2 fixe l’objectif juridique pour l’Europe dans son ensemble, mais laisse aux États membres le soin de décider du moyen d’y parvenir. En d’autres termes, Bruxelles définit les étapes de l’implémentation de la directive NIS2, mais chaque pays doit transformer ces exigences européennes globales en droit national. Pour les entreprises, il s’agit d’un point important dans la mesure où c’est la législation nationale qui fixe précisément les obligations, les règles de surveillance et les sanctions dans chaque juridiction.

L’une des principales exigences de la directive NIS2 porte sur l’administration des entités concernées. Chaque État membre doit désigner une autorité de surveillance nationale et lui conférer de larges pouvoirs lui permettant de réaliser des audits, d’exiger des preuves de conformité et de prendre des mesures coercitives en cas de non-respect des obligations.

Le système de signalement centralisé dans le cadre de la directive SRI2 (NIS2)

L’Union européenne exige également des États membres qu’ils créent une structure nationale de signalement en matière de cybersécurité. Il s’agit notamment de réunir une équipe de réponse aux incidents de sécurité informatique ou CSIRT (pour Computer Security Incident Response Team) qui réceptionnera les signalements d’incidents exigés par la loi et coordonnera la réponse. Lorsque les attaques touchent plus d’un pays, les organes nationaux compétents doivent coopérer par l’intermédiaire du réseau européen CyCLONe.

La réglementation SRI2 (NIS2) demande également aux États membres de déterminer les entités auxquelles s’appliquent les exigences formulées. Ils doivent donc avoir un aperçu fiable des entités essentielles et importantes présentes sur leur territoire. Pour ce faire, de nombreux pays ont recours à des systèmes d’inscription centralisés dans lesquels les entités doivent saisir, par exemple, leurs coordonnées.

Les choix nationaux continuent de peser dans la balance. La directive SRI2 (NIS2) fournit un point de départ commun, mais certains éléments continuent de relever de la législation nationale. Les États membres peuvent également adopter des exigences de cybersécurité plus strictes et choisir d’aller au-delà des principes de base imposés par l’UE.

Loi sur l’implémentation de la NIS2 : pourquoi le droit local conserve-t-il son importance ?

Une directive n’est pas la même chose qu’un règlement. Dans le cas de la directive SRI2 (NIS2), cette différence a son importance. Un règlement de l’UE s’applique directement. Une directive passe par le droit national. Elle définit un cadre que chaque État membre traduit en règles juridiques qui lui sont propres.

C’est la raison pour laquelle la directive SRI2 (NIS2) n’est pas exactement la même partout. Tous les pays européens en partagent l’orientation générale, mais pas la façon dont elle est appliquée concrètement n’est pas commune. Les exigences qui s’imposent à une entreprise sur le terrain dépendent toujours du pays concerné.

À quels niveaux y a-t-il des différences entre les pays ?

Surveillance : selon les États membres, l’autorité principale peut soit être intégrée à un organisme de régulation existant, soit incomber à un organisme spécialement dédié à la cybersécurité.

Signalement et enregistrement : les canaux de signalement et d’enregistrement peuvent varier d’un pays à l’autre.

Responsabilité de la direction et mesures coercitives : ces points peuvent également différer en fonction des pays.

Sanctions : la directive NIS2 définit le cadre plus large, mais les sanctions et les mesures coercitives dépendent encore en partie du droit national.

Qui est concerné ? Secteurs et entités couverts par la directive SRI2 (NIS2)

Dans la mesure où elle a une portée plus vaste que le texte précédent, la directive NIS2 peut concerner beaucoup plus d’entreprises qu’avant. Elle s’applique en effet à un large éventail d’entités essentielles et importantes qui occupent une place critique au niveau économique. La question de savoir qui est concerné par la directive NIS2 va donc désormais bien au-delà des seules infrastructures traditionnellement considérées comme essentielles.

Deux tableaux côte à côte présentant les différences entre les « entités essentielles » et les « entités importantes » telles qu’elles sont définies par la directive NIS2.

Le secteur n’est qu’un des éléments à considérer. La taille d’une société, son rôle dans l’économie et la manière dont la législation nationale a transposé la directive sont autant de points à prendre en compte. Pour un examen plus approfondi des seuils et des catégories, ainsi qu’une liste complète des secteurs concernés par la directive NIS2, consultez notre guide détaillé : NIS2 : Qui est concerné ?

Directive NIS2 : exigences et checkliste pour l’implémentation

Pour les entités concernées, la question n’est plus de savoir si la directive NIS2 est importante, mais à quel niveau elles doivent agir pour être en conformité. La réponse ne sera pas la même partout : si certaines entreprises disposent déjà d’une base solide, d’autres peuvent encore être en train de définir les responsabilités, d’identifier les services les plus faibles et de déterminer les points qui nécessitent d’être examinés en priorité.

En général, cette démarche n’avance pas très rapidement. La directive NIS2 va au-delà des simples contrôles techniques et s’étend à la gouvernance, au signalement, aux relations avec les fournisseurs et à la sensibilisation du personnel. Le travail de mise en conformité ne relève donc pas d’une seule personne, mais implique souvent plusieurs équipes. Pour bien commencer, il peut être utile de faire le point sur la situation actuelle. Ceci fait, les priorités se dessinent souvent plus clairement.

  • Définir clairement les responsabilités : il faut impliquer la direction, le service informatique, la sécurité et les prestataires de services concernés suffisamment tôt dans le processus. Veillez à définir clairement les responsabilités.
  • Évaluer la situation actuelle : faites le point sur vos systèmes critiques, les processus qui sont essentiels à votre fonctionnement et vos principaux liens de dépendance. Vous distinguerez ainsi plus clairement les domaines où il existe des contrôles qui fonctionnent déjà bien et ceux où les lacunes sont les plus évidentes.
  • Classer les mesures à prendre par ordre de priorité : traduisez les exigences de la directive NIS2 en un ensemble d’actions concrètes. Certaines seront d’ordre technique, d’autres procédurales ou organisationnelles.
  • Sensibiliser davantage : veillez à ce que le personnel soit conscient des principaux risques auxquels il est exposé au quotidien. Intégrez notamment les dirigeants et tous les collaborateurs de votre structure en leur faisant suivre une formation de sensibilisation adaptée.
  • Créer des preuves : consignez clairement dans un registre les mesures qui ont été prises, la façon dont elles sont appliquées et les points sur lesquels vous devez encore travailler.

Pour vous aider à structurer ce processus, n’hésitez pas à faire une checkliste détaillée reprenant les points de la directive NIS2. Vous aurez ainsi une vision plus claire des priorités, des responsabilités et des exigences en matière de preuves imposées par la directive NIS2. Ces cinq étapes constituent un bon point de départ, mais la plupart des entreprises auront besoin d’un document de travail plus détaillé pour passer de la planification à l’implémentation. C’est précisément dans ce but que nous avons conçu notre checkliste NIS2.

Conformité et certification NIS2 : comment prouver que les principes de sécurité sont respectés ?

De nombreuses entreprises cherchent à obtenir une certification NIS2 formelle qui prouverait qu’elles ont satisfait aux exigences de la directive. La réalité est plus complexe que cela. Il n’y a pas de certificat officiel qui attesterait d’une pleine conformité à la directive NIS2 et serait valable dans toutes les juridictions.

Ce que la directive exige, ce sont des preuves plus solides. Les entités doivent être en mesure de démontrer que leur gestion du cyber-risque est structurée, qu’elles ont pris des mesures appropriées et remplissent leurs obligations en cas d’incidents. Par conséquent, la conformité NIS2 ne peut pas être obtenue en une seule étape. Elle se construit au fil du temps et repose sur la gouvernance, la documentation et un souci quotidien de se tenir prêt.

Cela a également un impact sur la forme des audits NIS2. La documentation a toujours sa place, mais elle peut ne pas suffire à elle seule. Les entreprises peuvent avoir besoin d’attester comment elles appliquent les mesures au quotidien, qui est responsable des principaux points et la surveillance constante dont le risque fait l’objet.

Par conséquent, les cadres existants conservent leur importance. La norme ISO/CEI27001:2022 peut déjà fournir une structure aux entreprises disposant de processus de sécurité matures. La directive NIS2, cependant, va plus loin que la simple certification.

Les entités qui souhaitent savoir plus clairement à quoi la une conformité à la directive NIS2 les engage doivent généralement se pencher davantage sur les preuves à fournir, les contrôles et la gouvernance. Notre guide consacré à la conformité NIS2 détaille plus précisément ces points.

NIS2 Check in 3 minutes

Go to the NIS2 assessment

Not sure where your organisation stands on NIS2? Our free assessment can help spot gaps, prioritise next steps and prepare more confidently.

DORA ou SRI2 (NIS2) : quelles sont les différences ?

Certaines entités ne considèrent pas la directive NIS2 comme un texte isolé, mais cherchent à comprendre comment elle s’articule avec le règlement DORA (Digital Operational Resilience Act) et où se situe la frontière entre ces deux cadres. C’est cette question pratique qui a inspiré notre comparatif entre la directive NIS2 et le règlement DORA.

Ces deux cadres traitent du cyber-risque et de la résilience, mais ils ont été rédigés à des fins différentes et pour des secteurs différents de l’économie. La directive NIS2 a un large champ d’application qui couvre plusieurs secteurs. Le règlement DORA se concentre sur le secteur financier et sur certains fournisseurs tiers de TIC qui en sont les soutiens.

Le tableau ci-dessous récapitule les principales différences entre les deux textes :

Directive NIS2Règlement DORA
Qui est concerné ?Entités essentielles et importantes dans un large éventail de secteurs, notamment l’énergie, les transports, la santé et l’administration publiqueEntités financières, telles que les banques et les assureurs, ainsi que certains prestataires de services TIC tiers
Objectif principalRenforcer la cybersécurité et la résilience dans les secteurs critiques de l’économieRenforcer la résilience opérationnelle numérique dans le secteur financier
Objet du cadreGestion du risque, signalement des incidents, gouvernance et supervision dans de multiples secteursGestion du risque lié aux TIC, tests de résilience opérationnelle, signalement d’incidents et risques liés aux tiers dans le secteur financier
Modalités d’applicationMise en œuvre par la législation nationale des États membres de l’UES’applique directement en tant que règlement de l’UE
Relation avec d’autres règlesCadre large couvrant de nombreux secteursCadre spécifique au secteur des services financiers

La directive NIS2 adopte une approche intersectorielle plus large, tandis que le règlement DORA approfondit la résilience opérationnelle du secteur financier. Pour les entreprises qui se situent à la frontière entre ces deux cadres, l’approche la plus sûre consiste à vérifier en détail la position juridique qui s’applique.

Mention juridique : Cet article est fourni uniquement à titre d’information générale et ne constitue pas un avis juridique. Les entités ayant besoin de précisions sur leurs obligations au titre de la directive NIS2 doivent s’adresser à un avocat qualifié ou à l’autorité compétente de leur juridiction.

Vous voulez avoir toujours une longueur d’avance en matière de cybersécurité ?

Inscrivez-vous à notre newsletter pour tout savoir sur les actualités, les événements et les ressources disponibles en matière de cybersécurité. Zéro spam, du contenu 100 % utile.

Newsletter visual

La plateforme de gestion du risque humain pensée pour vos équipes et vos cas d’usage réels

Déjà client ?

Personnalisation complète selon votre charte IT et vos exigences règlementaires.

Modules e-learning gamifiés et personnalisés, exportables au format SCORM 1.2,adaptés à chaque métier.

Simulations de phishing ultra réalistes, créées à partir de vos propres emails et optimisées par l’IA.

Conformité et sécurité

ISO 27001
TISAX
GDPR

Découvrez nos produits de première main

Utilisez notre environnement de test en ligne pour voir comment notre plateforme peut vous aider à donner à votre équipe les moyens d’éviter en permanence les cybermenaces et de préserver la sécurité de votre organisation.

Produit

Formation de sensibilisation à la cybersécurité

Aidez votre équipe à développer de bonnes habitudes en matière de sécurité grâce à une formation de sensibilisation à la cybersécurité narrative, gamifiée et personnalisée.

Simulations de phishing intelligentes

Augmentez le temps de détection des menaces en apprenant à vos équipes à mieux les signaler.

Le copilote de gestion du risque humain disponible 24 h/24

Métamorphosez votre personnel en une ligne de défense proactive, grâce à Sofie, notre chatbot conversationnel augmenté à l’IA.

Outil de gestion du risque humain

Grâce à la plateforme Human Risk OS, surveillez, mesurez et freinez le risque humain en temps réel.

Découvrez nos solutions grâce à nos visites de produits

Démarrer les visites virtuelles
Solutions

Assurez votre conformité

Automatisez et accélérez votre mise en conformité

Instaurez une culture de la sécurité

Ancrez les réflexes de sécurité dans l’ADN de votre entreprise

Sensibilisation à la cybersécurité dans le secteur public

Préparez vos employé·e·s avec des scénarios réalistes

Découvrez tous les témoignages de nos clients

Parcourir
Tarification
Ressources

À lire

Rapports Guides Blog Lexique de la cybersécurité Témoignages clients Inscription à la newsletter

À vivre

Tous les événements Signal Security Summit Paris

À tester

Danger Lab

À regarder

Webinaires Interview d'expert

À LA UNE

Aidez vos équipes à adopter l’IA en toute sécurité

Développez votre littératie en IA pour protéger les données, la conformité et la réputation de votre
entreprise.

Voir nos ressources sur l’IA
Société

Devenez un cyber-héros

Envie d’avoir un réel impact ? Joignez-vous à l’aventure pour que le monde devienne plus sûr.

Joignez-vous à l’aventure pour que le monde devienne plus sûr.

Poser ma candidature
Partenariats
Contact Login
Languages

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.