Demander une démo Le Portail Infolegale Votre espace client
Demander une démo Le Portail Infolegale Votre espace client
Demander une démo Le Portail Infolegale

NIS 2 : qui est concerné par la nouvelle directive européenne ?

par Infolegale le 08/08/25 10:12

Qui est concerné par NIS 2 ?

NIS 2 : qui est concerné ?
15:40

La directive NIS2 est entrée en vigueur depuis le 17 octobre 2024. Celle-ci renforce la culture de la cybersécurité au sein des entreprises européennes. En d’autres termes, il s’agit de renforcer la cyber résilience des organisations, notamment celle des infrastructures essentielles et/ou critiques. 

Concrètement, deux groupes d’entités sont concernés par NIS 2 : lesquels et qu’est-ce que cela implique pour eux ? Infolegale fait le point sur la récente directive européenne.  

Qu’est-ce que la directive NIS 2 ?  

NIS 2 c’est la directive vers laquelle de nombreuses entités ont les yeux tournés depuis plusieurs mois. En effet, la fin de l’année 2024 et le début de l’année 2025 ont été marqués par des évolutions majeures en termes de cybersécurité. La nouvelle directive NIS 2 vient remplacer NIS 1 et renforcer un certain nombre d’obligations pour les entreprises concernées. 

Une mise à jour de la directive NIS de 2016  

L’objectif de la directive NIS 2 est de reprendre la directive NIS 1 de 2016 afin d’harmoniser et de renforcer davantage les obligations des États membres de l’Union Européenne. 

NIS 2 : davantage d'entreprises concernées par rapport à NIS 1

En effet, NIS 2 se différencie de la première directive du même nom, notamment en termes de couverture, sanctions et obligations. Les sanctions en cas de non-conformité sont bien plus sévères pour les entités concernées par NIS 2. De la même manière, le champ d’application se voit élargi, puis qu’à présent la directive ne s’applique plus uniquement aux opérateurs de services essentiels.  

NIS 2 concerne à présent toutes les entreprises qui fournissent des services essentiels ou importants, ce qui représente un certain nombre de secteurs d’activité.  

Enfin, NIS 2 s’avère beaucoup plus exigeante que son ancêtre en termes d’obligations : 

  • Gestion des risques = les entreprises concernées par NIS 2 se doivent se mettre en place des dispositifs leur permettant de maîtriser les risques cyber, notamment ceux induits par leurs tierces parties.  
  • Signalement des incidents cyber = les organisations concernées par NIS 2 doivent également signaler tout incident cyber au régulateur de leur pays. En France, les signalements doivent être faits à l’ANSSI. 
  • Gouvernance d’entreprise = les États membres de l’Union Européenne concernés par cette nouvelle directive se doivent de s’assurer que les entités essentielles et importantes se forment correctement et que des formations sont également proposées à l’ensemble des collaborateurs. 

Pourquoi cette nouvelle version ?  

Cette évolution de la directive européenne fait suite à la recrudescence des attaques cyber à haute échelle. Depuis le Covid-19, les techniques des hackers ne font qu’évoluer et les entreprises de toutes tailles sont régulièrement visées par des cyberattaques pouvant fortement perturber, voire stopper complètement, leur activité.  

L’objectif des pirates informatiques étant de viser une supply chain, en passant par les maillons les plus faibles pour pouvoir accéder aux plus grandes entreprises susceptibles de leur apporter un maximum de revenus.  

De toute évidence, NIS 2 s’inscrit dans une démarche de cadrage plus strict de la cybersécurité au sein des entreprises dans les pays européens. Pourquoi ? Parce que cela permet en cas d’attaque d’assurer la continuité des activités des entités essentielles et importantes.  

Qui est concerné par la directive NIS 2 ?   

Toutes les entreprises ne sont pas forcément concernées par NIS 2, bien qu’une très grande majorité d’organisations puissent se retrouver dans les secteurs d’activité déterminés par l’ANSSI. En effet, le régulateur évoque deux types d’entités : les entités essentielles et les entités importantes.  

Les secteurs couverts par la directive  

NIS 2 s’applique aux administrations publiques, collectivités territoriales et aux entreprises faisant partie de secteurs clés, considérés comme essentiels voire critiques. Ces deux groupes d’entités sont les entités essentielles (EE) et les entités importantes (EI)

Les entités essentielles, sont les entités considérées comme hautement critiques : 

  • Administrations publiques 
  • Gestion des eaux potables 
  • Infrastructures numériques 
  • Gestion des services TIC 
  • Secteur bancaire 
  • Espace 
  • Énergies 
  • Marchés financiers 
  • Santé 
  • Transports 

Les entités importantes, quant à elles, sont également considérées comme critiques, mais à un moindre niveau : 

  • Fabrication, production et distribution de produits chimiques 
  • Production, transformation et distribution de denrées alimentaires 
  • Fournisseurs numériques 
  • Gestion de déchets 
  • Industrie manufacturière 
  • Services postaux et d’expédition 

Au-delà des secteurs d’activité, entrent aussi en compte la taille et le statut juridique des entreprises. Toutes les entreprises de distribution de denrées alimentaires ne doivent pas, par exemple, se conformer à NIS 2. Attention toutefois, car les petites entreprises peuvent être concernées ! 

💡Vous ne savez pas si votre entreprise correspond à l’un des groupes d’entités concerné par NIS 2 ? 

L’ANSSI met à disposition des entreprises un simulateur en ligne : https://monespacenis2.cyber.gouv.fr/simulateur

 

Taille et statut juridique de entreprises visées  

Les entreprises concernées par NIS 2 sont celles de plus de 50 salariés ou avec un chiffre d’affaires supérieur ou égal à 10 M€. À noter que les prestataires et fournisseurs critiques de ces structures, sont également inclus dans les obligations de NIS 2, et ce y compris dans les chaînes de sous-traitance. 

Concrètement, qu’est-ce que cela veut dire ? Que les sociétés avec qui travaillent les entreprises concernées par NIS 2, donc par exemple une entité essentielle, doivent, elles aussi, pouvoir montrer « patte blanche » en termes d’actions mises en place pour la cybersécurité. Pour s’assurer de cela, les entreprises visées soumise à la réglementation par NIS 2 doivent notamment faire un audit de leurs tiers afin de mesurer leur cyber vulnérabilité. 

Le saviez-vous ? Une TPE peut être concernée par NIS 2   

Oui ! D’autant plus que les TPE et PME sont les typologies d’entreprises les plus visées par les cyberattaques puisque celles-ci sont souvent moins bien préparées en termes de cybersécurité et sont donc des portes d’entrée faciles vers de plus gros groupes. 

 

Quelles sont les obligations des entreprises concernées par NIS 2 ?   

Les entreprises concernées par NIS 2 doivent répondre à un certain nombre d’obligations. Comme évoqué précédemment, elles doivent répondre à un code de conduite en matière de gouvernance, gestion des risques et surveillance des incidents liés à la cybersécurité.  

Gouvernance et gestion des risques  

Dans un premier temps, ceux concernés par la directive NIS 2 se doivent de mettre en place une gouvernance en matière de gestion des risques cyber. Cela passe notamment par la formation des collaborateurs aux problématiques de cybersécurité.  

NIS 2 : les entreprises concernées doivent se former continuellement à la cybersécurité

Les dirigeants doivent évidemment être impliqués dans le processus, également via la formation puisque leur responsabilité pénale peut être engagée dans le cas où il y aurait un incident majeur ou en cas de contrôle par l’ANSSI.  

Concrètement, les entités essentielles et importantes qui sont concernées par NIS 2 doivent s’armer face à la menace cyber croissante, sous peine de potentielles lourdes sanctions par le régulateur, en France l’Agence Nationale de la Sécurité des Systèmes d’Information.

Surveillance, détection, réponse aux incidents  

L’autre grand pilier en termes d’obligations vis-à-vis de NIS 2 est la surveillance proactive des tiers dans le but de pouvoir détecter au plus vite d’éventuels incidents impactant la chaîne d’approvisionnement et donc y répondre efficacement. 

Cela s’inscrit également dans le processus de signalement des incidents cyber obligatoire. Les entités concernées par NIS 2 doivent : 

  • Journaliser et détecter les incidents cyber 
  • Effectuer un reporting sous 24h en cas d’anomalie détectée 

Comment faire ? Tout simplement en évaluant régulièrement la sécurité de son organisation et surtout de ses tiers. Il est plus simple de mettre en place des processus de vérification et de formation en interne pour pouvoir assurer sa propre cyber résilience, mais il est tout aussi important de le faire pour ses partenaires, fournisseurs et clients.  

De toute évidence, chaque maillon de la supply chain est aujourd’hui interconnecté, puisque nous évoluons dans un monde 100% digital. Pourvoir s’assurer qu'il n'y aura pas de cyberattaque sur les tiers
à cause de leur vulnérabilité, c’est donc l’une des portes d’entrées à la mise en conformité NIS 2

 

Pourquoi et comment évaluer la cyber vulnérabilité des tiers ?  

Évaluer la cyber vulnérabilité de ses tiers est l’une des priorités dans le cadre de sa mise en conformité avec NIS 2. Les relations d’affaires sont effectivement des portes d’entrées pour les cyberattaques, notamment lorsque les partenaires commerciaux sont peu matures à ce niveau. Pouvoir évaluer la cyber hygiène de ses tiers, c’est donc assurer sa propre cyber résilience. 

Les tiers comme point d’entrée pour les cyberattaques  

L’actualité récente montre que certains tiers sont les portes d’entrée parfaites pour les cyberattaques de plus grande envergure. Les hackers visent les maillons les moins bien préparés de la supply chain pour essayer d’atteindre les plus grosses structures, avec les données les plus sensibles et susceptibles de payer de plus grandes rançons. 

C’est pour cette raison que la directive NIS 2 comprend un volet sur l’évaluation de la sécurité des sous-traitants et fournisseurs critiques.  

📌 Attaque cyber de la société Octave : de lourdes conséquences 

La société Octave a été visée en août 2024 par un ransomware. Cela a eu bien sûr un fort impact sur la société elle-même, dont le service informatique s’est retrouvé piégé, sans pouvoir résoudre la situation. De nombreuses données à caractère personnel ont été mises en péril, obligeant les partenaires de la société à alerter rapidement la CNIL pour la protection de leurs données. La conséquence de cette cyberattaque ? De nombreuses boutiques en ligne partenaires d’Octave étaient hors service pendant plusieurs jours, les obligeant à honorer les commandes des clients par téléphone et à la main. 

Quelques mois plus tard, une fois le ransomware démantelé, Octave entre en liquidation judiciaire, incapable de se relever de cette cyberattaque qui aura eu trop d’impact financier sur la structure. 

 

Une démarche facilitée grâce à des outils dédiés  

L’audit de ses partenaires commerciaux du point de vue cyber peut parfois s’avérer compliqué. En effet, des questionnaires peuvent être envoyés, couplés du « zero trust » en exigeant un certain nombre de garanties (certifications de cybersécurité, par exemple). Quoi qu’il en soit, cela demande aux services concernés du temps et des ressources humaines. 

C’est pourquoi, des outils existent pour faciliter les process des entreprises souhaitant se conformer à NIS 2 et assurer la cyber résilience de leur entreprise. Le produit Infolegale Cyber, développé en partenariat avec SecurityScorecard permet de surveiller proactivement la surface d’attaque des tiers, notamment via un scoring de vulnérabilité cyber. 

De cette manière, l’évaluation des partenaires commerciaux se fait en temps réel, aidant fortement à la priorisation des actions correctrices. 

découvrez cyber le produit Infolegale d'évaluation de la cyber vulnérabilité de vos tiers

Comment et quand se mettre en conformité avec NIS 2 ?   

Récapitulons quand et comment se mettre en conformité avec NIS 2 pour les entreprises concernées. 

Les étapes clés pour les entreprises concernées   

Les entreprises concernées par la directive NIS 2 doivent :  

  1. Établir une cartographie des risques et des tiers. 
  2. Mise en place d’un programme de gouvernance cyber pour impliquer toutes les parties prenantes. 
  3. Identifier les partenaires à auditer en priorité (grâce à des outils de surveillance dédiés, par exemple). 
💡 Bien que l’application définitive de NIS 2 ne soit que dans quelques mois, il convient de s’y prendre à l’avance pour être certain de pouvoir mettre en place tous les correctifs et toutes les actions de mise en conformité.  

 

L’importance d’une démarche continue  

NIS 2 n’est pas une conformité ponctuelle : il s’agit d’une vigilance sur la durée. Les entités concernées par NIS 2 doivent donc mettre en place un plan d’action sur le long terme. Voilà pourquoi les outils permettant d’opérer une surveillance en continu et en temps réel ont tout leur sens dans ce processus de mise en conformité.  

De plus, le produit Cyber permet également d’avoir un suivi de ses tiers en termes de vulnérabilité cyber et de voir les améliorations ou au contraire des évolutions négatives dans leur note. Les entreprises peuvent ainsi s’inscrire dans un process d’amélioration continue et surtout peuvent à tout moment prouver aux régulateurs leur investissement dans l’évaluation cyber de leurs tiers.  

prenez en main le risk management de votre entreprise, à 360°

Les questions les plus fréquentes sur la directive NIS 2  

Quelles sont les questions les plus fréquentes sur la directive NIS 2 ?  

Qui est exempté de la directive NIS 2 ?  

Les entreprises exemptées par NIS 2 sont : 

  • Les entreprises n’étant pas considérées comme opérateur de service essentiel (OSE) tel que défini dans la précédente NIS 1. 
  • Les sociétés ne figurant pas parmi les secteurs d’activité définis comme Entités Essentielles (EE) ou Entités Importantes (EI). 
  • Les entreprises ne figurant pas dans l’annexe 1 ou 2 de la directive. 

Par ailleurs, les micro-entreprises et les petites entreprises ne sont généralement pas directement concernées mais attention : des exceptions sont prévues par NIS 2, notamment pour les TPE/PME collaborant avec de plus grandes structures considérées, elles, comme EE ou EI. 

Quelle est la différence entre NIS 1 et NIS 2 ?  

NIS 1 est la première version de la directive qui devient, aujourd’hui NIS 2. La directive NIS 1 visait notamment les Opérateurs de Services Essentiels (OSE) ainsi que les Fournisseurs de Services Numériques (FSN). NIS 2 quant à elle élargi beaucoup plus son champ d’application pour inclure davantage de secteurs d’activité. Aussi, au niveau national, la directive NIS 2 prend beaucoup plus d’ampleur que son ancêtre. 

💡 La réglementation DORA est également entrée en vigueur depuis janvier 2025. Cette réglementation à échelle européenne également concerne tout particulièrement le secteur bancaire et nécessite aussi d’opérer une surveillance proactive de ses tiers. 

 

Que risque une entreprise non conforme ?  

Une entreprise non conforme à NIS 2 risque des sanctions plus ou moins lourdes : 

  • 10M€ ou 2% du CA mondial pour les Entités Essentielles (EE). 
  • 7M€ ou 1,4% du CA mondial pour les Entités Importantes (EI). 

Quels sont les délais de mise en conformité ?  

Les entreprises doivent avoir mis en place des processus pour être conformes à NIS 2 depuis le 17 octobre 2024. 
Article précédent
← KYC : la connaissance client au service du secteur financier
Les étapes clés du métier de credit manager. 1 : l’évaluation de la solvabilité
couverture-20-metier-credit-manager-etape-1-evaluation-solvabilite
Risque client

Les étapes clés du métier de credit manager. 1 : l’évaluation de la solvabilité

04/10/18 12:00 3 min à lire
Enjeux conformité : simplifiez vos procédures
interview-procedures-conformite-plateforme-compliance-infolegale
Conformité

Enjeux conformité : simplifiez vos procédures

17/04/19 15:32 3 min à lire
L'IA, la nouvelle cybermenace pour les entreprises
IA : nouvelle cybermenace pour les entreprises
Risque client

L'IA, la nouvelle cybermenace pour les entreprises

26/03/25 17:22 9 min à lire

M'abonner à la newsletter

Pas encore de commentaire

Votre avis nous intéresse !