ACFACF ComplianceAI Governance
ProduitCouvertureACF StandardTarifsDiagnostic FlashContactSe connecter
Démarrer gratuitement
Retour à la couverture
Directive (UE) 2022/2555

NIS2

Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union

EUEEAVoir la régulation officielle
articles documentés
10
obligations actionnables
10
niveaux de sanction
3
En vigueur depuis
2024-10-18

Périmètre d'application

Entités concernées

  • essential_entity
  • important_entity

Seuils d'application

  • Entités essentielles : secteurs Annexe I (énergie, transport, banque, infrastructure financière, santé, eau potable, eaux usées, infrastructures numériques, ICT B2B, espace, administration publique) - large entreprise (>= 250 employés ou CA > 50 M€ ou bilan > 43 M€)
  • Entités importantes : secteurs Annexe I (taille moyenne) + secteurs Annexe II (services postaux, gestion des déchets, chimie, alimentation, fabrication, fournisseurs numériques, recherche) - moyenne entreprise (>= 50 employés ou CA > 10 M€)
  • Indépendamment de la taille : registres et bureaux d'enregistrement de noms de domaine (« registrars TLD »), DNS, certains administrations publiques, entités uniques fournisseur d'un service essentiel, prestataires de services de confiance qualifiés (« qualified trust service providers » au sens eIDAS)

Exemptions

  • Entités couvertes par DORA (régime lex specialis pour secteur financier, art. 4 NIS2)
  • Microentreprises et petites entreprises (sauf exceptions ci-dessus, art. 2(2-3))
  • Activités concernant la sécurité nationale, l'ordre public, la défense et l'application de la loi (art. 2(7-8))
Articles clés

10 articles documentés

Articles structurants documentés dans la cartographie ACF.

Art. 3

Identification des entités essentielles et importantes

Les États membres établissent une liste d'entités essentielles et importantes. Mécanisme d'auto-enregistrement obligatoire avant le 17 avril 2025.

Obligations
  • Réaliser une auto-évaluation pour déterminer si l'entité est essentielle ou importante
  • S'enregistrer auprès de l'autorité compétente nationale (en France : ANSSI / CSIRT-FR)
Art. 20

Responsabilité des organes de direction

Les membres des organes de direction approuvent les mesures de gestion des risques et supervisent leur mise en œuvre. Ils peuvent être tenus personnellement responsables. Formation cyber obligatoire.

Obligations
  • Faire approuver les mesures de cybersécurité par l'organe de direction
  • Former régulièrement les dirigeants aux risques cyber
  • Étendre la formation aux employés proportionnellement
Art. 21

Mesures de gestion des risques en matière de cybersécurité

10 catégories de mesures techniques, opérationnelles et organisationnelles : politiques de risque, traitement incidents, continuité d'activité et gestion de crise, sécurité chaîne d'approvisionnement, sécurité acquisition / développement / maintenance des systèmes, évaluation de l'efficacité, hygiène cyber et formation, cryptographie, sécurité des ressources humaines / accès / actifs, MFA, sécurité communications.

Obligations
  • Adopter une politique de gestion du risque cyber
  • Documenter le traitement des incidents (détection, analyse, containment, eradication, post-mortem)
  • Mettre en place un plan de continuité d'activité et de gestion de crise
  • Gérer le risque chaîne d'approvisionnement (audits, exigences contractuelles)
  • Sécuriser développement et maintenance (SDLC sécurisé, gestion des vulnérabilités)
  • Évaluer régulièrement l'efficacité des mesures (audits, tests, revues)
  • Imposer hygiène cyber et formations régulières
  • Adopter des politiques de cryptographie et de chiffrement
  • Mettre en place authentification multifactorielle et SSO sécurisé pour accès sensibles
  • Sécuriser les communications (voix, vidéo, texte) et systèmes de communication d'urgence
Art. 23

Obligation d'information en cas d'incident

Trois étapes de notification au CSIRT national ou autorité compétente : alerte précoce sous 24 heures, notification incident sous 72 heures, rapport final sous 1 mois. Incidents significatifs : impact substantiel sur la fourniture des services.

Obligations
  • Alerte précoce au CSIRT national sous 24h
  • Notification incident significatif sous 72h (avec évaluation initiale)
  • Rapport final sous 1 mois (incluant cause, gravité, impact, mesures)
  • Informer les bénéficiaires de service quand l'incident peut affecter la fourniture (art. 23(2))
Art. 24

Utilisation des schémas européens de certification cybersécurité

Les États membres peuvent exiger l'utilisation de produits, services ou processus ICT certifiés selon les schémas EUCS / EU 5G / EUCC en cours de finalisation.

Obligations
  • Surveiller la publication des schémas de certification EUCS
  • Anticiper l'intégration des produits certifiés dans les chaînes d'approvisionnement critiques
Art. 27-28

Base de données des noms de domaine et bureaux d'enregistrement (« registrars »)

Les registres de noms de domaine de premier niveau (« TLD registries ») et bureaux d'enregistrement (« registrars ») maintiennent des données d'enregistrement précises et complètes, et les communiquent aux entités légitimes (demandes d'accès légitime / « legitimate access requests »).

Obligations
  • Maintenir une base de données à jour des titulaires de noms de domaine (« registrants »)
  • Mettre en place un processus de demande d'accès légitime
Art. 30

Échange volontaire d'informations sur la cybersécurité

Échange volontaire entre entités essentielles, importantes, ou autres, dans un cadre protégé. CSIRTs et autorités encouragent et facilitent ces échanges.

Obligations
  • Évaluer l'intérêt d'intégrer un centre sectoriel de partage et d'analyse d'information (« ISAC » - Information Sharing and Analysis Center) ou groupe sectoriel
  • Encadrer les échanges (NDA, anonymisation, conformité RGPD)
Art. 31-33

Pouvoirs de supervision et d'exécution

Autorités compétentes disposent de pouvoirs étendus : audits, demandes d'information, inspections sur place, ordres correctifs, suspension de certifications. Régime distinct pour entités essentielles (supervision ex ante) et importantes (ex post).

Obligations
  • Coopérer avec les autorités de supervision
  • Mettre en œuvre les mesures correctives dans les délais imposés
  • Désigner un point de contact responsable de la conformité NIS2
Art. 34

Sanctions administratives

Sanctions pécuniaires : entités essentielles 10 M€ ou 2 % CA mondial annuel total (plus élevé), entités importantes 7 M€ ou 1,4 % CA. Suspension de certification ou de fonction de gestion possible.

Obligations
  • Anticiper et provisionner le risque administratif
  • Documenter les mesures correctives après avertissement
Art. 21(2)(d) et (3)

Sécurité de la chaîne d'approvisionnement

Inclusion de la sécurité des relations avec les fournisseurs et prestataires directs comme une mesure obligatoire. États membres peuvent imposer des exigences spécifiques pour services critiques (ENISA / cooperation group).

Obligations
  • Inventaire des fournisseurs critiques
  • Inclure exigences cyber dans les contrats
  • Auditer la conformité des fournisseurs critiques
Obligations transverses

10 obligations actionnables

Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.

  • GouvernanceArt. 3

    S'enregistrer auprès de l'autorité compétente nationale (art. 3)

  • GouvernanceArt. 20

    Faire approuver et superviser les mesures de cybersécurité par l'organe de direction (art. 20)

  • GouvernanceArt. 20

    Former régulièrement dirigeants et employés aux risques cyber (art. 20(2))

  • TechniqueArt. 21

    Mettre en place les 10 catégories de mesures cybersécurité (art. 21)

  • GouvernanceArt. 21

    Gérer la sécurité de la chaîne d'approvisionnement (art. 21(2)(d) et (3))

  • ProcessArt. 21

    Mettre en place un plan de continuité d'activité et de gestion de crise (art. 21(2)(c))

  • NotificationArt. 23

    Alerte précoce au CSIRT national sous 24h en cas d'incident significatif (art. 23)

  • NotificationArt. 23

    Notification incident sous 72h, rapport final sous 1 mois (art. 23)

  • DocumentationArt. 21

    Documenter l'évaluation de l'efficacité des mesures (audits, tests, revues) (art. 21(2)(f))

  • TechniqueArt. 21

    Mettre en place MFA et SSO sécurisé pour les accès sensibles (art. 21(2)(j))

Sanctions

Montants maximaux applicables selon les articles fixés par le texte.

Base légale · Art. 34(4)
10 M€ ou 2 % du CA mondial annuel total (le plus élevé)

Entités essentielles - violations art. 21 et 23

Base légale · Art. 34(5)
7 M€ ou 1,4 % du CA mondial annuel total (le plus élevé)

Entités importantes - violations art. 21 et 23

Base légale · Art. 32(5), Art. 34(6)
Mesures non pécuniaires complémentaires

Astreintes périodiques, suspension de certifications, suspension temporaire de fonction de direction

Articulation avec l'AI Act

NIS2 et l'AI Act se rencontrent lorsqu'une entité essentielle ou importante déploie un système IA susceptible d'affecter la sécurité de ses services. Articulation pratique : (1) la cybersécurité des systèmes IA haut-risque (AI Act art. 15) est inclue dans les mesures de gestion du risque NIS2 (art. 21(2)(e) et (i)) ; (2) la sécurité de la chaîne d'approvisionnement NIS2 (art. 21(2)(d)) doit considérer les fournisseurs de modèles GPAI au sens AI Act art. 53 ; (3) les notifications d'incident NIS2 (art. 23) sont distinctes des notifications AI Act art. 73 (incidents graves) - les deux peuvent être cumulatives et doivent être coordonnées (timing 24h / 72h NIS2 versus 15 jours AI Act).

Retour à /coverageLancer le Diagnostic FlashDiscuter de votre périmètre
NIS2 (Directive (UE) 2022/2555) — ACF Compliance | ACF Compliance