La directive NIS2 constitue une initiative de l'Union européenne visant à transformer la cybersécurité, qui relève actuellement d'un ensemble disparate de règles nationales, en un cadre de résilience plus cohérent. Elle élargit le champ d'application à un plus grand nombre de secteurs, renforce les obligations en matière de gouvernance et dote les autorités de régulation d'outils de contrôle plus efficaces, à un moment où le risque cybernétique est indissociable de la continuité des activités.

La directive NIS2, officiellement Directive (UE) 2022/2555, constitue le cadre révisé de l’Union européenne visant à sécuriser les réseaux et les systèmes d’information dans les secteurs critiques. Elle est entrée en vigueur en janvier 2023, avec une obligation de transposition par les États membres au 17 octobre 2024, et a abrogé la directive NIS1 à compter du 18 octobre 2024. Son objectif principal est d’élever le niveau global de cybersécurité au sein de l’Union en fixant des obligations plus claires pour les entités publiques et privées dont la perturbation pourrait avoir des conséquences économiques ou sociétales majeures.

D’un premier cadre à une approche renforcée

Adoptée en 2016, la directive NIS1 constituait la première législation européenne d’envergure en matière de cybersécurité. Elle a posé les bases en imposant la mise en place de stratégies nationales de cybersécurité, d’autorités compétentes, de points de contact uniques et de CSIRT (Computer Security Incident Response Teams), des équipes spécialisées chargées de détecter, gérer et coordonner la réponse aux incidents cyber. En parallèle de ce cadre institutionnel, la directive imposait des obligations en matière de sécurité et de notification d’incidents aux opérateurs de services essentiels et à certains fournisseurs de services numériques. En pratique, elle laissait toutefois une large marge d’interprétation aux États membres, notamment sur la désignation des entités essentielles et les modalités de supervision. Cette flexibilité a permis de lancer le dispositif, mais elle a également entraîné une fragmentation.

Gros plan sur une interface numérique affichant le menu “Settings” avec un curseur en forme de main pointant vers l’option de configuration.

La directive NIS2 répond à ces limites. Ce nouveau texte élargit le périmètre, clarifie les entités concernées, renforce les pouvoirs de supervision et met beaucoup plus l’accent sur la responsabilité des instances dirigeantes. La Commission européenne résume cette évolution en trois points : un champ d’application élargi, des règles plus claires et des outils de supervision renforcés. Il s’agit également d’une législation plus opérationnelle, intégrant dans un même cadre de conformité la responsabilité au niveau des directions, la sécurité des chaînes d’approvisionnement et la continuité d’activité.

Ce changement est important, car la directive NIS2 s’éloigne de la distinction plus restreinte de NIS1 entre opérateurs de services essentiels et fournisseurs de services numériques. Elle introduit désormais les catégories d’entités essentielles et importantes, englobant généralement les organisations de taille moyenne et grande dans des secteurs définis. Cela permet une approche plus automatique et harmonisée, même si la mise en œuvre au niveau national continue d’en préciser les modalités.

Qui est concerné et quelles sont les obligations

La directive couvre désormais 18 secteurs. Les secteurs hautement critiques incluent l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC, l’administration publique et le spatial. D’autres secteurs critiques comprennent les services postaux et de messagerie, la gestion des déchets, la chimie, l’agroalimentaire, l’industrie manufacturière, les fournisseurs numériques et la recherche. Par rapport à NIS1, il s’agit d’une extension significative, notamment vers l’administration publique, les eaux usées, le spatial, les services postaux ainsi qu’un éventail élargi d’activités numériques et industrielles.

Les obligations sont également plus larges et plus détaillées. Les entités essentielles et importantes doivent mettre en place des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques et de limiter l’impact des incidents. Concrètement, cela implique des politiques en matière d’analyse des risques, de gestion des incidents, de continuité d’activité et de gestion de crise, de sécurité de la chaîne d’approvisionnement, de gestion et de divulgation des vulnérabilités, de contrôle d’accès, d’authentification, de chiffrement et de formation du personnel. Les instances dirigeantes doivent approuver ces mesures, en superviser la mise en œuvre et développer une compréhension suffisante de la cybersécurité pour exercer efficacement ce rôle. La directive NIS2 considère ainsi la résilience cyber non plus comme un simple enjeu technique, mais comme une question de gouvernance d’entreprise.

Les obligations de notification sont également renforcées. La directive met en place un régime plus structuré de signalement des incidents et s’appuie, pour certains secteurs numériques, sur des règles d’exécution au niveau européen. Les orientations techniques publiées en juin 2025 par ENISA, l’Agence de l’Union européenne pour la cybersécurité chargée d’accompagner les États membres, les institutions européennes et les organisations dans le renforcement de leurs capacités et de leur coopération en matière de cybersécurité, visent à aider les entités concernées à traduire les exigences de la directive en preuves, contrôles et pratiques opérationnelles. Cette publication reflète également un processus de consultation avec l’industrie, montrant que la phase de mise en œuvre s’inscrit déjà dans un dialogue entre législateurs, régulateurs et acteurs du terrain.

Sanctions, retards et premiers retours

Sur le papier, la directive NIS2 est contraignante. Les États membres doivent prévoir des amendes administratives d’au moins 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, selon le montant le plus élevé, et d’au moins 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités importantes. Le dispositif prévoit également des mesures non financières, telles que des injonctions de conformité, des audits et, dans certains cas, des interdictions temporaires affectant les responsabilités de la direction.

Depuis sa mise en œuvre, toutefois, les sanctions les plus visibles ont principalement concerné les États eux-mêmes plutôt que les entreprises. De nombreux États membres n’ont pas respecté la date limite de transposition du 17 octobre 2024. La Commission a d’abord engagé des procédures d’infraction fin 2024, puis adressé des avis motivés à 19 États membres le 7 mai 2025 pour non-notification complète. En mars 2026, la situation restait inégale, la Commission poursuivant des actions dans au moins un cas supplémentaire, celui de la Lituanie. En d’autres termes, l’application de la directive a commencé, mais elle se concentre encore largement sur les mécanismes de mise en œuvre plutôt que sur des sanctions majeures à l’encontre des entreprises.

Les retours depuis son déploiement sont globalement favorables quant à l’ambition de la directive, tout en soulignant les contraintes qu’elle impose. Le groupe consultatif d’ENISA a indiqué en 2025 que les divergences entre États membres et secteurs continuaient de créer une complexité inutile. Le rapport NIS Investments 2025 d’ENISA a également identifié la gestion des correctifs, la continuité d’activité et les risques liés à la chaîne d’approvisionnement comme les domaines les plus difficiles pour les organisations, beaucoup restant en retard sur les évaluations régulières et la rapidité de remédiation. Ces constats expliquent en partie pourquoi la Commission a proposé, le 20 janvier 2026, des ajustements ciblés visant à simplifier les règles de juridiction, à rationaliser la collecte de données liées aux ransomwares et à renforcer le rôle de coordination d’ENISA pour la supervision transfrontalière.

Implications pour les opérations de sécurité intérieure

Pour les acteurs de la sécurité intérieure, la directive NIS2 fait passer la cybersécurité d’une fonction de support à un élément central de la résilience opérationnelle. Les autorités publiques, les services d’urgence et les opérateurs d’infrastructures critiques sont désormais plus explicitement concernés, soit en tant qu’entités essentielles, soit en tant que maillons de chaînes d’approvisionnement interconnectées. Cela signifie que le risque cyber n’est plus traité isolément, mais comme un facteur pouvant directement affecter la continuité de l’État, la gestion de crise et la sécurité publique.

Concrètement, la directive impose aux organisations de sécurité intérieure de formaliser la gestion des risques de manière à l’aligner avec la planification opérationnelle. Les procédures de réponse aux incidents doivent être intégrées aux dispositifs de gestion de crise, afin de garantir que les incidents cyber soient traités avec le même niveau de coordination que les urgences physiques.

Cube jaune posé sur un clavier d’ordinateur avec une jauge de risque allant de faible à élevé, illustrant la gestion des risques numériques.

Cela implique notamment des protocoles d’escalade plus clairs, des délais de signalement plus rapides et une interaction renforcée avec les autorités nationales et les équipes de réponse aux incidents de sécurité informatique (CSIRT). L’accent mis sur la continuité d’activité pousse également les organisations à anticiper l’impact des perturbations numériques sur les structures de commandement, les communications et les opérations de terrain.

La sécurité de la chaîne d’approvisionnement constitue un autre changement majeur. De nombreuses capacités en matière de sécurité intérieure reposent sur des fournisseurs technologiques externes, des systèmes de communication aux plateformes de données. La directive NIS2 impose aux organisations d’évaluer et de gérer le niveau de cybersécurité de ces prestataires, étendant ainsi la supervision au-delà de leur périmètre immédiat. Cela a des implications en matière d’achats, de gestion contractuelle et de suivi continu, en particulier dans des environnements impliquant des systèmes sensibles ou critiques.

Au niveau de la gouvernance, la directive renforce la responsabilité des instances dirigeantes. Les organes de direction doivent approuver les mesures de cybersécurité et en superviser la mise en œuvre, ce qui élève de facto le risque cyber au rang d’enjeu stratégique. Pour les institutions de sécurité intérieure, cela souligne la nécessité d’une coordination étroite entre experts techniques et décideurs, afin d’intégrer pleinement la cybersécurité dans les politiques, la planification et les doctrines opérationnelles.

NIS2 constitue un modèle opérationnel en évolution pour la résilience cyber européenne, qui transforme déjà la manière dont les secteurs critiques gèrent le risque numérique, documentent leur résilience et se préparent aux contrôles. Pour les professionnels de la sécurité, les régulateurs et les acteurs industriels, il ne s’agit plus seulement d’un sujet de conformité. C’est un élément d’une réflexion stratégique plus large sur la confiance, la continuité et la souveraineté, au cœur des enjeux abordés par Milipol Paris.

Crédits images :

Pixabay - Pexels

Markus Spiske - Unsplash

Sasun Bughdaryan - Unsplash

Les Milipol Innovation Awards mettent à l'honneur l'IA vérifiable
Signaux mondiaux : l’ACMOSS français dans le contexte de la modernisation des réseaux à l’échelle mondiale