NIS 2 : de quoi parle-t-on exactement, et pourquoi tant d’entreprises n’arrivent pas à se situer ?

La directive NIS 2 est désormais bien présente dans les échanges autour de la cybersécurité et de la conformité. Elle est citée, commentée, parfois anticipée. Pourtant, lorsqu’il s’agit d’en parler concrètement, une même hésitation revient souvent. Beaucoup d’entreprises savent que NIS 2 existe. Peu sont capables d’expliquer précisément ce qu’elle implique pour elles. Entre cadre européen, transposition nationale, catégories d’entités, secteurs concernés et exigences attendues, la directive laisse place à une zone grise. Non pas par manque d’informations, mais parce que celles-ci sont rarement présentées de manière lisible et directement applicable aux réalités des organisations. Avant de parler de mise en conformité ou de feuille de route, une question plus fondamentale se pose alors : de quoi parle-t-on exactement lorsqu’on parle de NIS 2 ?

Qu’est-ce que la directive NIS 2 ?

La directive (UE) 2022/2555, connue sous le nom de NIS 2 (en anglais : Network and Information Security et en français : sécurité des réseaux et des systèmes d’Information) est un texte réglementaire européen visant à renforcer le niveau global de cybersécurité au sein de l’Union européenne. Elle s’inscrit dans la continuité de la directive NIS 1, qu’elle remplace, tout en élargissant de manière significative son périmètre et ses exigences.

Son objectif est clair : mieux protéger les réseaux et les systèmes d’information utilisés pour fournir des services essentiels au fonctionnement de nos sociétés, dans un contexte de menace cyber croissante. Contrairement à une norme volontaire ou à un référentiel de bonnes pratiques, NIS 2 impose aux États membres de définir des règles contraignantes applicables à certaines catégories d’entités. Elle repose sur un socle commun d’exigences juridiques, techniques et organisationnelles, adaptées au niveau de risque et à la criticité des activités concernées.

En France, la transposition de la directive est pilotée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui accompagne les entités dans cette démarche via des ressources dédiées.

NIS 2 : pourquoi les entreprises peinent à savoir si (et comment) elles sont concernées

Le principal malaise autour de NIS 2 ne tient pas à la directive elle-même, mais à la difficulté pour les entreprises de se situer clairement par rapport à son champ d’application. Plusieurs facteurs expliquent cette confusion :

• la distinction entre entités essentielles (EE) et entités importantes (EI), fondée sur des critères de taille, de chiffre d’affaires et de criticité ;
• l’élargissement du nombre de secteurs concernés, incluant désormais des acteurs qui n’étaient pas visés par NIS 1 ;
• un cadre européen qui nécessite une transposition nationale, avec des textes d’application publiés de manière progressive.

Résultat : de nombreuses organisations savent qu’elles pourraient être concernées, sans être en mesure de déterminer si elles le sont effectivement, ni à quel niveau d’exigence elles doivent se préparer. Cette incertitude est renforcée par le fait que l’évaluation de l’éligibilité relève de la responsabilité des entités elles-mêmes, même si des outils d’accompagnement existent.

Ce que NIS 2 cherche à corriger (et pourquoi cela change la lecture de la directive)

NIS 2 marque un changement de paradigme par rapport à la première directive/NIS 1. Là où NIS 1 ciblait principalement des acteurs économiques majeurs, NIS 2 vise à élever la maturité cyber globale, en intégrant davantage d’entités intermédiaires dont le rôle est pourtant critique dans les chaînes de valeur économiques et administratives. La directive cherche notamment à :

• renforcer la gestion des risques cyber de manière structurelle ;
• améliorer la résilience opérationnelle des organisations ;
• harmoniser les pratiques au niveau européen ;
• renforcer la coopération entre États membres en cas d’incident majeur, notamment via les réseaux CSIRT et EU-CyCLONe (Cyber Crisis Liaison Organisation Network).

Ce changement explique pourquoi NIS 2 ne peut pas être lue uniquement comme une contrainte réglementaire supplémentaire, mais comme un cadre structurant visant à inscrire la cybersécurité dans la gouvernance des organisations.

Êtes-vous concerné par NIS 2 ? Le principal point de confusion pour les entreprises.

La question « Sommes-nous concernés ? » est sans doute celle qui revient le plus souvent. NIS 2 distingue deux grandes catégories d’entités :

• les entités essentielles (EE), considérées comme hautement critiques ;
• les entités importantes (EI), soumises à des exigences proportionnées.

Cette catégorisation dépend principalement :

• du secteur d’activité (18 secteurs listés par la directive) ;
• de la taille de l’organisation (effectifs, chiffre d’affaires, bilan) ;
• de certaines exceptions prévues par le texte.

Cependant, ces critères restent abstraits tant qu’ils ne sont pas confrontés à la réalité opérationnelle de chaque entreprise. C’est précisément à ce stade que beaucoup d’organisations peinent à se positionner, faute de lecture claire et contextualisée du cadre réglementaire.

Disclaimer : Cette image est présentée à titre illustratif et n’a pas vocation à fournir une interprétation exhaustive ou officielle de la directive NIS 2. Toute décision ou analyse doit se référer aux textes légaux et réglementaires en vigueur.

Ce que NIS 2 attend concrètement des entreprises

Au-delà de la question du périmètre, NIS 2 repose sur une logique centrale : la gestion des risques cyber. Les entités concernées devront mettre en œuvre des mesures juridiques, techniques et organisationnelles couvrant notamment :

• l’analyse et la gestion des risques ;
• la gestion des incidents ;
• la continuité d’activité ;
• la sécurité de la chaîne d’approvisionnement ;
• la gestion des vulnérabilités ;
• la formation et la cyber hygiène ;
• les politiques de contrôle d’accès et d’authentification forte.

Ces exigences, issues des articles 20 et 21 de la directive, seront déclinées en objectifs de sécurité proportionnés selon la catégorie d’entité. Il ne s’agit donc pas d’une checklist figée, mais d’une démarche structurée et évolutive, alignée avec le niveau de risque propre à chaque organisation.

NIS 2 et conformité : comment situer la directive par rapport aux autres cadres existants

Un autre point de confusion fréquent concerne l’articulation entre NIS 2 et les autres cadres de conformité ou de cybersécurité déjà connus des entreprises. NIS 2 n’est ni une norme de certification, ni un référentiel technique unique. Elle ne remplace pas les démarches existantes, mais vient poser un cadre réglementaire dans lequel celles-ci doivent s’inscrire.

Comprendre cette distinction est essentiel pour éviter deux écueils :

• sous-estimer la portée de la directive en la réduisant à une formalité ;
• ou, à l’inverse, la percevoir comme un dispositif totalement déconnecté des pratiques déjà en place.

Cette capacité à situer NIS 2 dans l’écosystème global de la conformité est souvent ce qui permet aux entreprises de passer d’un flou initial à une approche plus structurée.

NIS 2 : comprendre avant d’agir

NIS 2 ne se résume ni à un texte technique, ni à une simple obligation réglementaire. Elle constitue un cadre structurant qui vise à renforcer durablement la résilience cyber des organisations européennes. Avant toute décision opérationnelle, une étape s’impose : comprendre clairement ce que recouvre la directive, à qui elle s’applique et dans quelle logique elle s’inscrit. Cette compréhension est un préalable indispensable pour éviter les interprétations hâtives et construire, le moment venu, une démarche adaptée et proportionnée.