Accueil › Ressources › Directive NIS2
NIS2 élargit le périmètre de la cybersécurité en Europe et renforce les exigences en gouvernance, gestion des risques, journalisation et notification des incidents. Ce guide vous aide à comprendre qui est concerné, ce qu’il faut mettre en place et comment IP-Label / Ekara peut contribuer à la détection, la preuve et l’industrialisation de vos processus.
La plupart des entités moyennes/grandes dans des secteurs clés sont incluses, avec extensions possibles pour risques élevés.
Alerte rapide, rapport initial, puis rapport final : cadrez vos procédures et preuves dès maintenant.
Des barèmes dissuasifs et une supervision renforcée exigent une gouvernance claire et des registres probants.
Journalisation, gestion d’incident, tests, continuité, supply-chain, MFA/cryptographie, formation.
NIS2 s’applique aux entités essentielles et importantes dans des secteurs critiques. L’inclusion dépend du secteur, de la taille (au sens UE) et de critères de risque définis par chaque État membre.
Les micro et petites entreprises peuvent être incluses si elles présentent un profil de risque élevé (importance sociétale/économique, dépendance nationale, effets systémiques).
Cible prioritaire : moyennes et grandes entreprises (au sens UE). Des dérogations existent pour inclure des acteurs plus petits si critique.
Appartenance à un secteur NIS2 (voir liste). Les sous-secteurs et services numériques gérés (MSP, cloud) sont particulièrement visés.
Inclusion par l’État membre en cas d’importance sociétale/économique, d’effets en cascade ou d’exposition accrue.
Le périmètre exact est précisé par les textes nationaux de transposition. Vérifiez votre code NAF/activité et votre rôle dans la chaîne de valeur.
La directive NIS2 s’applique aux entités essentielles (EE) et entités importantes (EI) dans des secteurs critiques. La majorité des organisations sont concernées dès lors qu’elles dépassent le seuil 50 employés et 10 M€ de CA/bilan, avec des exceptions pour certaines activités critiques (intra-UE). Utilisez le tableau ci-dessous pour situer votre organisation.
| Secteur | Exemples d’entités | Catégorie NIS2 | Notes clés |
|---|---|---|---|
| Énergie | Production/transport/distribution électricité, gaz, pétrole | EE | Opérateurs d’infrastructures critiques ; exigences renforcées (gestion risque, incidents majeurs) |
| Transport | Aérien (aéroports/ATC), rail (gestionnaires d’infra), maritime/portuaire, routier (opérateurs) | EE / EI | Catégorie selon rôle (infrastructure vs opérateur) et taille |
| Banque & marchés | Établissements de crédit, infrastructures de marché (CCP, dépôts centraux) | EE | Supervision forte ; dépendances tierces à cartographier |
| Santé | Hôpitaux, cliniques, laboratoires, e-santé ; fabricants critiques (médicaments/DM) | EE / EI | EE pour prestataires de soins ; EI pour certains fabricants amont |
| Eau | Eau potable (production/distribution), assainissement | EE | Risque opérationnel et sanitaire majeur |
| Infrastructures numériques | DNS/TLD, IXP, data centers, CDN, opérateurs de réseaux | EE | Nombreuses activités classées essentielles par défaut |
| Cloud & hébergement | Fournisseurs Cloud, IaaS/PaaS/SaaS, hébergeurs managés | EE | Obligations fortes de sécurité, continuité, notification |
| Fournisseurs de services gérés | MSP/MSSP, SOC, services de sécurité managés | EE / EI | MSSP souvent EE ; MSP selon portée/clients |
| Administration publique | Autorités centrales/régionales ; opérateurs publics critiques | EE / EI | Catégorie selon niveau et mission régalienne |
| Spatial | Opérateurs d’infrastructures au sol, services satellitaires critiques | EE | Dépendances fortes aux communications et au timing |
| Postal & courrier | Services postaux/universels, messagerie | EI | Exposition logistique & données clients |
| Gestion des déchets | Exploitants de collecte, traitement, élimination | EI | Impact environnemental et santé publique |
| Agro-alimentaire | Transformation/distribution alimentaire critiques | EI | Chaîne d’approvisionnement, traçabilité, froid |
| Industries critiques | Chimie, fabrication équipements, électronique | EI | Process industriels, OT/ICS à sécuriser |
Légende & remarques
Un aperçu clair des chantiers prioritaires et des délais réglementaires. À gauche, la frise des notifications ; à droite, les contrôles à valider.
Signaler un incident significatif suspecté à l’autorité compétente.
Détails techniques, périmètre affecté, mesures engagées.
RCA, impacts, remédiations et leçons apprises.
Les seuils précis et canaux varient selon la transposition nationale. Préparez vos modèles et vos circuits d’escalade.
Répondez à 3 questions. Le résultat est indicatif et doit être confirmé par la transposition nationale et votre secteur précis.
Si vous hésitez, choisissez « Je ne sais pas ».
Basé sur les seuils UE (effectifs).
Cochez ce qui s’applique.
Note : La directive (UE) 2022/2555 s’applique via la transposition nationale ; des exceptions ciblées peuvent inclure des petites entités jugées critiques.
Les entités moyennes/grandes dans des secteurs essentiels/importants relèvent en principe de NIS2. Confirmez avec la transposition nationale et votre NAF/secteur exact.
Respectez les jalons clés (24h • 72h • 1 mois) et préparez un dossier complet pour l’autorité nationale compétente (p. ex. ANSSI en France) et le CSIRT.
Signalement initial d’un incident significatif suspecté : ampleur présumée, systèmes touchés, première évaluation d’impact.
Notification formelle avec faits corroborés : cause probable, vecteur, impact confirmé, mesures d’atténuation en cours.
Compte-rendu détaillé : RCA, impacts opérationnels & clients, preuves, actions correctives & leçons apprises.
Dès qu’un incident atteint les critères de significativité (disponibilité, intégrité, confidentialité, ampleur). En cas de doute : notifier.
Une vue actionnable et non redondante des priorités NIS2. Suis la ligne : Prévenir → Détecter → Réagir → Résilience. Chaque carte indique le résultat attendu et les mappings utiles (ISO, NIST, RGPD).
Réduire la surface d’attaque et empêcher les élévations de privilèges.
Rendre visibles les signaux faibles et accélérer la corrélation.
Structurer la réponse incident et respecter les délais de notification NIS2.
Assurer la continuité et limiter l’impact (ransomware, panne, supply-chain).
Trois étapes claires pour atteindre un socle conforme : stabiliser, gouverner, prouver. Aucune carte ne se chevauche : lecture linéaire, responsive et accessible.
Inventaire, accès, journaux, détection et procédure d’alerte NIS2.
Renforcer la détection, formaliser les rôles et cadrer les fournisseurs.
Démontrer l’efficacité via exercices, sauvegardes immuables et KPI.
Cadence de déclaration des incidents importants : premier signalement en 24 h, rapport d’état en 72 h, rapport final sous 1 mois. Anticipez les contenus attendus, les rôles, et les preuves à fournir.
Signalement préliminaire de l’incident à l’autorité compétente (CSIRT/ANSSI selon pays).
Mise à jour documentée : analyse d’impact, progrès, risques résiduels, coordination tiers.
Analyse complète, enseignements et plan d’amélioration avec échéances.
NIS2 impose une gestion du risque tiers : exigences de sécurité, obligation de notifier les incidents, droit d’audit et preuves de conformité. Adaptez la profondeur des contrôles au niveau de criticité du fournisseur.
À adapter avec le juridique. Couvre notification, preuves, audit, sous-traitance et fin de contrat.
1) Notification d’incident : le Prestataire notifie le Client sans délai indû et au plus tard sous 24h tout incident
susceptible d’affecter la disponibilité, l’intégrité ou la confidentialité des services ou données ; un rapport d’état
est fourni sous 72h, puis un rapport final dans le mois, incluant causes, impacts, mesures et preuves.
2) Preuves & journalisation : le Prestataire conserve et met à disposition, sur demande, les journaux horodatés,
les indicateurs-clés (p95 latence, taux d’erreurs, disponibilité) et la timeline des actions, dans le respect du RGPD.
3) Audit & évaluation : le Client dispose d’un droit d’audit raisonnable (préavis, confidentialité). Les écarts
font l’objet d’un plan d’actions avec échéances.
4) Sous-traitance : toute sous-traitance est pré-autorisée par écrit ; le Prestataire impose des obligations
équivalentes NIS2 à ses sous-traitants et demeure responsable.
5) Réversibilité & sortie : à l’échéance ou résiliation, le Prestataire assure la réversibilité (export des données,
effacement sécurisé, transfert des journaux et rapports).Quatre niveaux de maturité pour piloter votre feuille de route : de Niveau 0 (Non conforme) à Niveau 3 (Maîtrisé). Chaque carte synthétise les contrôles clés et les preuves attendues.
Nous apportons des preuves exploitables (mesures, journaux, traces), des contrôles de gouvernance concrets (résidence des données, RBAC, masquage PII) et un plan d’exécution cadré dans le temps — pas des promesses vagues.
Un accompagnement orienté résultats : mettre en production un socle APM/RUM/Synthetic, documenter et auditer les preuves, puis optimiser la couverture et les coûts.
Corrélez traces, logs et metrics avec l’impact UX réel (INP/LCP/CLS) et des parcours scriptés 24/7.
Hébergement régional, SSO/RBAC, masquage PII, journaux d’audit, export des données.
“Evidence pack” : captures, exports, runbooks, et rapport de couverture des agents/instruments.
Échantillonnage tête/queue, rétention différenciée, filtres d’ingestion, routage des logs bruyants.
Playbooks d’investigation, modèles d’alertes, deploy markers et notes de version corrélées.
SDKs, Collector et export OTLP vers Ekara ou la solution de ton choix, pour éviter le verrouillage.
Service map unifiée, budgets d’erreur, deploy markers, MTTR réduit.
Journalisation d’accès, export de preuves, rétention par dataset.
RUM par route/geo/device, corrélation UX ↔ changements backend.
Des réponses claires et actionnables pour comprendre le champ d’application, les obligations et les échéances de la directive NIS2.
NIS2 (Directive (UE) 2022/2555) renforce la cybersécurité en Europe : gouvernance, gestion des risques, notification d’incidents et sanctions harmonisées pour les secteurs clés. Elle remplace NIS (2016) et élargit fortement le périmètre.
Par défaut, les entités moyennes et grandes opérant dans les secteurs listés par NIS2 sont incluses (règle de taille). Certaines petites entités peuvent aussi être visées selon la criticité (ex. fournisseurs de services gérés, cloud, opérateurs spécifiques). Les États désignent ensuite les acteurs au niveau national.
La directive devait être transposée par les États membres au 17 octobre 2024. Les obligations s’appliquent ensuite via les textes nationaux (décrets/arrêtés, listes d’entités) et les actes d’exécution/implémentation de la Commission.
Pour un incident significatif : alerte précoce sous 24 h, notification sous 72 h avec évaluation initiale, puis rapport final sous 1 mois. Des rapports intermédiaires peuvent être requis selon l’autorité compétente/CSIRT.
Plafonds harmonisés : jusqu’à 10 M€ ou 2 % du CA mondial pour les entités essentielles, et 7 M€ ou 1,4 % pour les entités importantes (le montant le plus élevé s’applique). Des mesures de remédiation et injonctions peuvent s’ajouter.
Oui. Les services gérés (IT/ sécurité), cloud, DNS/TLD, centres de données, etc., font partie des secteurs/digital providers visés, avec des exigences renforcées sur la chaîne d’approvisionnement.
La règle de taille exclut en principe les micro/petites entités, mais des exceptions existent (criticité, rôle systémique, services gérés). Vérifie le texte national et ta chaîne de valeur (clients régulés).
NIS2 couvre la cybersécurité transverse. DORA cible le financier (opérateurs/tiers TIC). CER adresse la résilience des entités critiques. RGPD traite la protection des données. Les exigences se cumulent : aligne gouvernance, cartographie et gestion des tiers pour éviter les doublons.
Non. Les outils (APM/RUM/Synthetic, SIEM, EDR…) fournissent des preuves (journalisation, détection, disponibilité) et accélèrent les remédiations, mais la conformité repose d’abord sur ta gouvernance, tes procédures et ton pilotage des risques.