Blog  /  Conformité et réglementation  /  Directive NIS 2 et gestion du cyber-risque

Directive NIS 2 et gestion du cyber-risque

Conformité et réglementation Last updated: 09 Avr 2025

La directive NIS 2, publiée en décembre 2022, définit une série de mesures visant à améliorer la gestion des cyber risques dans l’ensemble de l’Union européenne. Tous les États membres de l’UE ont jusqu’à octobre 2024 pour appliquer la directive dans le cadre de leur législation nationale. À la même date, toutes les organisations concernées devront pouvoir se conformer aux mesures énoncées dans la directive NIS 2.

Le NIS 2 remplace la version précédente de la directive NIS, qui s’appliquait à beaucoup moins d’entreprises et qui a été critiquée pour son manque de clarté et d’uniformité dans la manière dont les États membres devaient la mettre en œuvre. Cet article décrit le champ d’application et les principales obligations de la conformité NIS 2 et explique comment les tests d’intrusion et la gestion des vulnérabilités basée sur les risques facilitent la mise en conformité de votre entreprise.

Que recouvre la directive NIS 2 ?

Dépassant les limites de mise en œuvre relatives à la première version de la NIS, l’un des principaux moteurs du renforcement de la directive est un paysage de cybermenaces beaucoup plus menaçant. La première version de la directive NIS remonte à 2016, une époque où les attaques par ransomwares étaient plus rares et nettement moins coûteuses pour les entreprises. Pour enfoncer le clou, la cybercriminalité représentait une dépense de 0,7 trillion de dollars dans le monde en 2017 ; ce chiffre s’élève à 8,15 trillions de dollars en 2023. 

De plus, la pandémie de Covid-19 a accéléré la transformation numérique dans de nombreux secteurs clés, de sorte que les pirates informatiques disposent d’une surface d’attaque plus importante que jamais. Enfin, services et secteurs sont globalement plus interdépendants et interconnectés que par le passé.

NIS et NIS 2 : quelle est la différence ?


Les trois principaux changements entre NIS et NIS 2 sont les suivants :

  1. La NIS 2.0 ajoute une série de nouveaux secteurs économiques afin d’étendre son champ d’application à un plus grand nombre d’organisations jouant un rôle important dans les écosystèmes numériques modernes.
  2. Élimination des incohérences dans la mise en œuvre en clarifiant les exigences en matière de sécurité, de signalement des incidents et d’application valables pour toutes les organisations et tous les États membres.
  3. Mise en place d’une planification, d’une gestion de crise et d’une collaboration accrue entre les États membres en cas d’incidents de cybersécurité à grande échelle susceptibles d’avoir des répercussions systémiques.

Le champ d’application de la NIS 2

Pour comprendre l’importance de l’extension du champ d’application de la NIS 2, examinons les nouveaux secteurs qui y sont inclus :

  • Réseaux ou fournisseurs de services publics de communications électroniques ;
  • Gestion des eaux usées et des déchets ;
  • Fabricants de produits clés comme les produits chimiques et les dispositifs médicaux ;
  • Alimentation ;
  • Services numériques comme les réseaux sociaux et les services de centres de données ;
  • Aérospatiale ;
  • Services postaux ;
  • Administration publique.

Ces secteurs s’ajoutent aux sept secteurs déjà concernés par la première version du NIS : santé, infrastructures numériques, transports, approvisionnement en eau, fournisseurs de services numériques, énergie, banques et infrastructures des marchés financiers.

La directive désigne deux catégories distinctes d’entités qui entrent dans le champ d’application de ses exigences :

  1. Entités essentielles – organisations opérant dans un secteur crucial au sein duquel une cyber-perturbation pourrait causer un préjudice grave à l’économie ou à la société (par exemple, la santé et l’énergie). Un seuil de taille s’applique également : les entités essentielles de ces secteurs clés doivent avoir au moins 250 employés OU un chiffre d’affaires annuel d’au moins 50 millions d’euros OU un bilan annuel d’au moins 43 millions d’euros.
  2. Entités importantes – il s’agit soit d’organisations de taille moyenne opérant dans un secteur clé, soit d’organisations de taille moyenne ou grande opérant dans n’importe quel secteur autre que les secteurs critiques. Pour atteindre le seuil de taille moyenne, les organisations doivent avoir au moins 50 employés OU un chiffre d’affaires annuel (ou un total de bilan) d’au moins 10 millions d’euros.

Les deux catégories d’entités doivent se conformer à la directive. La différence principale étant que si vous faites partie des entités essentielles, votre conformité est supervisée de manière proactive ; les entités importantes ne sont contrôlées que si un incident de non-conformité se produit et est signalé.

NIS 2 : 10 obligations clés

Pour permettre aux entreprises de mieux comprendre leurs obligations et d’atteindre un niveau élevé de cybersécurité commune, la NIS 2 définit 10 mesures essentielles de gestion du risque cybernétique.

  • Disposer de politiques décrivant les approches en matière d’évaluation des risques et de sécurité générale de l’information.
  • Mettre en place des plans appropriés pour le traitement des incidents de sécurité.
  • Disposer de politiques et de procédures comme des tests et des audits permettant d’évaluer l’efficacité des mesures de sécurité.
  • Aborder la question de la sécurité de la chaîne d’approvisionnement et définir les relations et la connectivité entre une entreprise et ses fournisseurs.
  • Renforcez l’authentification grâce à l’authentification multifactorielle ou à des solutions d’authentification continue. De même, sécurisation des communications vocales, vidéo et textuelles grâce au cryptage.
  • Assurer une formation à la cybersécurité et une cyberhygiène de base pour les utilisateurs.
  • Disposer de plans de continuité des activités comprenant des mesures de gestion des sauvegardes, de reprise après sinistre et de gestion de crise.
  • Donner la priorité à la sécurité lors de l’acquisition de réseaux et de systèmes d’information, du développement et de la maintenance de ces systèmes grâce à des mesures telles que le traitement et la divulgation des vulnérabilités.
  • Établir des politiques et des procédures concernant l’utilisation de la cryptographie et, le cas échéant, du chiffrement.
  • Assurer la sécurité des ressources humaines, mettre en œuvre des politiques de contrôle d’accès et assurer une gestion efficace des actifs.

L’UE considère que cette combinaison de mesures techniques, opérationnelles et organisationnelles est suffisante pour atteindre les niveaux minimaux souhaités d’amélioration de la gestion du risque cybernétique et de renforcement de la résilience cybernétique pour les organisations relevant du champ d’application de la NIS 2.

Obligations de déclaration dans le cadre de la NIS 2

Peut-être parce que les retards dans les notifications de violations ou d’autres incidents de sécurité continuent à faire la une des médias et à entraîner des risques supplémentaires inutiles, l’UE adopte une ligne dure dans la NIS 2 en ce qui concerne les obligations en matière de notification :

  • Les entreprises victimes d’un incident important doivent en informer les autorités compétentes ou le centre d’alerte et de réaction aux attaques informatique (CSIRT) de leur pays dans les 24 heures suivant la découverte de l’incident.
  • Dans les 72 heures suivant la découverte de l’incident, vous devez mettre à jour votre notification d’incident initiale avec une évaluation comprenant la gravité, l’impact et tous les indicateurs de compromission s’ils ont été détectés.
  • À la demande des autorités compétentes ou du CSIRT, fournir un rapport d’incident intermédiaire ou d’autres mises à jour sur l’état de l’incident.
  • Au plus tard un mois après le premier rapport d’incident, soumettre un rapport final détaillant la gravité et l’impact de l’incident, le type de menace ou la cause première, les mesures d’atténuation prises et, le cas échéant, l’impact transfrontalier.

La plupart du temps, vous ferez un rapport au CSIRT de votre pays, mais pour les États membres comme la France, la Belgique ou l’Allemagne, vous pouvez également signaler les incidents de sécurité aux autorités compétentes désignées dans ces pays.

web application security testing
Testez vos applications web en temps réel avec le PtaaS
Réservez une démo en direct

Gouvernance et mise en œuvre de la NIS 2

Comme pour beaucoup d’autres réglementations, des sanctions sont prévues en cas de non-respect des mesures de gestion des cyber-risques ou des obligations de déclaration. La NIS 2 impose des sanctions pécuniaires élevées pour encourager les organisations à s’aligner sur ses exigences et à s’assurer que la gravité des risques encourus est réellement comprise.

Chaque État membre peut décider de ses propres amendes, mais la limite supérieure des amendes maximales applicables au-non respect de la NIS 2 est :

  1. Pour les entités essentielles : soit 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial ;
  2. Pour les entités importantes : 7 millions d’euros ou 1,4 % du revenu annuel global.


Le montant le plus élevé des deux chiffres pour chaque type d’entité constitue la sanction finale à payer. La directive NIS 2.0 ne se limite toutefois pas aux sanctions pécuniaires. Les mesures punitives de la directive comprennent des dispositions sur la responsabilité des personnes occupant des postes de direction en cas d’incidents cybernétiques au cours desquels une entreprise ferait preuve de négligence grave.

L’objectif est de retirer la charge de la sécurité aux seuls départements informatiques et de veiller à ce que les cadres supérieurs prennent leur part de responsabilité dans la mise en œuvre des mesures de protection de la NIS 2. Les autres conséquences potentielles peuvent être les suivantes :

  • Devoir rendre publiques les violations de la conformité et, par conséquent, affecter la réputation de votre organisation ;
  • Faire des déclarations publiques identifiant le cadre supérieur responsable de la violation ;
  • En cas de violations répétées dans des entités essentielles, une interdiction temporaire pour les personnes responsables d’occuper des postes de direction dans l’entreprise.

La NIS 2 s’applique-t-elle si vous êtes en dehors de l’UE ?

L’extraterritorialité est une caractéristique des règlements de l’UE tels que le RGPD qui contribue à façonner la la réputation de l’UE comme ayant les règlements les plus stricts au monde en matière de protection de la vie privée et de sécurité. Il est impératif de comprendre que la NIS 2 a effectivement une portée extraterritoriale. Notamment si vous n’êtes pas établi dans l’UE mais que vous proposez vos services au sein de l’UE, vous devrez probablement vous conformer à la directive si votre entreprise entre dans le champ d’application des secteurs et des tailles d’entreprise définis par la directive.

Les règles extraterritoriales stipulent que vous devez établir un représentant dans l’un des États membres où votre entreprise offre ses services. Cet État membre devient alors la nation sous laquelle la juridiction et l’application de la directive impactent votre entreprise. En l’absence d’un représentant désigné, tout État membre dans lequel vous exercez vos activités peut intenter une action en justice pour non-respect des obligations de la NIS 2.

Comment les tests de pénétration garantissent la conformité de NIS 2

Parmi les dix mesures essentielles que les organisations doivent mettre en œuvre, il convient de souligner la nécessité de tester et d’auditer les mesures de sécurité. Les tests de pénétration sont l’un des meilleurs moyens d’y parvenir, car ils permettent de tester les mesures et leurs limites en utilisant la logique et les compétences que les acteurs de la menace réelle déploient. Afin d’éviter des violations graves et des atteintes à la réputation, les tests d’intrusion constituent un élément essentiel pour contribuer à l’objectif de la NIS 2, à savoir le renforcement de la cybersécurité dans l’ensemble de l’UE.

Les services de tests de pénétration d’Outpost24 offrent une approche proactive et systématique pour identifier et atténuer les vulnérabilités de vos réseaux et systèmes. Ces attaques simulées, menées par notre équipe d’experts en sécurité, tentent de s’infiltrer au sein de n’importe quel logiciel et matériel comme le ferait un pirate informatique. Nos tests d’intrusion vous aident à vous aligner les recommandations de la directive NIS 2 concernant la gestion des risques et la réponse aux incidents, en garantissant la résilience de vos réseaux et de vos systèmes d’information. Pour en savoir plus sur nos tests d’intrusion, cliquez ici. 

NIS 2 et gestion des vulnérabilités

La date limite pour la mise en application des mesures étant imminente et les coûts de non-conformité s’élevant à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles et à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités importantes, le moment est venu d’améliorer l’identification et la gestion des cyber risques conformément aux obligations posées par la directive NIS 2.

L’un des principaux moyens de renforcer la gestion des cyber risques consiste à s’occuper correctement des vulnérabilités. La gestion des vulnérabilités basée sur le risque est une approche proactive de la cybersécurité qui tient compte de la probabilité qu’une vulnérabilité soit exploitée et de l’impact potentiel des événements lorsqu’il s’agit de décider des vulnérabilités à corriger.

N’oubliez pas que la gestion des vulnérabilités joue un rôle clé dans la maintenance sécurisée des réseaux et des systèmes d’information, ce qui est une obligation au titre de la NIS 2. En outre, la gestion des vulnérabilités basée sur les risques vous permet d’effectuer des évaluations précises et structurées des cyber risques (conformément aux exigences de la NIS 2).

La gestion des vulnérabilités basée sur les risques comprend également une documentation et un rapport détaillés sur les vulnérabilités identifiées, les risques associés et les mesures prises pour y remédier. Ces informations sont essentielles pour répondre aux exigences de la NIS 2 en matière de rapports d’incidents.

Outscan NX

Outscan NX est la solution de gestion des vulnérabilités basée sur les risques d’Outpost 24. Notre plateforme offre une couverture complète des environnements internes, externes et en nuage, avec une analyse basée sur l’intelligence des menaces, une évaluation des risques en temps réel, des rapports exploitables orientés sur des solutions ainsi que des tonnes d’autres fonctionnalités. Accédez à tout ceci grâce à une interface claire et facile à utiliser.

L’objectif de la directive NIS 2 d’améliorer la gestion des risques cybernétiques dans l’UE est clair, et les délais sont fixés. Mettez en œuvre Outscan NX dès aujourd’hui afin d’aligner le programme de cybersécurité de votre entreprise sur les exigences et obligations de la directive NIS 2. Demandez une démo dès aujourd’hui.