Definition
Le règlement européen de cybersécurité NIS2 (Directive (UE) 2022/2555) impose aux entités essentielles et importantes de 18 secteurs des mesures de gestion des risques et un signalement d'incidents dans des délais fixes, avec des amendes administratives pouvant atteindre 10 M EUR ou 2 % du chiffre d'affaires mondial. Régie par : Directive (UE) 2022/2555.
Fonctionnement
Le directeur informatique de votre client vous assure que la cybersécurité est « sous contrôle » parce qu'il a passé un audit ISO 27001 l'an dernier. Puis vous vérifiez s'il s'est enregistré auprès du CSIRT national, si son plan de réponse aux incidents respecte le délai d'alerte précoce de 24 heures, si le conseil d'administration a effectivement suivi la formation requise et si des politiques de gestion des risques de la chaîne d'approvisionnement existent pour les fournisseurs hors UE. Trois de ces quatre cases sont vides. Cet écart entre la préparation perçue et la conformité réelle à NIS2 est précisément là où réside le risque d'audit. Nous le constatons de façon étonnamment fréquente chez les clients mid-market qui viennent de découvrir que la Directive s'applique à eux.
NIS2 n'est pas une simple mise à jour cosmétique de la directive NIS originale de 2016. La première version avait un champ d'application trop étroit et une application trop fragmentée d'un État membre à l'autre. L'article 21 de NIS2 exige que chaque entité dans le périmètre adopte des mesures techniques et organisationnelles proportionnées couvrant au moins dix domaines : politiques d'analyse des risques, gestion des incidents, sécurité de la chaîne d'approvisionnement et planification de la continuité d'activité. L'article 23 impose un signalement d'incidents par paliers : une alerte précoce au CSIRT national sous 24 heures, une notification avec évaluation initiale sous 72 heures, une mise à jour intermédiaire si demandée, puis un rapport final sous un mois.
La Directive distingue les entités essentielles (énergie, transport, banque, santé, infrastructure numérique, administration publique) des entités importantes (services postaux, gestion des déchets, industrie manufacturière, production alimentaire, fournisseurs numériques). Cette classification détermine le régime de supervision. Les autorités nationales compétentes peuvent auditer les entités essentielles de manière proactive et régulière. Pour les entités importantes, le contrôle est réactif, déclenché par des indices de non-conformité. Les entités soumises à la fois à NIS2 et à la CSRD doivent s'attendre à ce que les régulateurs comparent les informations de gouvernance en cybersécurité avec les mesures exigées par l'article 21.
Sur le papier, les délais semblent raisonnables. En réalité, la transposition nationale transforme l'exercice en usine à gaz. L'Allemagne a transposé NIS2 via un BSI Act amendé (effectif en 2026), les Pays-Bas ont publié leur loi de transposition fin 2025. Chaque transposition nationale peut ajouter des exigences sectorielles au-dessus du socle minimum d'harmonisation de la Directive. La France, elle, n'avait toujours pas finalisé sa transposition début 2026.
Exemple pratique : Rossi Alimentari S.p.A.
Client : entreprise italienne de production alimentaire, exercice 2025, chiffre d'affaires 67 M EUR, reporting IFRS. Rossi exploite quatre usines de transformation et relève du secteur « industrie manufacturière » de l'Annexe II de la Directive 2022/2555. L'entreprise compte 320 salariés et dépasse le seuil de moyenne entreprise, ce qui la classe comme entité importante sous NIS2.
Étape 1 : Détermination du périmètre L'équipe de mission confirme que Rossi atteint le seuil de taille NIS2 (plus de 250 salariés ou chiffre d'affaires annuel supérieur à 50 M EUR). La production alimentaire figure à l'Annexe II, Secteur 5 (« Industrie manufacturière »). En tant qu'entité importante, Rossi est soumise à l'ensemble des obligations de gestion des risques de l'article 21, mais relève du régime de supervision réactif (et non proactif) de l'article 33.
Étape 2 : Évaluation de la conformité aux mesures de l'article 21 L'auditeur évalue si Rossi a mis en œuvre les dix mesures minimales de gestion des risques de cybersécurité. Rossi a adopté un système de management de la sécurité de l'information aligné sur ISO 27001, mais n'a pas formalisé de politique de sécurité de la chaîne d'approvisionnement. Cette lacune est significative parce que l'article 21.2(d) exige spécifiquement la gestion des risques de la chaîne d'approvisionnement, et deux fournisseurs critiques de Rossi opèrent hors de l'UE.
Étape 3 : Test de la capacité de signalement d'incidents L'équipe de mission examine le plan de réponse aux incidents de Rossi. Le plan mentionne un délai de signalement de 48 heures, ce qui ne correspond pas à l'exigence d'alerte précoce de 24 heures de l'article 23.4(a). L'équipe confirme également que Rossi a identifié le bon CSIRT national (l'ACN, l'agence italienne de cybersécurité) mais n'a pas effectué l'enregistrement obligatoire sur la plateforme nationale.
Étape 4 : Évaluation de la gouvernance et de la responsabilité du conseil L'article 20 exige que les organes de direction approuvent les mesures de gestion des risques de cybersécurité et suivent une formation en cybersécurité. Le conseil d'administration de Rossi a approuvé une politique de sécurité de l'information en mars 2025, mais aucun administrateur n'a suivi la formation requise. L'auditeur signale ce point comme un risque de conformité porteur d'une exposition potentielle à la responsabilité personnelle des administrateurs.
Note : Rossi présente quatre lacunes de conformité (politique de chaîne d'approvisionnement, calendrier de signalement d'incidents, formation du conseil, enregistrement sur la plateforme) qui nécessitent une remédiation avant le prochain cycle d'évaluation réglementaire. La piste documentaire est défendable parce que chaque lacune est reliée à un article et un sous-paragraphe spécifiques.
Ce que les auditeurs et les réviseurs confondent souvent
Les équipes des cabinets de taille moyenne supposent souvent que NIS2 s'applique uniquement aux grandes sociétés cotées. Le périmètre de la Directive couvre les entités de taille moyenne (50+ salariés ou 10 M+ EUR de chiffre d'affaires) dans les secteurs listés, ce qui signifie que des clients mid-market dans l'industrie manufacturière et la production alimentaire entrent fréquemment dans le champ d'application. L'article 2.1 de la Directive 2022/2555 fixe le seuil de taille, et le négliger conduit à des obligations réglementaires non identifiées en phase de planification. Chez nos clients, nous constatons qu'environ un industriel mid-market sur trois ne sait pas que NIS2 s'applique à lui avant que le CAC ne soulève la question.
Les praticiens confondent aussi la conformité NIS2 avec la conformité DORA pour les clients du secteur financier. Le Digital Operational Resilience Act (Règlement (UE) 2022/2554) est lex specialis pour les entités financières. L'article 4 de NIS2 renvoie explicitement à DORA lorsque les deux s'appliquent. Tester les contrôles NIS2 chez un client bancaire soumis à DORA revient à appliquer le mauvais référentiel et à produire des éléments probants qui ne portent pas sur la réglementation applicable. Le travail de ticking and bashing sur vos papiers de travail aura l'air complet, mais un réviseur EQCR testant contre DORA signalera la section entière. Et refaire ce travail la dernière semaine, personne ne le souhaite.
NIS2 et NIS1 (directive NIS originale)
| Dimension | NIS1 (Directive 2016/1148) | NIS2 (Directive 2022/2555) |
|---|---|---|
| Périmètre | ~15 000 opérateurs de services essentiels dans 7 secteurs | ~160 000 entités essentielles et importantes dans 18 secteurs |
| Classification des entités | Les États membres déterminaient au cas par cas qui relevait du champ | Seuil harmonisé basé sur la taille (50+ salariés ou 10 M+ EUR de CA) avec listes sectorielles |
| Signalement d'incidents | Pas de délai fixe ; variable selon l'État membre | Par paliers : alerte précoce 24 h, notification 72 h, rapport final 1 mois |
| Amendes maximales | Pas de niveau d'amende harmonisé | 10 M EUR / 2 % CA (essentielles) et 7 M EUR / 1,4 % CA (importantes) |
| Responsabilité de la direction | Non traitée | L'article 20 introduit la responsabilité personnelle des organes de direction |
Le passage de NIS1 à NIS2 a fait passer la réglementation de cybersécurité d'un régime étroit, laissé à la discrétion des États membres, à une obligation large et harmonisée dotée de vrais moyens de sanction. Pour l'audit, l'élargissement du périmètre signifie que des clients autrefois hors du périmètre réglementaire de cybersécurité peuvent désormais y entrer sans le réaliser. Vérifiez les listes en Annexe dès la phase de planification plutôt que de découvrir le périmètre en milieu de terrain.
Termes connexes
- CSRD : directive de reporting de durabilité qui chevauche souvent NIS2 en termes de périmètre. - Double matérialité : analyse utilisée sous CSRD et ESRS, potentiellement pertinente quand le reporting de gouvernance ESRS couvre les dispositifs de cybersécurité. - ISQM 1 : norme de gestion de la qualité des missions, applicable aux missions d'assurance sur la conformité NIS2. - Provision (IAS 37) : pertinente lorsque des manquements à NIS2 créent un passif éventuel.
---