Directive NIS2

Fonctionnement

NIS2 a remplacé la directive NIS originale de 2016 parce que son périmètre était trop restreint et son application trop fragmentée. L'article 21 exige de chaque entité concernée qu'elle adopte des mesures techniques et organisationnelles de cybersécurité proportionnées couvrant au minimum dix domaines, dont les politiques d'analyse des risques, la gestion des incidents, la sécurité de la chaîne d'approvisionnement et la planification de la continuité d'activité. L'article 23 fixe une obligation de signalement des incidents par paliers : une alerte précoce dans les 24 heures au CSIRT national, une notification dans les 72 heures avec une évaluation initiale, une mise à jour intermédiaire si demandée, et un rapport final dans le mois suivant.
La directive distingue les entités essentielles (énergie, transports, banque, santé, infrastructure numérique, administration publique) et les entités importantes (services postaux, gestion des déchets, industrie manufacturière, production alimentaire, fournisseurs numériques). La classification détermine le régime de supervision. Les autorités nationales compétentes peuvent réaliser des audits réguliers des entités essentielles de manière proactive ; pour les entités importantes, l'application est réactive, déclenchée par des preuves de non-conformité. Les entités qui satisfont à la fois aux seuils NIS2 et CSRD doivent s'attendre à ce que les régulateurs recoupent les divulgations de gouvernance en matière de cybersécurité avec les mesures requises par l'article 21.
L'Allemagne a transposé NIS2 par une modification de la loi BSI (effective 2026), tandis que les Pays-Bas ont publié leur législation de mise en oeuvre fin 2025. Chaque transposition nationale peut ajouter des exigences sectorielles au-delà du socle d'harmonisation minimale de la directive.

Exemple pratique : Rossi Alimentari S.p.A.

Client : entreprise italienne de production alimentaire, exercice 2025, chiffre d'affaires 67 M EUR, rapporteur IFRS. Rossi exploite quatre usines de transformation et relève du secteur « industrie manufacturière » de l'annexe II de la directive 2022/2555. L'entreprise compte 320 salariés et dépasse le seuil des entreprises de taille moyenne, ce qui la classe comme entité importante au sens de NIS2.
Étape 1 : Détermination du périmètre
L'équipe de mission confirme que Rossi satisfait au seuil de taille NIS2 (plus de 250 salariés ou chiffre d'affaires annuel dépassant 50 M EUR). La production alimentaire figure dans l'annexe II, secteur 5 (« Industrie manufacturière »). En tant qu'entité importante, Rossi est soumise à l'ensemble des obligations de gestion des risques de l'article 21 mais relève du régime de supervision réactif (et non proactif) de l'article 33.
Étape 2 : Évaluer la conformité aux mesures de l'article 21
L'auditeur évalue si Rossi a mis en oeuvre les dix mesures minimales de gestion des risques de cybersécurité. Rossi a adopté un système de gestion de la sécurité de l'information aligné sur ISO 27001 mais n'a pas formalisé de politique de sécurité de la chaîne d'approvisionnement. Cet écart est significatif car l'article 21.2(d) exige spécifiquement la gestion des risques liés à la chaîne d'approvisionnement, et deux fournisseurs critiques de Rossi opèrent hors de l'UE.
Étape 3 : Tester la capacité de signalement des incidents
L'équipe de mission examine le plan de réponse aux incidents de Rossi. Le plan mentionne un délai de signalement de 48 heures, ce qui ne correspond pas à l'exigence d'alerte précoce de 24 heures de l'article 23.4(a). L'équipe confirme également que Rossi a identifié le CSIRT national compétent (ACN, l'agence italienne de cybersécurité) mais n'a pas finalisé l'inscription obligatoire sur la plateforme nationale.
Étape 4 : Évaluer la gouvernance et la responsabilité de la direction
L'article 20 exige que les organes de direction approuvent les mesures de gestion des risques de cybersécurité et suivent une formation en cybersécurité. Le conseil d'administration de Rossi a approuvé une politique de sécurité de l'information en mars 2025, mais aucun administrateur n'a suivi la formation requise. L'auditeur signale ce point comme un risque de conformité comportant une exposition potentielle à la responsabilité personnelle pour les administrateurs.
Conclusion
Rossi est classée comme entité importante au sens de NIS2 avec quatre écarts de conformité (politique de chaîne d'approvisionnement, délai de signalement des incidents, formation des administrateurs, inscription sur la plateforme) nécessitant une remédiation avant le prochain cycle d'évaluation réglementaire. Le dossier de documentation est défendable car chaque écart est rattaché à un article et un sous-paragraphe spécifiques.

Ce que les réviseurs et les praticiens mésinterprètent

• Périmètre sous-estimé pour les entités de taille moyenne : les équipes de cabinets de taille modeste supposent souvent que NIS2 ne s'applique qu'aux grandes sociétés cotées. Le périmètre de la directive couvre les entités de taille moyenne (50+ salariés ou chiffre d'affaires de 10+ M EUR) dans les secteurs listés, ce qui signifie que des clients d'audit de taille intermédiaire dans l'industrie manufacturière ou la production alimentaire relèvent fréquemment du périmètre. L'article 2.1 de la directive 2022/2555 fixe le seuil de taille, et l'ignorer conduit à des obligations réglementaires non identifiées lors de la planification de l'audit.
• Confusion entre NIS2 et DORA pour les clients du secteur financier : les praticiens confondent la conformité NIS2 et la conformité DORA pour les clients du secteur financier. Le règlement sur la résilience opérationnelle numérique (règlement (UE) 2022/2554) est lex specialis pour les entités financières. L'article 4 de NIS2 renvoie explicitement à DORA là où les deux s'appliquent. Tester des contrôles NIS2 chez un client bancaire soumis à DORA applique le mauvais cadre et produit des éléments probants qui ne répondent pas à la réglementation applicable.
• Transposition nationale ignorée : la directive fixe un socle minimal, mais chaque État membre peut ajouter des exigences. Ne pas vérifier la législation nationale de transposition (par exemple la loi BSI modifiée en Allemagne ou la Wbni aux Pays-Bas) peut conduire à une évaluation incomplète de la conformité.
• Responsabilité personnelle des dirigeants non évaluée : l'article 20 introduit la responsabilité personnelle des organes de direction pour les manquements en cybersécurité. Beaucoup de dossiers se limitent à vérifier l'existence d'une politique sans évaluer si les dirigeants ont suivi la formation exigée.

NIS2 vs. NIS1 (directive NIS originale)

| Dimension | NIS1 (directive 2016/1148) | NIS2 (directive 2022/2555) |
|---|---|---|
| Périmètre | Environ 15 000 opérateurs de services essentiels dans 7 secteurs | Environ 160 000 entités essentielles et importantes dans 18 secteurs |
| Classification des entités | Les États membres déterminaient au cas par cas | Seuil harmonisé basé sur la taille (50+ salariés ou chiffre d'affaires de 10+ M EUR) avec listes sectorielles |
| Signalement des incidents | Pas de délai fixe ; variable selon l'État membre | Par paliers : alerte précoce 24 h, notification 72 h, rapport final 1 mois |
| Amendes maximales | Pas de niveau harmonisé | 10 M EUR / 2 % du chiffre d'affaires (essentielles) et 7 M EUR / 1,4 % (importantes) |
| Responsabilité de la direction | Non traitée | L'article 20 introduit la responsabilité personnelle des organes de direction |

Termes associés

• CSRD : le cadre de reporting de durabilité européen dont le périmètre chevauche celui de NIS2 pour de nombreuses entités.
• Double matérialité : concept de la CSRD qui peut inclure les risques de cybersécurité dans l'évaluation de matérialité d'impact.
• ISQM 1 : la norme de gestion de la qualité applicable aux cabinets dont les clients relèvent de NIS2.
• Provision (IAS 37) : les amendes potentielles NIS2 peuvent constituer un passif éventuel ou une provision selon IAS 37.
• DORA : le règlement sur la résilience opérationnelle numérique, lex specialis pour les entités financières là où NIS2 et DORA se chevauchent.