La directive NIS2 (Network and Information Security Directive 2) transforme profondément les obligations de cybersécurité des organisations européennes. Depuis sa transposition en droit français par l’ordonnance du 28 mars 2025, les DSI et RSSI doivent s’adapter — ou s’exposer à des sanctions pouvant atteindre 10 M€ ou 2 % du chiffre d’affaires mondial.
Alors que l’ANSSI a débuté ses contrôles effectifs en 2026, la conformité NIS2 n’est plus un exercice de documentation : c’est un impératif opérationnel. Ce guide pratique fait le point sur ce que NIS2 signifie concrètement pour votre infrastructure IT, comment les articles de la directive se traduisent en exigences techniques, et comment un cloud privé souverain vous aide à répondre aux obligations — tout en réduisant vos coûts d’infrastructure de 40 à 70 %.
NIS2 vs NIS1 : ce qui change concrètement
La directive NIS1 de 2016 ne couvrait que sept secteurs et une quarantaine de types d’opérateurs. NIS2 multiplie le périmètre par 4 et introduit des innovations majeures :
| Critère | NIS1 | NIS2 |
|---|---|---|
| Secteurs couverts | 7 | 18 (11 essentiels + 7 importants) |
| Types d’opérateurs | ~40 | 160+ |
| Responsabilité des dirigeants | Non mentionnée | Responsabilité personnelle, formation obligatoire |
| Sanctions | Variables par État membre | Jusqu’à 10 M€ / 2 % CA mondial |
| Notification d’incidents | Non harmonisée | 24h / 72h / 1 mois |
| Chaîne d’approvisionnement | Pas d’exigence | Due diligence obligatoire sur les fournisseurs ICT |
| Chiffrement | Recommandation | Attendu comme mesure de base |
Conséquence directe : une PME de 60 employés dans l’industrie manufacturière, qui n’était pas concernée par NIS1, doit désormais se mettre en conformité. Selon l’ENISA, cela représente plus de 160 000 entités supplémentaires dans l’UE.
Le périmètre NIS2 : qui est concerné ?
NIS2 élargit considérablement le champ par rapport à NIS1. Deux catégories d’entités :
Entités essentielles
- Fournisseurs de services numériques (DNS, cloud, plateformes)
- Opérateurs de communications électroniques
- Établissements de crédit et institutions financières
- Opérateurs de marchés financiers
- Gestion d’infrastructures critiques (énergie, transport, eau, santé)
- Administrations publiques centrales
Entités importantes
- Services postaux
- Gestion des déchets
- Industrie manufacturière
- Fournisseurs de services numériques intermédiaires
- Recherche
Critère de seuil : entreprises de plus de 50 employés OU plus de 10 M€ de chiffre d’affaires annuel. En dessous, vous pouvez encore être couvert si votre secteur est réglementé ou si l’État membre décide de vous inclure.
Point d’attention : même les entités sous les seuils doivent se conformer si un État membre les désigne comme essentielles en raison de leur rôle critique. C’est le cas notamment pour les hébergeurs de données de santé (HDS) et les fournisseurs de services DNS.
Les 7 obligations clés de NIS2 (et comment les implémenter)
1. Gestion des risques (Art. 21.2.a à 21.2.i)
Vous devez identifier, évaluer et traiter les risques liés à la sécurité de vos réseaux et systèmes d’information. NIS2 énumère dix mesures de sécurité minimales :
- Cartographie des actifs critiques et de leurs interdépendances
- Analyse de risques formelle (méthodologie EBIOS RM ou ISO 27005 recommandée)
- Mesures de protection proportionnées
- Gestion des vulnérabilités et des configurations
- Chiffrement des données en transit et au repos (Art. 21.2.c)
- Segmentation réseau et contrôle d’accès
- Haute disponibilité et continuité d’activité
- Gestion des identités et des accès (IAM)
- Sensibilisation et formation continue
- Politique de gestion des actifs en fin de vie
Mise en œuvre technique : déployez un SIEM centralisé pour la détection (Wazuh, Elastic SIEM), un gestionnaire de vulnérabilités (Trivy, OpenSCAP), et un PRA testé avec RTO et RPO mesurés.
2. Signalement d’incidents (Art. 23)
Délais stricts et non négociables :
- 24 heures : notification initiale à l’ANSSI (signalement préliminaire)
- 72 heures : rapport détaillé (nature de la menace, systèmes affectés, impact estimé)
- 1 mois : rapport final incluant l’analyse des causes profondes et les mesures correctives
La difficulté technique : le délai de 24 heures suppose que vous disposez d’un système de détection en temps réel. Sans SIEM, la moyenne de détection d’une intrusion est de 204 jours selon IBM. Avec un SIEM souverain comme Wazuh et des règles de corrélation, vous passez à quelques minutes.
Attention : le signalement à l’ANSSI se fait via le portail SIG-ANSSI. L’absence de signalement dans les délais constitue en soi une violation sanctionnable.
3. Continuité d’activité (Art. 21.2.f)
Plan de reprise d’activité (PRA) et plan de continuité d’activité (PCA) documentés et testés. NIS2 exige que vous puissiez poursuivre vos services essentiels même en cas d’incident majeur.
Exigences techniques :
- RTO (Recovery Time Objective) défini par service critique
- RPO (Recovery Point Objective) défini par donnée critique
- Architecture multi-site avec basculement automatisé
- Tests de PRA au minimum annuels, avec rapport documenté
- Sauvegardes immuables (WORM) et chiffrées, stockées sur un site secondaire
Chiffres clés : un cloud privé multi-site avec disaster recovery intégré atteint typiquement un RTO de 4 heures et un RPO de 15 minutes, contre 24 à 72 heures pour une infrastructure non redondée.
4. Chaîne d’approvisionnement (Art. 21.2.d)
Vous êtes responsable de la sécurité de vos fournisseurs. NIS2 impose une due diligence renforcée :
- Évaluation des risques liés à chaque prestataire ICT critique
- Clauses contractuelles de cybersécurité (DPA, SLA de sécurité, droit d’audit)
- Registre des fournisseurs ICT avec cartographie des dépendances
- Audit et supervision des sous-traitants
- Exigence clé : vous devez pouvoir documenter la localisation des données de chaque fournisseur
Le risque CLOUD Act : si un fournisseur cloud est soumis au CLOUD Act américain (AWS, Azure, GCP), les autorités américaines peuvent accéder à vos données sans votre consentement. NIS2 article 21.2.g attend des « garanties appropriées » pour les transferts hors UE — le CLOUD Act les rend impossibles.
Solution : exiger un hébergement en Europe avec une infrastructure 100 % open source (OpenNebula, Kubernetes), sans dépendance à un éditeur soumis au CLOUD Act.
5. Chiffrement et souveraineté des données (Art. 21.2.c et 21.2.g)
NIS2 exige explicitement le chiffrement des données en transit et au repos comme mesure de sécurité de base. Le choix de l’hébergeur devient un enjeu de conformité :
- Hébergement en Europe pour les données sensibles
- Maîtrise des clés de chiffrement (BYOK minimum, HYOK recommandé)
- Pas de transfert hors UE sans garanties adéquates
- Auditabilité de la chaîne de chiffrement de bout en bout
Point technique : le chiffrement au repos avec BYOK (Bring Your Own Key) signifie que vous contrôlez vos clés de chiffrement. Le HYOK (Hold Your Own Key) va plus loin : vos clés ne quittent jamais votre infrastructure. Chez AWS, Azure ou GCP, vos clés sont stockées dans leurs HSM — ce qui les rend accessibles via le CLOUD Act.
6. Gouvernance et responsabilité (Art. 20)
Les dirigeants sont personnellement responsables de la mise en conformité NIS2. En cas de manquement, les autorités peuvent :
- Suspendre les dirigeants de leurs fonctions de représentation
- Interdire aux dirigeants d’exercer des fonctions similaires
- Prononcer des amendes personnelles
Obligation de formation en cybersécurité pour les membres du conseil d’administration. Cette formation doit être régulière et adaptée au niveau de risque de l’organisation.
Conseil pratique : intégrez un point cybersécurité à chaque comité de direction. Documentez les décisions et les arbitrages. L’ANSSI vérifiera la trace des décisions de gouvernance lors des audits.
7. Supervision et audits (Art. 23 et 29-33)
L’autorité nationale (ANSSI en France) dispose de pouvoirs étendus :
- Audits sur site sans préavis
- Demande d’information et de preuve de conformité
- Imposition de mesures correctives avec délai
- Sanctions financières progressives
Les entités essentielles sont soumises à une supervision proactive (audits réguliers). Les entités importantes à une supervision réactive (sur signalement ou incident).
Préparez votre dossier d’audit : l’ANSSI attend une documentation structurée couvrant les 10 mesures de sécurité de l’art. 21.2. Un SIEM avec rapports automatisés et des runbooks as code constituent des preuves de conformité immédiatement exploitables.
NIS2 et le cloud : pourquoi la souveraineté est centrale
Le choix de votre infrastructure cloud conditionne directement votre capacité à répondre aux exigences NIS2 :
Données en Europe
NIS2 exige que les données essentielles restent sous juridiction européenne. Un cloud public américain (AWS, Azure, GCP) expose vos données au CLOUD Act, en contradiction avec les principes NIS2.
Maîtrise des clés
Le chiffrement est obligatoire, mais si votre fournisseur cloud détient vos clés, la protection est illusoire. Un cloud privé souverain vous donne la maîtrise complète de vos clés de chiffrement.
Auditabilité
Vous devez pouvoir prouver votre conformité à tout moment. Un cloud privé avec logs centralisés (SIEM) et runbooks as code facilite les audits.
Continuité d’activité
NIS2 exige un PRA testé. Notre Cloud & AI Factory déploie en 10 jours un cloud privé multi-site avec disaster recovery intégré.
Convergence réglementaire : NIS2 × DORA × RGPD × BCEAO
NIS2 ne s’applique pas en silo. Pour les organisations opérant dans le secteur financier ou en Afrique francophone, la conformité doit s’articuler avec d’autres cadres réglementaires :
| Obligation | NIS2 | DORA | RGPD | BCEAO |
|---|---|---|---|---|
| Notification d’incidents | 24h/72h/1 mois | 4h/72h/1 mois | 72h | 24h |
| Gestion des risques ICT | Art. 21 | Art. 5-16 | Art. 32 | Art. 3-7 |
| Chiffrement | Art. 21.2.c | Art. 9 | Art. 32.1.a | Art. 6 |
| Chaîne d’approvisionnement | Art. 21.2.d | Art. 28-44 | Art. 28 | Art. 5 |
| Tests de résilience | Recommandé | Obligatoire (TLPT) | Non | Recommandé |
| Sanctions | 10 M€ / 2 % CA | Variables | 20 M€ / 4 % CA | Variables |
Constat : DORA est plus exigeant que NIS2 sur les délais de notification (4h vs 24h) et les tests de résilience (TLPT obligatoire). Si vous êtes conforme DORA, vous l’êtes a fortiori pour NIS2 dans le domaine financier.
Pour l’Afrique : la BCEAO aligne progressivement ses exigences sur NIS2. Adopter une infrastructure conforme NIS2 en Europe facilite l’extension vers les marchés ouest-africains.
Comment Cloud Inspire simplifie la conformité NIS2
BUILD — Infrastructure conforme de départ
- Cloud privé OpenNebula sur datacenters certifiés (France et Côte d’Ivoire)
- Chiffrement de bout en bout avec gestion locale des clés (HYOK)
- Architecture multi-site pour le disaster recovery
- 100 % open source : chaîne d’approvisionnement logicielle auditable
SECURE — ZAK Cyber Copilot
- SIEM souverain (Wazuh) avec 500+ règles de détection
- Triage automatique de 70 % des alertes par l’IA
- Conformité RGPD, NIS2, DORA et BCEAO par défaut
- Rapports de conformité automatisés prêts pour l’ANSSI
RUN — MCO conforme
- Monitoring 24/7 avec rapports d’incidents prêts à notifier l’ANSSI
- Patching automatisé et vérifié (runbook as code)
- Runbooks as code pour chaque procédure NIS2
- Conservation des logs ≥ 12 mois (SIEM + Loki)
Le calendrier NIS2
| Date | Échéance |
|---|---|
| 17 octobre 2024 | Date limite de transposition par les États membres |
| 28 mars 2025 | Ordonnance de transposition en droit français |
| 2025 | Mise en œuvre progressive, désignation des entités essentielles |
| 2026 | Contrôle effectif par l’ANSSI, premiers audits sur site |
| 2027+ | Sanctions pleinement applicables |
Vous avez jusqu’en 2026 pour être conforme. Mais les audits de l’ANSSI commencent dès maintenant. Les organisations qui attendent le dernier moment s’exposent à des sanctions et à la suspension de leurs dirigeants.
ROI de la conformité NIS2
La mise en conformité NIS2 représente un investissement, mais les coûts de la non-conformité sont bien supérieurs :
| Poste | Non-conforme | Cloud Inspire (conforme NIS2) |
|---|---|---|
| Sanctions potentielles | Jusqu’à 10 M€ / 2 % CA | 0 € |
| Détection d’intrusion | 204 jours (moyenne IBM) | < 5 minutes (SIEM Wazuh) |
| Notification ANSSI 24h | Impossible sans SIEM | Automatique via runbook |
| PRA testé | Non documenté | RTO 4h / RPO 15 min |
| Audit ANSSI | Préparation : 3-6 mois | Dossier prêt en continu |
| Coût annuel SIEM+MCO | 150-300 K€ (MSSP externe) | Inclus dans le forfait Cloud Inspire |
Économie typique : une organisation de 200 employés qui passe d’une infrastructure non conforme à un cloud privé souverain Cloud Inspire économise 40 à 70 % sur ses coûts d’infrastructure tout en étant conforme NIS2 de jour 1.
Checklist NIS2 pour DSI
- Cartographie des actifs critiques (services essentiels)
- Analyse de risques formelle documentée (EBIOS RM ou ISO 27005)
- Politique de gestion des incidents avec délais NIS2 (24h/72h/1 mois)
- PRA et PCA testés et documentés (RTO/RPO mesurés)
- Audit de la chaîne d’approvisionnement (fournisseurs cloud, MSSP)
- Registre des fournisseurs ICT avec localisation des données
- Chiffrement des données en transit et au repos avec maîtrise des clés
- Formation cybersécurité des dirigeants (documentée)
- SIEM centralisé avec conservation des logs ≥ 12 mois
- Procédure de notification ANSSI via SIG-ANSSI
- Audit de conformité annuel (interne ou tiers)
- Documentation des 10 mesures de sécurité Art. 21.2
Demandez votre audit NIS2 gratuit
Un architecte Cloud Inspire réalise un diagnostic de votre conformité NIS2 en 48h. Sans engagement, sans frais. Nous identifions les gaps, calculons le coût de la non-conformité, et proposons un plan d’action priorisé.
→ Demander un audit NIS2 gratuit