NIS2 & DORA en vigueur. EU AI Act arrive — réservez une démo
Tous les référentiels
Cadre réglementaire

Conformité NIS2 pour les entités essentielles et importantes

La directive NIS2 relève les exigences en matière de cybersécurité dans toute l’UE. Matproof vous aide à répondre aux nouvelles exigences — de la gestion des risques à la déclaration d’incidents sous 24 heures.

Demander une démo

Qu'est-ce que la Directive NIS2 ?

La Directive NIS2 (Directive UE 2022/2555) est la législation européenne globale en matière de cybersécurité qui remplace et renforce considérablement la Directive NIS originale de 2016. Adoptée en décembre 2022, NIS2 établit un niveau commun élevé de cybersécurité dans toute l'UE en imposant des obligations uniformes de gestion des risques et de déclaration des incidents à un champ d'application considérablement élargi de secteurs et d'entités. Les États membres devaient transposer la directive en droit national avant le 17 octobre 2024.

La Directive NIS originale souffrait d'une mise en œuvre incohérente entre les États membres, d'un champ d'application limité et de mécanismes d'application insuffisants. NIS2 remédie à ces lacunes en couvrant 18 secteurs (contre 7), en introduisant des critères de taille pour déterminer les entités concernées, en harmonisant les exigences de cybersécurité, en établissant des délais plus stricts de déclaration des incidents et en créant un régime d'application significatif avec des sanctions importantes pour non-conformité.

L'une des innovations les plus significatives de NIS2 est l'introduction explicite de la responsabilité de la direction. L'Article 20 exige que les organes de direction approuvent et supervisent les mesures de gestion des risques de cybersécurité, suivent une formation régulière en cybersécurité et assument la responsabilité personnelle en cas de manquement à la conformité. Cela représente un changement fondamental : la cybersécurité n'est plus une fonction purement technique mais une responsabilité de gouvernance au niveau du conseil d'administration.

En Allemagne, la Directive NIS2 est transposée par la NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstaerkungsgesetz), qui modifie la loi BSI existante (BSIG). L'Office fédéral de la sécurité des technologies de l'information (BSI) sert d'autorité nationale compétente et de point de contact unique. La mise en œuvre allemande ajoute des dispositions nationales dans des domaines tels que les obligations d'enregistrement, les exigences techniques spécifiques et les procédures d'application, en s'appuyant sur le cadre existant de protection des infrastructures critiques de l'Allemagne (KRITIS).

Qui a besoin de la conformité NIS2 ?

NIS2 utilise une approche fondée sur la taille combinée à la classification sectorielle pour déterminer les entités concernées. En général, les organisations de taille moyenne (50+ employés ou 10 M EUR+ de chiffre d'affaires annuel) et les grandes organisations dans les 18 secteurs désignés entrent dans le champ d'application. La directive distingue les entités essentielles (soumises à une supervision proactive) et les entités importantes (soumises à une supervision réactive).

Secteurs d'entités essentielles

  • Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire et infrastructure des marchés financiers
  • Santé (hôpitaux, laboratoires, industrie pharmaceutique, dispositifs médicaux)
  • Eau potable et eaux usées
  • Infrastructure numérique (IXP, DNS, TLD, cloud, centres de données)
  • Gestion des services TIC (B2B) et administration publique
  • Espace

Secteurs d'entités importantes

  • Services postaux et de courrier
  • Gestion des déchets
  • Fabrication et distribution de produits chimiques
  • Production, transformation et distribution alimentaires
  • Industrie manufacturière (dispositifs médicaux, électronique, machines, véhicules)
  • Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
  • Organismes de recherche

Certaines entités sont couvertes indépendamment de leur taille, notamment les fournisseurs de réseaux de communications électroniques publics, les fournisseurs de services DNS, les registres de TLD et les entités qui sont le seul fournisseur d'un service critique dans un État membre. Les organisations de la chaîne d'approvisionnement des entités essentielles et importantes peuvent également être indirectement affectées, car NIS2 exige des entités concernées qu'elles gèrent les risques de cybersécurité dans leurs chaînes d'approvisionnement. En Allemagne, le BSI estime qu'environ 30 000 entités entreront dans le champ d'application de la NIS2UmsuCG.

Not sure if you're compliant?

Take the free NIS2 readiness assessment — 10 questions, 3 minutes.

Check your readiness

Exigences clés de NIS2 en détail

1. Mesures de gestion des risques de cybersécurité (Article 21)

Les entités essentielles et importantes doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité. L'Article 21(2) spécifie des mesures minimales comprenant les politiques de sécurité des systèmes d'information et l'analyse des risques, la gestion des incidents, la continuité d'activité et la gestion de crise, la sécurité de la chaîne d'approvisionnement, la sécurité dans l'acquisition des réseaux et systèmes d'information, les politiques d'évaluation de l'efficacité des mesures, les pratiques de base en matière de cyberhygiène et la formation, les politiques de cryptographie et de chiffrement, la sécurité des ressources humaines et l'authentification multifacteur.

2. Déclaration des incidents (Articles 23-24)

NIS2 introduit un processus structuré de déclaration des incidents en plusieurs étapes. Les organisations doivent soumettre une alerte précoce à l'autorité compétente ou au CSIRT dans les 24 heures suivant la prise de connaissance d'un incident significatif. Une notification d'incident avec une évaluation initiale doit suivre dans les 72 heures. Un rapport final avec l'analyse des causes profondes, l'évaluation de l'impact et les mesures de remédiation doit être soumis dans un délai d'un mois. Un incident est considéré comme significatif s'il cause ou peut causer une perturbation opérationnelle grave ou une perte financière, ou s'il affecte d'autres personnes en causant des dommages matériels ou immatériels considérables.

3. Responsabilité de la direction (Article 20)

NIS2 exige explicitement que les organes de direction approuvent les mesures de gestion des risques de cybersécurité, supervisent leur mise en œuvre et soient responsables de la non-conformité. Les membres de la direction doivent suivre une formation régulière et adéquate en cybersécurité pour développer des connaissances et compétences suffisantes pour identifier les risques, évaluer les pratiques de gestion de la cybersécurité et apprécier leur impact sur les services. Cette obligation ne peut pas être déléguée, et la direction peut faire l'objet de sanctions personnelles en cas de manquement.

4. Sécurité de la chaîne d'approvisionnement (Article 21(2)(d))

Les entités doivent traiter les risques de cybersécurité dans leurs chaînes d'approvisionnement et leurs relations avec les fournisseurs. Cela comprend l'évaluation de la posture de sécurité des fournisseurs directs, l'intégration d'exigences de cybersécurité dans les accords contractuels, la surveillance de la conformité des fournisseurs et la gestion des risques découlant de l'utilisation de produits et services TIC. Les évaluations des risques de la chaîne d'approvisionnement doivent prendre en compte la qualité et la résilience globales des produits, les pratiques de cybersécurité des fournisseurs et tout risque spécifique lié aux pays de localisation des fournisseurs.

5. Continuité d'activité et gestion de crise (Article 21(2)(c))

Les organisations doivent mettre en œuvre une gestion de la continuité d'activité incluant la gestion des sauvegardes et la reprise après sinistre, ainsi que des procédures de gestion de crise. Les plans doivent couvrir la continuité des services critiques, définir les rôles et responsabilités pendant les incidents, établir des procédures de communication et inclure des programmes réguliers de tests et d'exercices. Les plans de continuité d'activité doivent tenir compte des dépendances envers les prestataires de services tiers et inclure des dispositions alternatives pour les services critiques.

6. Gestion et divulgation des vulnérabilités (Articles 12-13)

NIS2 établit un cadre de divulgation coordonnée des vulnérabilités à travers l'Agence de l'UE pour la cybersécurité (ENISA). Les entités doivent mettre en œuvre des procédures de gestion et de divulgation des vulnérabilités, réaliser des évaluations régulières des vulnérabilités et appliquer les correctifs de sécurité en temps opportun. L'ENISA maintient une base de données européenne des vulnérabilités, et les CSIRT servent d'intermédiaires de confiance pour la divulgation coordonnée des vulnérabilités. Les organisations doivent également participer aux processus de notification des vulnérabilités lorsqu'elles sont informées par les autorités.

7. Enregistrement et coopération (Articles 3, 25-29)

Les entités essentielles et importantes doivent s'enregistrer auprès de l'autorité compétente, en fournissant des informations sur leur entité, leur secteur, sous-secteur, coordonnées et plages d'adresses IP. La directive établit un cadre de coopération comprenant le Groupe de coopération (orientation stratégique), le Réseau des CSIRT (coopération opérationnelle) et l'EU-CyCLONe (gestion de crise). Les entités doivent coopérer avec les autorités lors des activités de supervision et des enquêtes sur les incidents.

8. Authentification multifacteur et contrôle d'accès

NIS2 exige explicitement l'utilisation de l'authentification multifacteur ou de solutions d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés, le cas échéant. Les politiques de contrôle d'accès doivent suivre le principe du moindre privilège, et les organisations doivent mettre en œuvre des systèmes de gestion des identités, de gestion des accès à privilèges et des revues d'accès régulières. Ces exigences s'appliquent aux systèmes internes comme aux services exposés.

Sanctions en cas de non-conformité à NIS2

NIS2 introduit un régime d'application considérablement renforcé par rapport à la Directive NIS originale. Les autorités compétentes disposent de larges pouvoirs de surveillance, et les sanctions sont conçues pour être efficaces, proportionnées et dissuasives. La directive différencie les sanctions entre les entités essentielles et importantes.

Jusqu'à 10 M EUR / 2 %

Amendes maximales pour les entités essentielles : 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel total, le montant le plus élevé étant retenu

Jusqu'à 7 M EUR / 1,4 %

Amendes maximales pour les entités importantes : 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel total, le montant le plus élevé étant retenu

Responsabilité personnelle

Les membres de l'organe de direction peuvent être tenus personnellement responsables et faire l'objet d'interdictions temporaires d'exercer des fonctions de direction pour les entités essentielles

Suspension de service

Pour les entités essentielles, les autorités peuvent suspendre ou interdire temporairement à une personne physique d'exercer des fonctions de direction et suspendre les certifications ou autorisations

Les entités essentielles font l'objet d'une supervision proactive, ce qui signifie que les autorités peuvent réaliser des audits réguliers, des analyses de sécurité, des inspections sur site et demander des preuves de conformité à tout moment. Les entités importantes sont soumises à une supervision réactive — les autorités interviennent sur la base de preuves de non-conformité, telles que des rapports d'incidents ou des plaintes. En Allemagne, le BSI dispose de pouvoirs d'application supplémentaires en vertu de la NIS2UmsuCG, y compris la capacité d'émettre des instructions contraignantes, de nommer des agents de surveillance et de restreindre ou d'interdire la fourniture de services.

Comment atteindre la conformité NIS2

Le délai de transposition nationale étant passé en octobre 2024, les organisations concernées devraient travailler activement vers une conformité complète à NIS2. Voici une approche structurée :

  1. 1

    Cadrage et auto-évaluation

    Déterminez si votre organisation entre dans le champ d'application de NIS2 en évaluant votre secteur, votre taille (employés et chiffre d'affaires) et la criticité de vos services. Classifiez-vous en tant qu'entité essentielle ou importante selon les critères de la directive. Examinez la loi nationale de transposition (NIS2UmsuCG en Allemagne) pour d'éventuelles exigences nationales supplémentaires. Enregistrez-vous auprès de l'autorité compétente (BSI en Allemagne) selon les modalités requises.

  2. 2

    Analyse des écarts par rapport aux exigences de l'Article 21

    Évaluez votre posture de cybersécurité actuelle par rapport aux 10 mesures minimales spécifiées à l'Article 21(2). Identifiez les lacunes en matière de politiques de gestion des risques, de gestion des incidents, de continuité d'activité, de sécurité de la chaîne d'approvisionnement, de gestion des vulnérabilités, de cryptographie, de contrôle d'accès et de formation des employés. Priorisez la remédiation en fonction du risque et des attentes réglementaires. Faites correspondre les contrôles existants d'ISO 27001, DORA ou d'autres cadres aux exigences NIS2.

  3. 3

    Engagement et formation de l'organe de direction

    Informez l'organe de direction des obligations NIS2, y compris sa responsabilité personnelle au titre de l'Article 20. Organisez une formation en cybersécurité pour tous les membres de la direction. Établissez des processus de gouvernance pour l'approbation par la direction des mesures de gestion des risques et le reporting régulier sur l'état de la cybersécurité. Documentez les décisions et les activités de surveillance de la direction pour démontrer la conformité.

  4. 4

    Mettre en œuvre les mesures de gestion des risques de cybersécurité

    Mettez en œuvre ou renforcez les 10 mesures minimales requises par l'Article 21. Cela comprend le déploiement de l'authentification multifacteur, la mise en place de la segmentation réseau et du chiffrement, l'établissement de processus de gestion des vulnérabilités, la création de plans de continuité d'activité et de reprise après sinistre, et la construction d'un programme complet de sécurité de la chaîne d'approvisionnement. Assurez-vous que toutes les mesures sont proportionnées à votre profil de risque et à la criticité de vos services.

  5. 5

    Établir les capacités de déclaration des incidents

    Construisez des processus de détection, de classification et de déclaration des incidents qui respectent les délais stricts de NIS2 : alerte précoce à 24 heures, notification d'incident à 72 heures et rapport final à un mois. Établissez des canaux de communication avec l'autorité compétente (BSI) et les CSIRT concernés. Définissez ce qui constitue un "incident significatif" pour votre organisation et créez des modèles de notification pré-approuvés. Réalisez des exercices sur table pour tester votre capacité à respecter les délais de déclaration.

  6. 6

    Conformité continue et surveillance

    Mettez en place une surveillance continue de votre posture de cybersécurité, des risques de la chaîne d'approvisionnement et de l'efficacité des contrôles. Réalisez régulièrement des évaluations de sécurité, des analyses de vulnérabilités et des tests de pénétration. Révisez et mettez à jour les mesures de gestion des risques en fonction de l'évolution des menaces, des incidents et des orientations réglementaires. Utilisez Matproof pour automatiser la surveillance des contrôles, la collecte de preuves et le reporting de conformité, garantissant une préparation continue aux activités de supervision.

Questions fréquentes sur NIS2

Qu'est-ce que la Directive NIS2 ?

NIS2 (Directive UE 2022/2555) est la directive européenne mise à jour sur la sécurité des réseaux et des systèmes d'information. Elle remplace la Directive NIS originale de 2016 et élargit considérablement son champ d'application, couvrant 18 secteurs et introduisant des exigences plus strictes en matière de cybersécurité, des obligations de déclaration des incidents et la responsabilité de la direction. Les États membres devaient transposer NIS2 en droit national avant le 17 octobre 2024.

Quelle est la différence entre les entités essentielles et importantes sous NIS2 ?

NIS2 classe les entités en deux groupes selon le secteur et la taille. Les entités essentielles comprennent les secteurs comme l'énergie, les transports, le secteur bancaire, l'infrastructure des marchés financiers, la santé, l'eau potable, l'infrastructure numérique et l'administration publique. Les entités importantes couvrent les secteurs comme les services postaux, la gestion des déchets, la production alimentaire, l'industrie manufacturière et les fournisseurs numériques. Les entités essentielles font l'objet d'une supervision plus stricte (proactive) et de sanctions plus élevées (10 M EUR ou 2 %), tandis que les entités importantes sont supervisées de manière réactive avec des sanctions moins élevées (7 M EUR ou 1,4 %).

Quels sont les délais de déclaration des incidents NIS2 ?

NIS2 introduit un processus de déclaration en plusieurs étapes : une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident significatif, une notification d'incident dans les 72 heures avec une évaluation initiale de la gravité et de l'impact, un rapport intermédiaire sur demande de l'autorité compétente, et un rapport final dans un délai d'un mois après la notification d'incident détaillant les causes profondes, l'impact et les mesures de remédiation. Les incidents transfrontaliers doivent également être signalés aux CSIRT concernés.

NIS2 s'applique-t-elle à mon organisation ?

NIS2 s'applique aux organisations de taille moyenne et grande (50+ employés ou 10 M EUR+ de chiffre d'affaires) dans 18 secteurs désignés : énergie, transports, secteur bancaire, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administration publique, espace, services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques et recherche. Certaines entités sont concernées indépendamment de leur taille, notamment les fournisseurs DNS, les registres TLD et les fournisseurs de réseaux de communications électroniques publics.

Qu'est-ce que la NIS2UmsuCG ?

La NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstaerkungsgesetz) est la loi nationale allemande transposant la Directive NIS2. Elle modifie la loi BSI existante (BSIG) et introduit des exigences nationales alignées sur NIS2, y compris les obligations d'enregistrement auprès du BSI (Bundesamt fuer Sicherheit in der Informationstechnik), la déclaration des incidents au BSI et des mesures spécifiques de cybersécurité. La mise en œuvre allemande ajoute certaines dispositions nationales au-delà des exigences minimales de NIS2.

La direction peut-elle être tenue personnellement responsable en vertu de NIS2 ?

Oui. NIS2 introduit explicitement la responsabilité de la direction à l'Article 20. Les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et peuvent être tenus responsables en cas d'infraction. Les membres de la direction doivent également suivre une formation en cybersécurité. En Allemagne, la NIS2UmsuCG précise en outre que la direction ne peut pas déléguer cette responsabilité et que les dirigeants peuvent être personnellement financièrement responsables des manquements à la conformité.

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Fonctionnalités clés

Gestion des risques de cybersécurité

Mettez en œuvre les mesures de gestion des risques exigées par l’Article 21. Évaluations des risques automatisées, plans de traitement et surveillance continue.

Déclaration d’incidents (24 h/72 h)

Respectez les délais stricts de déclaration NIS2 : alerte précoce sous 24 heures, notification complète de l’incident sous 72 heures auprès de votre CSIRT national.

Sécurité de la chaîne d’approvisionnement

Évaluez et surveillez les risques de la chaîne d’approvisionnement ICT. Suivez la posture de sécurité des fournisseurs et les exigences contractuelles.

Responsabilité de la direction

Documentez la supervision par les organes de direction, les exigences de formation et la conformité en matière de responsabilité personnelle comme l’exige l’Article 20.

Continuité d’activité

Gestion des sauvegardes, plans de reprise d’activité et gestion de crise. Documentez et testez vos mesures de résilience.

Politiques de sécurité et formation

Politiques de cybersécurité générées par IA et programmes de sensibilisation des employés alignés sur les exigences NIS2.

Pourquoi Matproof

Couvre toutes les mesures de gestion des risques de l’Article 21
Workflows de déclaration d’incidents 24 h/72 h intégrés
Gestion des risques de la chaîne d’approvisionnement incluse
Documentation de la responsabilité de la direction

Conformité conformité à travers l’Allemagne

Trouvez des guides de conformité spécifiques à votre ville pour votre institution financière.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Voir toutes les villes et référentiels

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Témoignages clients

Les équipes qui ne redoutent plus la saison des audits.

85 %de préparation en moins

Matproof nous a fait gagner des mois de préparation d'audit. Nous avons connecté nos outils le lundi et dès le vendredi, nous avions des preuves cartographiées selon DORA. Notre auditeur a été impressionné par la profondeur de la piste d'audit.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Prêt à commencer ?

Prêt à commencer ?

Découvrez comment Matproof automatise la conformité pour votre organisation.

Demander une démo