La mise en application de NIS2 est en vigueur : ce qui a changé et par où commencer

La période de grâce est terminée

La directive NIS2 (Directive (UE) 2022/2555) imposait aux États membres de l'UE de transposer ses exigences en droit national avant le 17 octobre 2024. La plupart des États membres ont respecté cette échéance ou l'ont suivie de peu. Au premier trimestre 2026, l'application nationale est active dans toute l'UE.

Les autorités nationales compétentes (ANC) mènent désormais des audits. Le BSI allemand a fixé une date limite d'enregistrement des entités en avril 2026. L'ANSSI française a commencé les vérifications de conformité fin 2025. Les Pays-Bas, la Belgique et les pays nordiques suivent des calendriers similaires.

Si vous opérez dans l'UE et relevez du champ d'application de NIS2 — qui couvre désormais un éventail bien plus large de secteurs et de tailles d'entités que la directive NIS originale — vous êtes soumis à audit dès aujourd'hui.

Ce qui a réellement changé par rapport à NIS1

NIS2 n'est pas une mise à jour incrémentale. C'est une expansion fondamentale :

• Le périmètre est passé d'environ 10 000 à environ 160 000 entités dans l'UE. La directive NIS originale couvrait les opérateurs d'infrastructures critiques. NIS2 y ajoute la fabrication, la production alimentaire, la gestion des déchets, les services postaux, la chimie, les fournisseurs numériques, et bien d'autres secteurs.
• Classification à deux niveaux : les entités essentielles (énergie, transport, santé, eau, infrastructure numérique, banque, espace) et les entités importantes (fabrication, alimentation, chimie, services postaux, recherche, gestion des déchets, fournisseurs numériques). Les deux doivent se conformer. La différence porte sur les niveaux de sanctions et les régimes d'audit.
• Responsabilité des dirigeants : l'article 20 rend les organes de direction personnellement responsables de l'approbation des mesures de gestion des risques en matière de cybersécurité. Les dirigeants doivent recevoir une formation en cybersécurité. La responsabilité personnelle est engagée — nous détaillons les implications dans notre analyse de la responsabilité des dirigeants au titre de NIS2 et pourquoi les cadres dirigeants sont personnellement exposés.
• Sécurité de la chaîne d'approvisionnement : l'article 21(2)(d) impose aux organisations de traiter les risques de cybersécurité dans leurs chaînes d'approvisionnement et leurs relations avec les fournisseurs. Ces exigences se répercutent sur les prestataires et fournisseurs.
• Notification des incidents renforcée : alerte précoce au CSIRT sous 24 heures, notification d'incident sous 72 heures, et rapport final dans un délai d'un mois.

Structure des sanctions

Les sanctions sont conçues pour attirer l'attention des conseils d'administration :

Le montant le plus élevé des deux s'applique. Pour un fabricant réalisant 500 M EUR de chiffre d'affaires, le plafond pour une entité essentielle est de 10 M EUR. Pour un fabricant réalisant 100 M EUR, il reste de 2 M EUR.

Au-delà des amendes, les ANC peuvent :

• Ordonner la suspension temporaire de certifications ou d'autorisations
• Interdire temporairement aux dirigeants d'exercer leurs fonctions
• Émettre des injonctions contraignantes assorties de délais de mise en conformité définis

Calendrier d'application par pays

Les États membres n'avancent pas tous au même rythme. Voici la situation dans les principaux marchés :

L'Allemagne et la France sont les plus avancées. Si vous opérez dans l'un ou l'autre de ces marchés, votre fenêtre d'audit est ouverte dès maintenant.

Ce que les auditeurs examinent en premier

Sur la base des premières mesures d'application et des orientations des ANC, les auditeurs accordent la priorité aux points suivants :

1. Structure de gouvernance — Un responsable de la cybersécurité est-il nommé ? La direction a-t-elle approuvé le cadre de gestion des risques ? Les organes de direction ont-ils reçu une formation ?

2. Inventaire des actifs — Connaissez-vous votre parc ? Pouvez-vous produire un inventaire complet des systèmes de réseau et d'information, y compris les actifs OT ? C'est le point de départ des auditeurs.

3. Segmentation du réseau et contrôle des accès — Les systèmes critiques sont-ils isolés ? Les accès sont-ils contrôlés selon le principe du moindre privilège ? Les réseaux non segmentés avec accès ouverts constituent un constat immédiat.

4. Capacité de réponse aux incidents — Disposez-vous d'un plan de réponse aux incidents documenté et testé ? Pouvez-vous respecter les délais d'alerte précoce de 24 heures et de notification de 72 heures ?

5. Gestion des risques liés à la chaîne d'approvisionnement — Avez-vous évalué la posture de cybersécurité de vos fournisseurs critiques ? Vos contrats incluent-ils des exigences de sécurité ?

Pour les organisations à forte composante OT — fabricants, opérateurs énergétiques, services des eaux — les auditeurs examinent spécifiquement :

• Si les réseaux OT sont segmentés par rapport aux réseaux IT
• Si l'accès à distance aux systèmes OT est contrôlé et journalisé
• Si les actifs OT sont inclus dans l'inventaire des actifs
• Si les plans de réponse aux incidents couvrent les scénarios propres à l'OT

L'écart de conformité OT

La plupart des organisations qui se préparaient à NIS2 ont commencé par leurs environnements IT. Sécurité de la messagerie, protection des postes de travail, gestion des identités, configurations cloud — ces domaines disposent d'outils matures et de playbooks déjà établis.

Les environnements OT sont différents. Les défis sont spécifiques et persistants :

• Les systèmes de contrôle industriel utilisent des protocoles propriétaires que les outils de sécurité IT standard ne comprennent pas
• Les PLCs, RTUs et HMIs n'ont jamais été conçus pour accueillir des logiciels de sécurité sur les équipements et ne peuvent pas les accepter
• L'application de correctifs nécessite des fenêtres de maintenance qui peuvent n'intervenir que trimestriellement — voire annuellement
• La visibilité réseau est limitée car de nombreux réseaux OT ne disposent pas de supervision centralisée
• Les équipements anciens sont antérieurs aux standards d'authentification modernes

Ce ne sont pas des problèmes hypothétiques. C'est la raison pour laquelle les environnements OT apparaissent systématiquement comme le plus grand écart de conformité dans les évaluations de préparation à NIS2.

Y remédier nécessite des contrôles au niveau réseau qui fonctionnent autour des équipements anciens : des appliances de segmentation qui appliquent les politiques d'accès aux frontières de zones, capturent les journaux de trafic à des fins d'audit et offrent une visibilité sur les communications en protocoles industriels — sans toucher aux équipements eux-mêmes.

Un plan d'action prioritaire en 5 étapes

Si vous êtes soumis à NIS2 et n'avez pas finalisé votre programme de conformité, voici où concentrer vos efforts :

Étape 1 : S'enregistrer auprès de votre ANC (Délai : immédiat)

Si votre État membre exige l'enregistrement des entités — ce qui est le cas pour la plupart — c'est votre première tâche administrative. En Allemagne, le portail d'enregistrement du BSI est ouvert avec une date limite en avril 2026. L'absence d'enregistrement ne vous exempte pas de la conformité ; elle ajoute simplement une violation.

Étape 2 : Compléter votre inventaire des actifs (Semaines 1 à 4)

Vous ne pouvez pas protéger ce que vous ne connaissez pas. Constituez un inventaire complet de :

• Tous les systèmes IT (serveurs, postes de travail, services cloud, applications)
• Tous les systèmes OT (PLCs, HMIs, serveurs SCADA, historiens, postes de travail d'ingénierie)
• Toute l'infrastructure réseau (commutateurs, routeurs, pare-feux, points d'accès sans fil)
• Tous les chemins d'accès à distance (concentrateurs VPN, serveurs de rebond, connexions fournisseurs)

Étape 3 : Mettre en œuvre la segmentation réseau (Semaines 4 à 12)

Séparez les systèmes OT critiques des réseaux IT. Appliquez des politiques de refus par défaut aux points de frontière. Pour les environnements OT, déployez des appliances réseau en ligne ou en mode passif capables d'appliquer la segmentation sans nécessiter de modifications au niveau des équipements.

Priorités :

• Application de la frontière IT/OT
• Contrôle des accès à distance et journalisation des sessions
• Isolation des systèmes critiques pour la sûreté

Étape 4 : Établir une capacité de réponse aux incidents (Semaines 4 à 8)

Documentez et testez un plan de réponse aux incidents qui :

• Couvre les scénarios IT et OT
• Respecte l'exigence d'alerte précoce de 24 heures
• Identifie votre CSIRT et les procédures de notification
• Inclut des modèles de communication et des chemins d'escalade

Étape 5 : Tout documenter (En continu)

La conformité NIS2 repose sur les preuves. Constituez et maintenez :

• Un cadre de gestion des risques approuvé par la direction
• Des politiques de sécurité couvrant toutes les mesures de l'article 21
• Des enregistrements des formations des dirigeants
• Des évaluations de sécurité des fournisseurs
• Les résultats des tests de réponse aux incidents
• Des journaux d'audit démontrant l'efficacité des contrôles

Les organisations qui passent les audits sans difficulté sont celles qui ont commencé par leurs angles morts OT, mis en place des contrôles au niveau réseau qu'elles peuvent effectivement démontrer, et documenté chaque décision. Les sous-traitants de défense opérant à la fois aux États-Unis et dans l'UE devraient également examiner comment une architecture de conformité unique peut satisfaire à la fois CMMC et NIS2. Si votre réseau OT est encore un espace plat et non supervisé derrière un seul pare-feu — c'est là que doit aller votre premier investissement.

Pour plus de ressources NIS2, des options de déploiement souverain et des guides de conformité, consultez le hub NIS2 Conformité pour l'OT sur site.