NIS2 et notification d'incident cyber : guide pour les opérateurs essentiels et importants en 2026

La directive NIS2 redéfinit le cadre européen de cybersécurité pour les opérateurs essentiels et importants. Adoptée fin 2022, elle élargit le périmètre de la directive NIS de 2016 à 18 secteurs et près de 15 000 entités françaises selon les estimations de l’ANSSI, contre 500 sous l’ancien régime OSE. Pour les RSSI, DSI et DPO, NIS2 impose un changement de doctrine, avec une logique d’auto-identification des entités, des obligations de gestion des risques cyber unifiées et un régime de notification d’incident accéléré (24 heures, 72 heures, un mois) assorti de sanctions effectives.

NIS2 en 50 mots. La directive (UE) 2022/2555 du 14 décembre 2022 remplace la directive NIS de 2016. Elle s’applique à 18 secteurs essentiels et importants, impose dix mesures minimales de gestion des risques (article 21) et un schéma de notification 24h / 72h / 1 mois (article 23). Sanctions jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles.

Ce guide détaille le périmètre de NIS2, le calendrier de transposition en France, les délais de notification d’incident, les dix mesures de gestion des risques et le régime de sanctions. Il s’adresse aux équipes qui doivent transformer la directive en mesures techniques et organisationnelles concrètes avant que les autorités nationales ne commencent les contrôles.

Qu’est-ce que NIS2 et qui est concerné ?

NIS2 est le nom usuel de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, qui abroge la directive NIS de 2016. Là où NIS1 reposait sur la désignation d’opérateurs de services essentiels (OSE) par chaque État membre, NIS2 introduit un mécanisme d’auto-identification : toute entité qui dépasse certains seuils de taille et qui exerce une activité dans l’un des secteurs visés par les annexes I et II de la directive est automatiquement qualifiée d’entité essentielle ou d’entité importante.

La distinction entre les deux statuts repose sur deux critères. Les entités essentielles sont les organisations de plus de 250 salariés ou dont le chiffre d’affaires annuel dépasse 50 millions d’euros et le bilan 43 millions d’euros, lorsqu’elles opèrent dans les secteurs hautement critiques de l’annexe I. Les entités importantes regroupent les organisations de plus de 50 salariés ou de chiffre d’affaires annuel et bilan dépassant 10 millions d’euros, soit dans les secteurs hautement critiques, soit dans les secteurs critiques de l’annexe II. Les microentreprises et petites entreprises sont en principe exclues, sauf cas particuliers (fournisseurs DNS, prestataires de services de confiance, registres de noms de domaine, opérateurs de communications électroniques publics, administrations publiques).

Au total, 18 secteurs sont couverts par NIS2. Les secteurs hautement critiques de l’annexe I sont l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC en B2B, l’administration publique et l’espace. Les secteurs critiques de l’annexe II ajoutent les services postaux et de courrier, la gestion des déchets, la fabrication et la distribution de produits chimiques, la production et la distribution de denrées alimentaires, la fabrication de dispositifs médicaux et de produits informatiques, électroniques, optiques, électriques, de machines, de véhicules, les fournisseurs de services numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux) et la recherche.

Selon les estimations publiées par l’ANSSI, la transposition en France ferait passer le nombre d’entités assujetties d’environ 500 sous NIS1 à près de 15 000 sous NIS2. Cet élargissement, combiné à l’augmentation du nombre de secteurs (de 6 à 18), explique pourquoi NIS2 est souvent présentée comme la première vraie réglementation cyber transversale à l’échelle européenne.

Calendrier de transposition en France et autorité ANSSI

NIS2 fixait au 17 octobre 2024 la date limite de transposition par les États membres. Tous les pays n’ont pas tenu ce calendrier, et la France figure parmi ceux qui ont entamé la transposition mais ne l’ont pas finalisée à temps. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (PJL Résilience), qui transpose simultanément trois directives européennes (NIS2, REC sur la résilience des entités critiques, et DORA pour le secteur financier), a été déposé au Sénat fin 2024.

Le Sénat l’a adopté en première lecture le 12 mars 2025. Le texte a ensuite été examiné en commission spéciale à l’Assemblée nationale, qui l’a adopté à l’unanimité le 10 septembre 2025. La promulgation et la publication des décrets d’application sectoriels conditionnent la pleine entrée en vigueur du dispositif en France. Les équipes conformité doivent considérer 2026 comme l’année de mise en route opérationnelle, en gardant à l’esprit que NIS2 est d’effet direct partiel sur certains points (en particulier l’obligation pour les autorités nationales de coopérer avec les CSIRT et l’ENISA).

L’autorité nationale compétente en France est l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui assume également le rôle de point de contact unique au sens de l’article 8 de la directive et de CSIRT national pour les notifications d’incident. L’ANSSI a mis en place plusieurs outils opérationnels avant même la finalisation de la transposition : la plateforme MonEspaceNIS2 permet aux entités de vérifier leur assujettissement et de s’enregistrer en ligne, et le Référentiel Cyber France (ReCyF), publié en mars 2026, liste les mesures recommandées par l’agence pour atteindre les objectifs de sécurité fixés par NIS2.

Pour les groupes multi-pays, le point d’attention principal reste la coordination entre régulateurs. Une entité présente dans plusieurs États membres peut être supervisée par plusieurs autorités nationales, avec des obligations de notification potentiellement parallèles. La directive prévoit un mécanisme de coopération via le groupe de coopération NIS et l’ENISA, mais la pratique montre que la cartographie de l’exposition réglementaire reste à la charge des entités.

Différences NIS1 vs NIS2 : ce qui change concrètement

NIS2 ne se contente pas d’élargir le périmètre. La directive change la doctrine sur cinq points qui méritent une attention particulière des équipes conformité.

Auto-identification au lieu de désignation. Sous NIS1, l’État désignait les OSE individuellement. Sous NIS2, toute entité qui remplit les critères de taille et de secteur devient automatiquement essentielle ou importante, sans acte administratif individuel. La charge de l’identification est transférée à l’entité elle-même, ce qui implique une cartographie interne précise des activités et un suivi des évolutions de périmètre (croissance, acquisition, nouveau pays).

Obligations harmonisées. NIS1 laissait une large marge aux États membres sur le contenu des mesures de sécurité. NIS2 fixe à l’article 21 un socle minimal de dix mesures qui s’imposent à toutes les entités, essentielles comme importantes, et qui doivent être interprétées de façon cohérente par les régulateurs nationaux. Le texte est plus prescriptif que la directive de 2016.

Régime de notification accéléré. NIS1 imposait une notification sans délai indu, sans calendrier précis. NIS2 cadre les notifications en trois étapes : 24 heures pour l’alerte précoce, 72 heures pour la notification structurée, un mois pour le rapport final. Cette précision rapproche NIS2 de l’article 33 du RGPD et oblige à une chaîne de détection et de qualification industrialisée.

Responsabilité explicite des dirigeants. L’article 20 de NIS2 introduit une obligation pour les organes de direction d’approuver les mesures de gestion des risques, de superviser leur mise en œuvre et de suivre une formation cybersécurité. La directive prévoit des sanctions individuelles à l’encontre des dirigeants, y compris la suspension temporaire de leurs fonctions exécutives. Cette logique de responsabilité personnelle est nouvelle dans le paysage cyber européen.

Sanctions financières dissuasives. NIS1 ne fixait pas de plafond européen harmonisé. NIS2 introduit deux plafonds distincts pour entités essentielles et importantes, calés sur le chiffre d’affaires mondial, dans la lignée du RGPD.

Notification d’incident : délais 24h / 72h / 1 mois (article 23 NIS2)

L’article 23 de la directive (UE) 2022/2555 impose à toute entité essentielle ou importante de notifier au CSIRT compétent ou à l’autorité nationale tout incident important, sans retard injustifié. Le texte structure cette notification en trois étapes successives, avec des objectifs différents à chaque étape.

La première étape est l’alerte précoce, due dans un délai de 24 heures à compter de la prise de connaissance de l’incident important. Elle doit indiquer si l’incident est suspecté d’être causé par un acte malveillant ou s’il pourrait avoir un impact transfrontalier. À ce stade, l’objectif n’est pas la complétude mais la mise en alerte du dispositif national, qui pourra mobiliser le CSIRT, partager des indicateurs au niveau européen et aider à la qualification.

La deuxième étape est la notification d’incident proprement dite, due dans un délai de 72 heures. Elle complète l’alerte précoce avec une évaluation initiale de l’incident, de sa gravité, de son impact et, lorsque cela est disponible, des indicateurs de compromission. C’est le rapport opérationnel qui mobilise le plus les équipes SOC et CSIRT internes, car il requiert une chaîne de détection mature, une procédure de qualification écrite et une astreinte sécurité capable de produire un livrable structuré sous 72 heures.

La troisième étape est le rapport final, dû dans un délai d’un mois après la notification d’incident. Il doit comprendre une description détaillée de l’incident, sa cause racine et les mesures d’atténuation appliquées, ainsi qu’une évaluation de l’impact transfrontalier le cas échéant. Si l’incident est toujours en cours à l’échéance, l’entité doit fournir un rapport d’avancement et un rapport final un mois après la résolution.

Le déclenchement du chronomètre est la prise de connaissance de l’incident, et non la première remontée d’alerte technique. Cela suppose une procédure interne de classification écrite, exécutable par l’astreinte sécurité 24/7, qui distingue rapidement un incident de routine d’un incident important au sens de NIS2. Cette qualification ne peut pas être improvisée : sans procédure ni outillage de détection, le délai de 24 heures est intenable. Les sources de signaux pertinentes vont au-delà des SIEM internes : exposition d’identifiants sur les forums et canaux Telegram, alertes ANSSI, communications de fournisseurs ICT, signalements de partenaires CTI. Les organisations matures couplent leur SIEM à des sources externes de détection de fuites d’identifiants et à un dispositif de Cyber Threat Intelligence pour réduire le délai entre la compromission et la qualification.

Critères d’incident “important” : seuils et qualification

L’article 23 ne notifie que les incidents qualifiés d’importants au sens de la directive. La distinction est cruciale en pratique : sans seuil interne, une entité risque soit la sur-notification, qui sature les autorités et brûle ses ressources internes, soit la sous-notification, qui l’expose à des sanctions.

NIS2 définit un incident important comme un événement qui (a) a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée, ou (b) a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant un préjudice matériel ou immatériel important. Les seuils précis sont laissés en partie à l’appréciation des États membres et précisés par des actes d’exécution de la Commission européenne pour certains secteurs (en particulier les fournisseurs de services numériques, où le règlement d’exécution (UE) 2024/2690 fixe des seuils chiffrés).

Pour les autres secteurs, la qualification combine des critères quantitatifs (nombre d’utilisateurs affectés, durée de l’indisponibilité, étendue géographique, pertes financières directes ou indirectes) et qualitatifs (criticité fonctionnelle des systèmes touchés, propagation potentielle, atteinte à des données sensibles, impact sur la sécurité des personnes). En pratique, la procédure de classification d’incident NIS2 doit être documentée par écrit, validée par le RSSI, alignée sur les guidelines ENISA et exécutable par l’astreinte. Elle s’inscrit aux côtés des procédures existantes (article 33 RGPD pour les violations de données personnelles, article 19 DORA pour les incidents ICT majeurs des entités financières) et doit être pensée pour fonctionner en parallèle, sans délai de coordination interne.

Concrètement, une entité qui détecte un ransomware sur un système de production critique a en général moins de 24 heures pour qualifier l’incident comme important au sens de NIS2 et déclencher la première notification. Cette fenêtre n’est tenable que si la chaîne SOC, CSIRT et conformité dispose d’un schéma de décision préétabli.

Obligations de gestion des risques cyber (article 21) : 10 mesures minimales

L’article 21 de NIS2 impose à toutes les entités essentielles et importantes un socle minimal de dix mesures techniques, opérationnelles et organisationnelles. Ce socle est commun aux deux catégories, ce qui n’empêche pas les autorités nationales et la directive de moduler les contrôles et sanctions selon le statut. Les dix mesures, telles que listées au paragraphe 2 de l’article 21, sont les suivantes :

1. Politiques d’analyse des risques et de sécurité des systèmes d’information.
2. Gestion des incidents.
3. Continuité d’activité, gestion des sauvegardes, reprise après sinistre, gestion de crise.
4. Sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité des relations entre l’entité et ses fournisseurs ou prestataires directs.
5. Sécurité de l’acquisition, du développement et de la maintenance des systèmes d’information, y compris la gestion et la divulgation des vulnérabilités.
6. Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques cyber.
7. Pratiques de base en matière d’hygiène cyber et formation à la cybersécurité.
8. Politiques et procédures relatives à l’utilisation de la cryptographie et au chiffrement.
9. Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs.
10. Utilisation de l’authentification multi-facteurs ou de solutions d’authentification continue, communications sécurisées et systèmes de communication d’urgence sécurisés au sein de l’entité.

La mesure 4, sur la sécurité de la chaîne d’approvisionnement, mérite un focus particulier. L’article 21.2.d et l’article 21.3 imposent à l’entité de prendre en compte les vulnérabilités spécifiques de chaque fournisseur direct, la qualité globale des produits et des pratiques cyber des fournisseurs, et les résultats des évaluations coordonnées des risques pour les chaînes d’approvisionnement critiques publiées par le groupe de coopération NIS et l’ENISA. Concrètement, surveiller la posture cyber des fournisseurs ICT (sous-traitants, hébergeurs, éditeurs SaaS, intégrateurs) devient une obligation positive, pas un simple sujet contractuel. Cette logique converge avec celle du pilier 4 de DORA pour le secteur financier, qui impose un registre d’information sur les arrangements contractuels avec les prestataires ICT.

Sanctions financières et risques de non-conformité

NIS2 introduit un régime de sanctions à plusieurs étages, harmonisé au niveau européen mais transposé par chaque État membre. Pour les entités essentielles, le plafond d’amende administrative est de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial. Les autorités nationales peuvent en outre prononcer des injonctions de mise en conformité, des sanctions assorties d’astreintes journalières, et la publication des sanctions, qui ajoute une dimension réputationnelle au risque financier.

L’article 32 de la directive prévoit des sanctions individuelles à l’encontre des dirigeants : suspension temporaire des fonctions exécutives, interdiction temporaire d’exercer certaines fonctions de direction au sein de l’entité, voire publication de la sanction. Cette responsabilité personnelle, comparable à celle introduite par DORA pour le secteur financier, change l’équation pour les directions générales. NIS2 n’est plus un sujet RSSI : c’est un sujet de gouvernance suivi au plus haut niveau de l’organe de direction.

Au-delà des amendes, le risque de non-conformité s’évalue aussi à l’aune des chiffres récents sur la sinistralité cyber européenne. L’ENISA Threat Landscape 2025, publié en octobre 2025, recense 4 875 incidents cyber dans l’UE entre juillet 2024 et juin 2025, dont 53,7 % visent des entités essentielles au sens de NIS2. Le phishing reste le premier vecteur d’intrusion (60 %), suivi de l’exploitation de vulnérabilités (21,3 %), et l’administration publique concentre 38 % des incidents observés. Pour une entité assujettie à NIS2, la probabilité d’un incident important sur un horizon de quelques mois est élevée, ce qui rend le dispositif de notification non plus théorique mais opérationnel.

Stealed et la conformité NIS2

Stealed est une plateforme française (hébergée chez Scaleway, région fr-par) de détection de fuites d’identifiants qui surveille plus de 100 millions de credentials par jour issus de logs d’infostealers, forums underground et canaux Telegram privés, sources non couvertes par HaveIBeenPwned, avec une latence d’alerte de quelques minutes compatible avec le délai NIS2 de 24 heures. Pour les équipes sécurité d’entités essentielles ou importantes, Stealed apporte des briques opérationnelles utiles à plusieurs obligations de la directive.

Détection en temps réel pour respecter le délai de 24 heures (article 23). L’alerte se déclenche en quelques minutes lorsqu’un identifiant lié à un domaine surveillé apparaît dans une nouvelle fuite. Cette latence courte est compatible avec la fenêtre de 24 heures imposée pour l’alerte précoce et avec les 72 heures de la notification d’incident. La couverture inclut les canaux Telegram privés et les forums underground, qui restent les sources les plus actives en 2026 et qui sont absentes des services basés sur les seules brèches publiques. Les indicateurs de compromission attendus dans la notification 72 heures (URLs ciblées, hashes de credentials exposés, horodatage de la première observation) sont disponibles directement dans la plateforme.

Surveillance des fournisseurs ICT au titre de l’article 21.2.d. Le module External Insight permet de surveiller des domaines tiers (sous-traitants, fournisseurs critiques, plateformes cloud, éditeurs SaaS) et d’identifier les fuites d’identifiants des collaborateurs de ces fournisseurs sur des sites où ils se connectent au nom de l’entité assujettie. Cette visibilité étendue alimente la sécurité de la chaîne d’approvisionnement exigée par l’article 21 et nourrit la documentation des évaluations fournisseurs. Combiner les données issues de Stealed avec les évaluations coordonnées publiées par l’ENISA donne aux équipes risques tiers un signal opérationnel sur la posture réelle des prestataires.

Intégration SIEM et SOAR. La plateforme expose une API REST documentée et des connecteurs pour Slack, Microsoft Teams, webhook et les principales solutions SIEM/SOAR (Splunk, QRadar, Sentinel). Les alertes Stealed peuvent être ingérées directement dans le SIEM de l’entité, corrélées avec les événements internes et orchestrées dans les playbooks de réponse à incident NIS2, ce qui réduit le délai de qualification et accélère la prise de décision sur le déclenchement de la notification 24 heures.

Hébergement souverain Scaleway. L’infrastructure est entièrement opérée en France (région fr-par) chez Scaleway. Cette localisation européenne facilite la documentation contractuelle au titre de l’article 21 et l’analyse de risque tiers ICT, notamment pour les entités du secteur public et de l’administration centrale qui sont soumises à des exigences de localisation des données renforcées.

Évaluez votre dispositif

Évaluez votre exposition aux risques NIS2 avec notre CTO en 30 minutes pour échanger sur votre dispositif actuel de détection de fuites d’identifiants et son alignement avec l’article 21 (gestion des risques) et l’article 23 (notification d’incident) de la directive. Si vous préférez tester la plateforme avant tout échange, créez un compte gratuitement pour démarrer la surveillance d’un domaine et évaluer la valeur opérationnelle de Stealed sur vos propres flux.

Questions fréquentes sur NIS2

Quelle est la différence entre OSE/OIV et entité essentielle/importante ? La directive NIS1 et le code de la défense français reposaient sur les notions d’opérateur de services essentiels (OSE) et d’opérateur d’importance vitale (OIV), désignés individuellement par l’État. NIS2 supprime la désignation OSE et la remplace par un mécanisme d’auto-identification, fondé sur la taille et le secteur d’activité de l’entité, qui devient automatiquement essentielle ou importante. Le statut OIV reste, lui, en vigueur dans le cadre du dispositif de sécurité des activités d’importance vitale (SAIV), distinct de NIS2 mais articulé avec elle. Une même entité peut donc cumuler les statuts OIV et entité essentielle NIS2.

Quels sont les délais de notification d’incident NIS2 ? L’article 23 de la directive (UE) 2022/2555 impose trois étapes de notification au CSIRT compétent ou à l’autorité nationale, à compter de la prise de connaissance d’un incident important. Une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures avec une évaluation initiale de l’incident, sa gravité, son impact et les indicateurs de compromission disponibles, puis un rapport final dans un délai d’un mois précisant la cause racine, les mesures d’atténuation et l’impact transfrontalier éventuel. Un rapport intermédiaire peut être demandé par l’autorité à tout moment.

Quelles sont les sanctions financières prévues par NIS2 ? Pour une entité essentielle, l’amende administrative maximale est de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Pour une entité importante, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial. La directive prévoit également des sanctions individuelles à l’encontre des dirigeants, dont la suspension temporaire des fonctions exécutives, et la possibilité de publier les sanctions, ce qui ajoute une dimension réputationnelle au risque financier.

Où en est la transposition de NIS2 en France ? Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui transpose conjointement les directives NIS2, REC et DORA, a été adopté par le Sénat le 12 mars 2025 puis examiné en commission spéciale à l’Assemblée nationale en septembre 2025. Au-delà de la loi elle-même, la conformité opérationnelle dépend de décrets d’application et d’arrêtés sectoriels en cours de rédaction. L’ANSSI accompagne déjà les entités via la plateforme MonEspaceNIS2 et a publié en mars 2026 le Référentiel Cyber France (ReCyF), liste de mesures recommandées alignées sur les objectifs de NIS2.

Comment NIS2 s’articule-t-elle avec le RGPD en cas d’incident impliquant des données personnelles ? NIS2 et le RGPD coexistent : un incident cyber qui entraîne une violation de données personnelles déclenche les deux régimes en parallèle. La notification CNIL au titre de l’article 33 du RGPD reste due dans les 72 heures, et la notification au CSIRT NIS2 au titre de l’article 23 reste due dans les délais propres à NIS2 (24h / 72h / 1 mois). Les deux notifications visent des autorités différentes et poursuivent des objectifs différents (protection des personnes pour le RGPD, résilience des services essentiels pour NIS2), ce qui exclut toute substitution de l’une par l’autre. La cohérence entre les deux remontées doit être pilotée par les équipes RSSI et DPO conjointement.

Pour aller plus loin

• DORA : guide de conformité cybersécurité pour le secteur financier : pour les entités financières, DORA prime sur NIS2 en application du principe de lex specialis. Le guide détaille les piliers, les délais 4h / 24h / 72h / 1 mois et la supervision des prestataires ICT critiques.
• Comment détecter une fuite d’identifiants ? : panorama des sources et des techniques de détection à intégrer dans une chaîne SOC pour respecter le délai de 24 heures de NIS2.
• Cyber Threat Intelligence : guide complet : structurer un dispositif CTI sectoriel, alimenter les notifications NIS2 et participer aux échanges via le groupe de coopération NIS et l’ENISA.
• Glossaire SIEM : vocabulaire et architecture pour industrialiser la détection et la qualification des incidents NIS2.
• Rapport menaces infostealers mars 2026 : panorama trimestriel des familles d’infostealers et tendances exploitables pour la mesure 21.2.f de NIS2 sur l’évaluation de l’efficacité des contrôles.