Conformité à la directive NIS2

Arrêtez de vous demander si NIS2 vous concerne, obtenez une réponse claire en 5 minutes

Mis à jour le 2026-06-23
Points clés : NIS2 s'applique à plus de 160'000 entités de l'UE réparties dans 18 secteurs — cette page explique les règles de périmètre, les exceptions au seuil de taille, les obligations de la chaîne d'approvisionnement et la manière de gérer la conformité à l'échelle du groupe.

Plus de 160'000 entités de l'UE réparties dans 18 secteurs sont désormais soumises à des obligations de cybersécurité NIS2. Si votre organisation opère dans l'UE, ou sert des clients de l'UE, vous pourriez déjà être concerné sans le savoir.

Obtenir la checklist NIS2 gratuite

PDF gratuit, 2 champs, sans carte de crédit, accès immédiat

4,8 / 5 Score de satisfaction client
93 % Recommanderaient Priverion
Hébergé en Suisse Résidence des données en Europe
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Pourquoi le périmètre de NIS2 est si déroutant

Trois facteurs qui rendent l'applicabilité de NIS2 plus complexe que celle du RGPD

La plupart des responsables conformité avec qui nous échangeons ont lu la directive, sans pour autant être certains que chaque filiale est concernée. Cette confusion n'est pas une question de manque de connaissances. C'est un problème structurel inhérent à la conception même de NIS2.

16x

Augmentation du nombre d'entités couvertes par rapport à la directive NIS initiale, passant d'environ 10'000 à plus de 160'000

Source : analyse d'impact NIS2 de la Commission européenne, 2022

La règle du seuil de taille comporte des exceptions qui vous prennent au dépourvu

NIS2 vise généralement les organisations comptant 50 employés ou plus, ou réalisant un chiffre d'affaires supérieur à 10 millions d'euros dans 18 secteurs. C'est assez simple, jusqu'à ce que vous découvriez que les fournisseurs DNS, les registres de TLD, les prestataires de services de confiance et les fournisseurs uniques de services essentiels sont concernés quelle que soit leur taille. Une filiale de 15 personnes gérant le DNS de votre groupe pourrait entraîner toute l'organisation dans des obligations de conformité que personne n'avait anticipées.

27

États membres de l'UE transposant NIS2 en droit national, chacun avec des variations possibles de périmètre et d'application

Directive NIS2 (UE) 2022/2555, article 41, échéance de transposition nationale en octobre 2024

La transposition nationale crée une mosaïque d'exigences

Le NIS2UmsuCG allemand introduit des catégories d'entités supplémentaires au-delà de la directive. La Belgique, les Pays-Bas et la France ont chacun leurs propres nuances en matière d'application. Si votre groupe opère dans plusieurs juridictions de l'UE, ce qui correspond exactement à la clientèle de Priverion, vous ne gérez pas une seule réglementation. Vous gérez une matrice d'interprétations nationales, chacune avec ses propres autorités de surveillance, délais de notification et régimes de sanctions.

10 M€

Amende maximale pour les entités essentielles, ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu

Directive NIS2 (UE) 2022/2555, articles 34(4) et 34(5)

Les obligations de la chaîne d'approvisionnement étendent le périmètre à des entreprises qui se croient exemptées

L'article 21(2)(d) impose aux entités concernées de traiter la sécurité de la chaîne d'approvisionnement, ce qui signifie qu'elles imposeront des exigences alignées sur NIS2 à leurs fournisseurs par voie contractuelle. Même si votre organisation n'atteint pas le seuil de taille ou n'opère pas dans un secteur listé, vos clients peuvent vous entraîner dans la conformité. Les prestataires de services informatiques, les fournisseurs cloud et les prestataires de processus externalisés sont particulièrement exposés. Et les organes de direction peuvent être tenus personnellement responsables en cas de non-conformité, ce n'est pas un risque abstrait.

Vous ne savez pas si votre organisation, et ses filiales, relèvent du périmètre de NIS2 ?

Obtenir la checklist NIS2 gratuite

200+

Heures économisées sur la gestion du registre des traitements

Une entreprise de technologie médicale a réaffecté plus de 200 heures de la documentation manuelle du registre des traitements à la préparation de la norme ISO 27001 au cours de sa première année avec Priverion

60%

Coût total inférieur par rapport aux plateformes traditionnelles

Sur la base des tarifs publiés par utilisateur et par module des plateformes de protection de la vie privée pour entreprises, comparés au modèle par société de Priverion pour une organisation de 10 entités et 500 utilisateurs

3 mois

D'avance sur le calendrier de certification ISO 27001

Une entreprise de technologie médicale a accéléré de trois mois sa préparation à la norme ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion

Ce que disent nos clients

La confiance des équipes conformité dans toute l'Europe

Les responsables de la protection de la vie privée et de la conformité d'organisations multi-entités s'appuient sur Priverion pour opérationnaliser leur conformité à NIS2 et au RGPD.

« Nous devions cartographier l'applicabilité de NIS2 dans 12 filiales réparties sur 5 juridictions de l'UE. Priverion nous a offert un tableau de bord unique qui a remplacé un dédale de tableurs. Nous avons atteint la pleine préparation à la conformité NIS2 pour toutes les entités en 8 semaines. »

Responsable groupe de la conformité informatique chez un groupe industriel

Résultat : conformité NIS2 dans 12 filiales en 8 semaines

D'après un entretien client, T1 2025

« Priverion a réduit de 60 % notre temps d'administration de la conformité au cours des six premiers mois. La recertification automatisée du registre des traitements à elle seule nous a évité de recruter un collaborateur supplémentaire. L'hébergement en Suisse a été un facteur décisif pour notre conseil d'administration. »

Déléguée à la protection des données chez un constructeur aéronautique

Résultat : 60 % de temps d'administration de la conformité en moins en 6 mois

D'après une étude de cas client, T4 2024

« Nous avons réaffecté plus de 200 heures de la documentation manuelle à la préparation de la norme ISO 27001. Les dossiers de preuves de Priverion ont rendu notre audit de certification remarquablement fluide, nous avions trois mois d'avance sur notre calendrier initial. »

CEO chez une entreprise de technologie médicale

Résultat : plus de 200 heures économisées, certification ISO 27001 obtenue 3 mois plus tôt

D'après une étude de cas client, T1 2025

Priverion vs OneTrust

Pourquoi les équipes privacy des PME et ETI font le changement

OneTrust s'adresse aux organisations du Fortune 500, avec une couverture GRC plus large et des équipes privacy dédiées. Priverion a été conçu pour les organisations qui ont besoin d'une conformité de niveau entreprise sans la lourdeur qui l'accompagne.

Ce que vous obtenez avec OneTrust

Tarification par module et par utilisateur

Les coûts grimpent à chaque nouvel utilisateur, module et filiale. Les demandes de budget deviennent un rituel trimestriel.

Siège aux États-Unis, traitement des données à l'échelle mondiale

Dans un contexte post-Schrems II, un traitement basé aux États-Unis crée une exposition juridique pour les transferts de données européens, sur laquelle votre délégué à la protection des données s'interrogera.

Conçu pour le Fortune 500

Des ensembles de fonctionnalités tentaculaires incluant l'ESG, les lignes d'alerte éthique et la gestion du consentement aux cookies signifient un déploiement plus long, des courbes d'apprentissage plus abruptes et le paiement de capacités que vous n'utiliserez jamais.

Plus de 200 intégrations, la plupart superficielles

Une longue liste de connecteurs semble impressionnante, jusqu'à ce que vous réalisiez que la plupart nécessitent une configuration sur mesure et une maintenance continue.

Des mois pour déployer

Des cycles de vente entreprise et des délais de mise en œuvre qui se mesurent en trimestres, pas en semaines.

Ce que vous obtenez avec Priverion

Une tarification prévisible, sans pièges d'expansion

Tarifé en fonction du nombre de sociétés et de la taille de l'organisation, et non par utilisateur ou par module. Ajoutez des membres d'équipe sans renégocier votre contrat.

Conçu en Suisse, hébergé en Suisse, résidence des données en Europe

Tout le traitement des données reste au sein de l'infrastructure suisse. Pas une simple case marketing à cocher, mais une exigence juridique pour les transferts transfrontaliers de données dans un monde post-Schrems II.

Spécialement conçu pour la protection des données à l'échelle du groupe

Registre des traitements, AIPD, risque fournisseur, demandes des personnes concernées, gestion des incidents et cartographie des données inter-entités au sein d'une seule plateforme. Nous ne faisons ni l'ESG ni le consentement aux cookies, nous faisons exceptionnellement bien la gestion de la protection des données.

Des intégrations approfondies là où elles comptent

Les systèmes RH, achats et gestion des actifs informatiques, les flux de travail qui pilotent réellement la conformité en matière de protection des données. Des connecteurs approfondis qui fonctionnent de manière fiable, plutôt que 200 connecteurs superficiels qui ne tiennent pas leurs promesses.

Opérationnel en quelques semaines, pas en quelques mois

Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses 6 premiers mois. Une entreprise de technologie médicale a économisé plus de 200 heures en préparant la norme ISO 27001. Le délai de mise en valeur se mesure en semaines.

Un constructeur aéronautique, 6 premiers mois après la mise en œuvre | Une entreprise de technologie médicale, préparation ISO 27001

Changer de solution n'a pas à être pénible. La plupart des équipes sont entièrement migrées en quelques semaines.

Obtenir la checklist NIS2 gratuite
Secteurs NIS2

Les 18 secteurs couverts par NIS2, et pourquoi la classification compte

NIS2 répartit les entités concernées en deux catégories aux obligations et régimes de sanctions distincts. Savoir où se situent votre organisation et ses filiales est la première étape vers une stratégie de conformité ciblée.

Secteurs de haute criticité (annexe I), « entités essentielles »

Soumis à une surveillance proactive des autorités compétentes. Amendes maximales de 10 M€ ou 2 % du chiffre d'affaires mondial. Exigences d'alerte précoce sous 24 heures et de notification d'incident sous 72 heures.

  • Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire
  • Infrastructures des marchés financiers
  • Santé (hôpitaux, laboratoires, secteur pharmaceutique, dispositifs médicaux)
  • Eau potable
  • Eaux usées
  • Infrastructures numériques (DNS, TLD, cloud, centres de données, CDN, services de confiance)
  • Gestion des services TIC (B2B, fournisseurs de services gérés et de sécurité)
  • Administration publique (gouvernement central)
  • Espace

Autres secteurs critiques (annexe II), « entités importantes »

Soumis à une surveillance réactive (ex post). Amendes maximales de 7 M€ ou 1,4 % du chiffre d'affaires mondial. Les mêmes délais de notification des incidents s'appliquent.

  • Services postaux et de messagerie
  • Gestion des déchets
  • Produits chimiques (fabrication, production, distribution)
  • Denrées alimentaires (production, transformation, distribution)
  • Fabrication (dispositifs médicaux, électronique, machines, véhicules à moteur)
  • Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
  • Organismes de recherche

Vous opérez dans plusieurs secteurs ou juridictions ? C'est exactement ce pour quoi Priverion a été conçu.

Obtenir la checklist NIS2 gratuite

Ressource NIS2 gratuite

Découvrez en 5 minutes si votre organisation relève de NIS2

Une checklist structurée de 2 pages couvrant la règle du seuil de taille, l'ensemble des 18 secteurs, les déclencheurs liés à la chaîne d'approvisionnement et les exceptions de transposition nationale. Utilisée par plus de 2'400 professionnels de la conformité depuis son lancement.

2'400+

Checklists téléchargées depuis le T3 2024

5 min

Temps moyen pour réaliser l'évaluation

18

Secteurs couverts avec des conseils spécifiques

Obtenir la checklist NIS2 gratuite

PDF gratuit. 2 champs. Accès immédiat, sans appel commercial requis.

Ressource gratuite

Téléchargez la checklist d'applicabilité de NIS2

Un PDF structuré de 2 pages qui vous guide à travers la règle du seuil de taille, la classification sectorielle et les exceptions de transposition nationale, pour que vous sachiez exactement où se situe chaque entité de votre groupe.

Vos données sont traitées en Suisse conformément à la nLPD. Nous vous enverrons la checklist et pourrons vous recontacter une fois, sans spam ni campagne automatisée. Politique de confidentialité

Obtenir la checklist NIS2 gratuite

PDF gratuit, accès immédiat

À propos de cette page — références, définitions et FAQ

Points clés — Périmètre de conformité de la directive NIS2

La directive NIS2 (UE) 2022/2555 étend les obligations de cybersécurité de l'UE à plus de 160'000 entités réparties dans 18 secteurs critiques au sein des 27 États membres. Les organisations comptant 50 employés ou plus, ou réalisant un chiffre d'affaires annuel supérieur à 10 millions d'euros dans les secteurs listés, doivent s'y conformer, bien que des exceptions au seuil de taille s'appliquent aux fournisseurs DNS, aux registres de TLD et aux prestataires de services de confiance. Les obligations de la chaîne d'approvisionnement au titre de l'article 21(2)(d) étendent les exigences de conformité aux fournisseurs et prestataires de services qui pourraient autrement ne pas être concernés. La transposition nationale crée une mosaïque d'exigences, rendant la conformité à l'échelle du groupe particulièrement délicate pour les organisations multi-entités.

Définitions

Qu'est-ce que la directive NIS2 ?

Directive NIS2 (directive (UE) 2022/2555) est le cadre actualisé de l'Union européenne visant à atteindre un niveau commun élevé de cybersécurité dans tous les États membres. Elle remplace la directive NIS initiale (2016/1148) et élargit considérablement le périmètre, harmonise les sanctions et introduit la responsabilité des dirigeants. Le texte intégral est disponible sur EUR-Lex — Directive (UE) 2022/2555.

Qu'est-ce qu'une entité essentielle au sens de NIS2 ?

Entité essentielle désigne les organisations relevant des 11 secteurs de haute criticité (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique et espace) qui atteignent le seuil de taille. Les entités essentielles sont soumises à des régimes de surveillance plus stricts et à des sanctions plus élevées — jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Source : directive NIS2, article 3 et annexe I.

Qu'est-ce qu'une entité importante au sens de NIS2 ?

Entité importante couvre les organisations relevant de 7 secteurs supplémentaires (services postaux, gestion des déchets, produits chimiques, production de denrées alimentaires, fabrication, fournisseurs numériques et recherche) qui atteignent le seuil de taille. Les entités importantes encourent des sanctions pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Source : directive NIS2, article 3 et annexe II.

Qu'est-ce que la règle du seuil de taille ?

Règle du seuil de taille est le seuil général qui fait entrer les organisations dans le périmètre de NIS2 : 50 employés ou plus, ou un chiffre d'affaires annuel ou total du bilan supérieur à 10 millions d'euros. Toutefois, certains types d'entités — fournisseurs DNS, registres de noms de TLD, prestataires de services de confiance qualifiés et fournisseurs uniques de services essentiels — sont concernés quelle que soit leur taille. Source : directive NIS2, article 2.

Foire aux questions

Qui doit se conformer à la directive NIS2 ?

NIS2 s'applique aux moyennes et grandes organisations (50 employés ou plus, ou un chiffre d'affaires supérieur à 10 millions d'euros) opérant dans 18 secteurs critiques au sein des 27 États membres de l'UE. Certaines entités, telles que les fournisseurs DNS, les registres de TLD et les prestataires de services de confiance, doivent s'y conformer quelle que soit leur taille. Selon l'analyse d'impact NIS2 de la Commission européenne, plus de 160'000 entités seraient concernées — une multiplication par 16 par rapport à la directive NIS initiale.

Quelles sont les sanctions en cas de non-conformité à NIS2 ?

Les entités essentielles encourent des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les entités importantes encourent des amendes pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Élément crucial, l'article 20 de la directive instaure une responsabilité personnelle des organes de direction qui n'approuvent pas et ne supervisent pas les mesures de gestion des risques de cybersécurité. Source : directive NIS2, articles 34(4), 34(5) et 20.

Quels sont les 18 secteurs couverts par NIS2 ?

NIS2 couvre 11 secteurs essentiels (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace) et 7 secteurs importants (services postaux et de messagerie, gestion des déchets, fabrication/production/distribution de produits chimiques, production/transformation/distribution de denrées alimentaires, fabrication, fournisseurs numériques, recherche). Les listes complètes des secteurs sont définies dans les annexes I et II de la directive (UE) 2022/2555.

NIS2 s'applique-t-elle aux entreprises situées hors de l'UE ?

Oui. Les entreprises non européennes qui fournissent des services au sein de l'UE dans des secteurs couverts peuvent relever du périmètre de NIS2. De plus, l'article 21(2)(d) impose aux entités concernées d'imposer des exigences de sécurité de la chaîne d'approvisionnement à leurs fournisseurs par voie d'obligations contractuelles, étendant de fait les exigences de conformité aux fournisseurs et prestataires de services hors UE. Les orientations de l'ENISA sur la mise en œuvre de NIS2 confirment cette portée extraterritoriale. Source : ENISA — page thématique sur la directive NIS.

En quoi NIS2 diffère-t-elle de la directive NIS initiale ?

NIS2 élargit considérablement le périmètre, passant d'environ 10'000 entités sous NIS1 à plus de 160'000 entités. Les principales différences incluent : 7 nouveaux secteurs ajoutés, un cadre de sanctions harmonisé dans tous les États membres, une alerte précoce obligatoire sous 24 heures pour les incidents importants (auparavant non standardisée), des exigences explicites de gestion des risques de la chaîne d'approvisionnement au titre de l'article 21(2)(d) et une responsabilité personnelle des organes de direction au titre de l'article 20. Source : directive (UE) 2022/2555.

Quel est le calendrier de notification des incidents prévu par NIS2 ?

NIS2 impose un processus de notification des incidents en trois étapes défini à l'article 23 : (1) une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident important, (2) une notification d'incident dans les 72 heures fournissant une évaluation initiale de la gravité et de l'impact, et (3) un rapport final dans un délai d'un mois détaillant l'analyse de la cause profonde, l'impact transfrontalier et les mesures correctives prises. Source : directive NIS2, article 23.

Comment la transposition nationale affecte-t-elle la conformité à NIS2 ?

Chacun des 27 États membres de l'UE doit transposer NIS2 en droit national, ce qui peut introduire des variations de périmètre, de mécanismes d'application et de structures des autorités de surveillance. Par exemple, le NIS2UmsuCG allemand introduit des catégories d'entités supplémentaires au-delà du socle de la directive. Les organisations opérant dans plusieurs juridictions doivent suivre l'état de transposition de chaque pays ainsi que toute exigence nationale supplémentaire. L'échéance initiale de transposition était le 17.10.2024, bien que plusieurs États membres aient connu des retards. Source : directive NIS2, article 41.

Les obligations de la chaîne d'approvisionnement peuvent-elles faire entrer des entreprises exemptées dans le périmètre de NIS2 ?

Oui. L'article 21(2)(d) de NIS2 impose aux entités concernées de traiter la sécurité de la chaîne d'approvisionnement, ce qui signifie qu'elles imposeront des exigences de cybersécurité alignées sur NIS2 à leurs fournisseurs par voie de clauses contractuelles. Même les organisations qui n'atteignent pas le seuil de taille ou n'opèrent pas dans un secteur listé peuvent être entraînées de fait dans la conformité par leurs clients. Les prestataires de services informatiques, les fournisseurs cloud, les fournisseurs de services de sécurité gérés et les prestataires de processus externalisés sont particulièrement exposés à ces obligations en cascade.

Statistiques et contexte de NIS2

Selon l'analyse d'impact NIS2 de la Commission européenne (2022), la directive étend la couverture d'environ 10'000 entités sous la directive NIS initiale à plus de 160'000 entités — une multiplication par 16. La directive couvre 18 secteurs au sein des 27 États membres de l'UE. Les entités essentielles encourent des amendes maximales de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, tandis que les entités importantes encourent des amendes pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial. Le rapport 2023 de l'ENISA sur le paysage des menaces relevait que les secteurs de la santé et de l'énergie connaissaient le plus grand nombre d'incidents cyber parmi les secteurs couverts par NIS, soulignant la justification de l'élargissement du périmètre de NIS2. Source : ENISA Threat Landscape 2023.

Entités essentielles et importantes de NIS2 — comparaison

CritèreEntités essentiellesEntités importantes
Secteurs11 secteurs (annexe I) : énergie, transports, secteur bancaire, santé, eau, infrastructures numériques, gestion des TIC, administration publique, espace, marchés financiers, eaux usées7 secteurs (annexe II) : services postaux, déchets, produits chimiques, denrées alimentaires, fabrication, fournisseurs numériques, recherche
Amende maximale10 M€ ou 2 % du chiffre d'affaires annuel mondial7 M€ ou 1,4 % du chiffre d'affaires annuel mondial
Régime de surveillanceEx ante : audits et inspections proactifs par les autoritésEx post : surveillance déclenchée par des preuves de non-conformité
Notification des incidentsAlerte précoce sous 24 h, notification sous 72 h, rapport final sous 1 moisAlerte précoce sous 24 h, notification sous 72 h, rapport final sous 1 mois
Responsabilité des dirigeantsOui — responsabilité personnelle au titre de l'article 20Oui — responsabilité personnelle au titre de l'article 20
Seuil de taille50 employés ou plus, ou chiffre d'affaires supérieur à 10 M€ (avec exceptions)50 employés ou plus, ou chiffre d'affaires supérieur à 10 M€