Tracker de la directive NIS2 — Actualisé en juin 2025

État de la transposition de la directive NIS2 par pays : où en est chaque État membre de l'UE en 2025

Actualisé le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui suit l'état de la transposition de la directive NIS2 dans les 27 États membres de l'UE, avec des mises à jour réglementaires mensuelles.

L'échéance de la directive NIS2 était fixée au 17 octobre 2024. Pourtant, en juin 2025, seule une poignée des 27 États membres l'ont entièrement transposée en droit national. Si votre organisation est active dans plusieurs juridictions de l'UE, le paysage de la conformité est fragmenté, déroutant et en évolution rapide. Cette page en assure le suivi complet — actualisé chaque mois.

27

États membres de l'UE suivis

160'000+

entités concernées dans l'ensemble de l'UE

Estimation de la Commission européenne, 2023

24 h

délai de notification des incidents

Directive NIS2, article 23

Consulter le tracker complet pays par pays

Aucune inscription requise. Ajoutez cette page à vos favoris — nous l'actualisons chaque mois.

La confiance des équipes de protection des données et de conformité qui gèrent des obligations à l'échelle d'un groupe partout en Europe

Constructeur aéronautique Zurzach Care Medtec Trapeze Group AYA
Hébergé en Suisse Infrastructure ISO 27001 Conforme au RGPD dès la conception
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Tracker NIS2 pays par pays

Tracker de transposition de la directive NIS2 : les 27 États membres de l'UE

Chaque fiche ci-dessous reflète l'état actuel de la mise en œuvre de la directive NIS2, la loi nationale de transposition, l'autorité compétente, ainsi que les éventuels écarts notables par rapport aux exigences minimales de la directive. Suivre l'état de la transposition de la directive NIS2 par pays est essentiel pour les organisations actives dans plusieurs juridictions de l'UE — ce qui s'applique en Belgique peut différer sensiblement de ce qui est exigé en Allemagne. Actualisé chaque mois par l'équipe de veille réglementaire de Priverion.

Entièrement transposée

Autriche

NISG 2024 — promulguée en décembre 2024

L'Autriche a promulgué fin 2024 sa loi actualisée sur la sécurité des réseaux et des systèmes d'information (NISG 2024). Cette loi élargit considérablement le périmètre des entités réglementées et désigne les autorités sectorielles existantes aux côtés du CERT national. L'approche autrichienne ajoute des exigences plus strictes pour les opérateurs d'infrastructures critiques dans les secteurs de l'énergie et des transports, au-delà du socle prévu par la directive.

Autorité compétente : BMI / GovCERT Austria

Écart principal : exigences plus strictes pour les infrastructures critiques de l'énergie et des transports

Source : Journal officiel fédéral autrichien, décembre 2024 — Dernière mise à jour : juin 2025

Entièrement transposée

Belgique

Loi NIS2 — promulguée en avril 2024

Parmi les premiers États membres de l'UE à avoir achevé la transposition. La loi belge reprend fidèlement la directive, mais élargit la définition des entités essentielles pour y inclure certains organismes des gouvernements régionaux. Le Centre pour la cybersécurité Belgique (CCB) fait office d'autorité nationale compétente, dotée de pouvoirs d'exécution.

Autorité compétente : Centre pour la cybersécurité Belgique (CCB)

Écart principal : champ d'application élargi pour inclure les entités des gouvernements régionaux

Source : Moniteur belge, avril 2024 — Dernière mise à jour : juin 2025

Aucune avancée publique

Bulgarie

Aucun avant-projet publié — aucun calendrier estimé

La Bulgarie n'a publié aucun avant-projet de loi de transposition. L'Agence d'État pour l'administration électronique devrait jouer un rôle dans la mise en œuvre, mais aucun processus législatif formel n'a été engagé. La Commission européenne a ouvert une procédure d'infraction. Les organisations actives en Bulgarie devraient s'aligner sur les exigences de base de la directive tout en surveillant les évolutions.

Autorité compétente : Agence d'État pour l'administration électronique (attendue)

Écart principal : inconnu — aucun avant-projet disponible

Source : tracker des procédures d'infraction de la Commission européenne — Dernière mise à jour : juin 2025

Entièrement transposée

Croatie

Zakon o kibernetičkoj sigurnosti — promulguée en octobre 2024

La Croatie a respecté l'échéance du 17 octobre 2024 avec sa loi sur la cybersécurité. Cette loi s'aligne étroitement sur les exigences de la directive NIS2 et désigne le Conseil national de la cybersécurité comme organe de coordination. La notification des incidents suit le cadre de la directive (alerte précoce sous 24 heures et notification sous 72 heures), sans écarts significatifs.

Autorité compétente : CERT.hr / Conseil national de la cybersécurité

Écart principal : minime — suit étroitement le socle de la directive

Source : Journal officiel croate, octobre 2024 — Dernière mise à jour : juin 2025

Avant-projet publié

Chypre

Avant-projet de loi sur la cybersécurité — en cours d'examen ministériel

Chypre a publié un avant-projet de loi sur la cybersécurité, actuellement en cours d'examen ministériel. L'Autorité de sécurité numérique (DSA) devrait faire office d'autorité nationale compétente. L'avant-projet suit étroitement la structure de la directive, mais reste susceptible d'être modifié avant sa soumission au parlement. Le calendrier de promulgation demeure incertain.

Autorité compétente : Autorité de sécurité numérique (DSA, attendue)

Écart principal : toujours en cours d'examen — modifications possibles en attente

Source : documents de consultation du gouvernement chypriote, 2024 — Dernière mise à jour : juin 2025

Entièrement transposée

Tchéquie

Zákon o kybernetické bezpečnosti (modifiée) — promulguée en octobre 2024

La Tchéquie a modifié sa loi existante sur la cybersécurité afin d'y intégrer les exigences de la directive NIS2, respectant ainsi l'échéance d'octobre. Le NUKIB (Agence nationale de la cybersécurité et de la sécurité de l'information) conserve son rôle d'autorité centrale, avec des pouvoirs élargis. L'approche tchèque ajoute des audits de cybersécurité obligatoires pour les entités essentielles tous les deux ans — une exigence qui va au-delà de la directive.

Autorité compétente : NUKIB (Agence nationale de la cybersécurité et de la sécurité de l'information)

Écart principal : audits de cybersécurité obligatoires tous les deux ans pour les entités essentielles

Source : Recueil des lois tchèque, octobre 2024 — Dernière mise à jour : juin 2025

Partiellement transposée

Danemark

Plusieurs lois sectorielles — mise en œuvre échelonnée en cours

Le Danemark a adopté une approche sectorielle de la transposition de la directive NIS2, avec des instruments législatifs distincts pour chaque secteur. Le Centre pour la cybersécurité (CFCS) assure la coordination entre les secteurs. Si certaines lois sectorielles sont promulguées, d'autres demeurent en cours d'examen parlementaire. Cette approche décentralisée implique que les exigences de conformité peuvent varier selon le secteur et le calendrier.

Autorité compétente : CFCS (Centre pour la cybersécurité) avec les régulateurs sectoriels

Écart principal : transposition secteur par secteur plutôt qu'une loi unique et unifiée

Source : publications du ministère danois de la Défense, 2024 — Dernière mise à jour : juin 2025

Avant-projet publié

Estonie

Küberturvalisuse seaduse muutmine — avant-projet publié, examen parlementaire

L'Estonie, malgré sa réputation de pionnière du numérique, n'a pas respecté l'échéance d'octobre 2024, mais a publié un avant-projet complet de modifications de sa loi sur la cybersécurité. L'Autorité du système d'information (RIA) restera l'autorité principale. L'avant-projet estonien comporte des dispositions relatives aux services numériques gouvernementaux qui étendent le champ d'application au-delà du socle de la directive.

Autorité compétente : RIA (Autorité du système d'information)

Écart principal : champ d'application étendu couvrant les services numériques gouvernementaux

Source : ministère estonien des Affaires économiques, 2024 — Dernière mise à jour : juin 2025

Partiellement transposée

Finlande

Kyberturvallisuuslaki — promulguée en janvier 2025

La Finlande a promulgué sa loi sur la cybersécurité début 2025, peu après l'échéance. Cette loi suit étroitement la directive et désigne Traficom comme autorité compétente principale. Les règlements d'application secondaires sont encore en cours de finalisation, notamment concernant les seuils de notification des incidents propres à chaque secteur et les délais d'enregistrement des entités importantes.

Autorité compétente : Traficom (Agence finlandaise des transports et des communications)

Écart principal : règlements secondaires sur les seuils d'incidents encore en attente

Source : tracker législatif du gouvernement finlandais, janvier 2025 — Dernière mise à jour : juin 2025

En cours de processus législatif

France

Projet de loi NIS2 — examen parlementaire, attendu au 1er semestre 2025

L'ANSSI prépare activement la directive NIS2 depuis 2023, mais la transposition législative formelle a été retardée par l'instabilité politique. Le projet de loi est actuellement en cours d'examen parlementaire. La France devrait élargir considérablement le nombre d'entités réglementées, d'environ 500 sous NIS1 à plus de 15'000 estimées sous NIS2. L'approche d'exécution de l'ANSSI met l'accent sur la proportionnalité et l'accompagnement des organisations nouvellement concernées.

Autorité compétente : ANSSI (Agence nationale de la sécurité des systèmes d'information)

Écart principal : élargissement significatif du champ d'application ; exécution fondée sur la proportionnalité

Source : déclarations publiques de l'ANSSI, décembre 2024 — Dernière mise à jour : juin 2025

Avant-projet publié

Allemagne

NIS2-Umsetzungsgesetz (NIS2UmsuCG) — attendue en 2025

La transposition de la directive NIS2 en Allemagne a été retardée par l'effondrement de la coalition gouvernementale fin 2024. L'avant-projet NIS2UmsuCG élargit considérablement le nombre d'entités concernées — estimé à plus de 29'000 organisations — et introduit des dispositions plus strictes en matière de responsabilité des dirigeants. Le BSI (Office fédéral de la sécurité des technologies de l'information) fera office d'autorité centrale, dotée de pouvoirs d'exécution élargis.

Autorité compétente : BSI (Office fédéral de la sécurité des technologies de l'information)

Écart principal : champ d'application élargi à ~29'000 entités ; responsabilité des dirigeants renforcée

Source : avant-projet de loi du BMI, juillet 2024 — Dernière mise à jour : juin 2025

Avant-projet publié

Grèce

Avant-projet de loi sur la cybersécurité — en cours d'examen en commission parlementaire

La Grèce a publié un avant-projet de loi transposant la directive NIS2, actuellement en cours d'examen par la commission parlementaire compétente. L'Autorité nationale de cybersécurité, créée en 2022, est désignée comme autorité compétente. L'avant-projet comporte des dispositions spécifiques aux secteurs maritime et touristique, reflétant les priorités économiques de la Grèce et étendant légèrement les exigences au-delà du socle de la directive pour ces secteurs.

Autorité compétente : Autorité nationale de cybersécurité (NCA Grèce)

Écart principal : exigences supplémentaires pour les secteurs maritime et touristique

Source : ministère grec de la Gouvernance numérique, 2024 — Dernière mise à jour : juin 2025

Entièrement transposée

Hongrie

Décret gouvernemental 418/2024 — promulgué en octobre 2024

La Hongrie a transposé la directive NIS2 au moyen d'un décret gouvernemental plutôt que d'une loi parlementaire autonome, ce qui a permis une mise en œuvre plus rapide. La Direction générale nationale de la cyberdéfense fait office d'autorité principale. L'approche hongroise comporte des exigences d'enregistrement supplémentaires pour les entités, allant légèrement au-delà du minimum prévu par la directive.

Autorité compétente : Direction générale nationale de la cyberdéfense

Écart principal : exigences supplémentaires d'enregistrement des entités

Source : Journal officiel hongrois, octobre 2024 — Dernière mise à jour : juin 2025

Aucune avancée publique

Irlande

Aucun avant-projet publié — attendu en 2025

Bien qu'elle accueille le siège européen de nombreuses grandes entreprises technologiques, l'Irlande n'a pas encore publié d'avant-projet de loi de transposition. Le NCSC Ireland devrait faire office d'autorité compétente. Compte tenu de l'importance de l'Irlande en tant que pôle de traitement des données, la future loi nationale pourrait avoir un impact démesuré sur les fournisseurs de services technologiques et cloud actifs partout en Europe. La Commission européenne a ouvert une procédure d'infraction.

Autorité compétente : NCSC Ireland (attendue)

Écart principal : inconnu — impact significatif attendu pour le secteur technologique

Source : procédures d'infraction de la Commission européenne, novembre 2024 — Dernière mise à jour : juin 2025

En cours de processus législatif

Italie

Decreto Legislativo NIS2 — promulgué en octobre 2024, mise en œuvre en cours

L'Italie a publié son décret de transposition en octobre 2024, respectant techniquement l'échéance. Toutefois, des dispositions d'application essentielles — notamment les exigences d'enregistrement des entités et les procédures détaillées de notification des incidents — sont encore en cours de finalisation par voie de législation secondaire. L'ACN (Agence nationale de la cybersécurité) pilote la mise en œuvre, avec des jalons de conformité échelonnés jusqu'en 2025. L'approche italienne comporte une surtransposition en matière d'exigences de gestion des risques liés à la chaîne d'approvisionnement.

Autorité compétente : ACN (Agenzia per la Cybersicurezza Nazionale)

Écart principal : gestion plus stricte des risques liés à la chaîne d'approvisionnement ; mise en œuvre échelonnée

Source : Journal officiel italien, octobre 2024 — Dernière mise à jour : juin 2025

Entièrement transposée

Lettonie

Kiberdrošības likums — promulguée en septembre 2024

La Lettonie a été l'un des premiers pays à transposer la directive, en promulguant sa loi sur la cybersécurité avant l'échéance d'octobre 2024. Le CERT.LV fait office de CSIRT national, doté de responsabilités de coordination élargies. La loi lettone suit étroitement la directive, avec des écarts minimes, offrant un socle de conformité clair aux entités actives dans les pays baltes.

Autorité compétente : CERT.LV / ministère de la Défense

Écart principal : minime — suit étroitement le socle de la directive

Source : Journal officiel letton, septembre 2024 — Dernière mise à jour : juin 2025

Entièrement transposée

Lituanie

Kibernetinio saugumo įstatymas (modifiée) — promulguée en octobre 2024

La Lituanie a modifié sa loi existante sur la cybersécurité afin de respecter l'échéance de la directive NIS2. Le Centre national de cybersécurité (NKSC) conserve son rôle principal. L'approche lituanienne ajoute un dispositif national de certification en cybersécurité pour les fournisseurs d'infrastructures critiques, allant au-delà du socle de la directive et reflétant l'accent mis par le pays sur la résilience de la chaîne d'approvisionnement, compte tenu de sa position géopolitique.

Autorité compétente : NKSC (Centre national de cybersécurité)

Écart principal : dispositif national de certification des fournisseurs pour les infrastructures critiques

Source : archives du Seimas lituanien, octobre 2024 — Dernière mise à jour : juin 2025

Avant-projet publié

Luxembourg

Projet de loi NIS2 — avant-projet publié, examen parlementaire

Le Luxembourg a publié son avant-projet de loi de transposition de la directive NIS2, actuellement en cours d'examen parlementaire. Compte tenu du rôle du Luxembourg en tant que grand pôle de services financiers, l'avant-projet comporte des dispositions spécifiques coordonnant la conformité à NIS2 avec les exigences existantes de DORA (règlement sur la résilience opérationnelle numérique). L'ILR et la CSSF devraient se partager les responsabilités d'autorité compétente selon les secteurs.

Autorité compétente : ILR / CSSF (partagée, selon le secteur)

Écart principal : cadre coordonné de conformité NIS2-DORA pour le secteur financier

Source : archives de la Chambre des députés du Luxembourg, 2024 — Dernière mise à jour : juin 2025

Aucune avancée publique

Malte

Aucun avant-projet publié — attendu en 2025

Malte n'a pas encore publié d'avant-projet de loi de transposition. L'Agence maltaise des technologies de l'information (MITA) et la Direction de la protection des infrastructures critiques devraient jouer un rôle dans la mise en œuvre. Compte tenu de l'essor des secteurs maltais de l'igaming et de la fintech, qui peuvent tous deux entrer dans le champ d'application de la directive NIS2, une transposition rapide revêt une importance commerciale. La Commission européenne a ouvert une procédure d'infraction.

Autorité compétente : MITA / Direction de la protection des infrastructures critiques (attendue)

Écart principal : inconnu — impact potentiel sur les secteurs de l'igaming et de la fintech

Source : tracker des procédures d'infraction de la Commission européenne — Dernière mise à jour : juin 2025

Partiellement transposée

Pays-Bas

Cyberbeveiligingswet (Cbw) — avant-projet déposé, attendu au 1er semestre 2025

Les Pays-Bas ont publié leur avant-projet de loi sur la cybersécurité (Cbw) destiné à remplacer la loi Wbni existante, mais l'approbation parlementaire reste en attente. L'approche néerlandaise désigne des régulateurs sectoriels comme autorités compétentes plutôt qu'un organe central unique — ce qui signifie des régulateurs différents pour l'énergie, la santé, les transports et les infrastructures numériques. Ce modèle décentralisé ajoute de la complexité pour les organisations multisectorielles actives aux Pays-Bas.

Autorité compétente : régulateurs sectoriels (modèle décentralisé)

Écart principal : exécution décentralisée entre régulateurs sectoriels

Source : consultation du ministère néerlandais de la Justice, septembre 2024 — Dernière mise à jour : juin 2025

Avant-projet publié

Pologne

Nowelizacja ustawy o KSC — avant-projet publié, processus parlementaire

La Pologne a publié un avant-projet de modifications de sa loi sur le système national de cybersécurité (ustawa o KSC), mais son adoption parlementaire a été retardée. L'avant-projet élargit considérablement le périmètre des entités concernées et introduit un nouveau système national de classification des incidents de cybersécurité. Le NASK et les CSIRT sectoriels se partageront les responsabilités. L'approche polonaise comporte des exigences renforcées pour les entités de l'administration publique.

Autorité compétente : NASK / CSIRT sectoriels

Écart principal : nouveau système de classification des incidents ; champ d'application élargi à l'administration publique

Source : ministère polonais des Affaires numériques, 2024 — Dernière mise à jour : juin 2025

Aucune avancée publique

Portugal

Aucun avant-projet publié — aucun calendrier estimé

Le Portugal figure parmi les États membres ne disposant d'aucun avant-projet de loi accessible au public pour la transposition de la directive NIS2. Le Centre national de cybersécurité (CNCS) devrait faire office d'autorité compétente, mais aucun calendrier formel d'action législative n'a été communiqué. Les organisations actives au Portugal devraient suivre de près les évolutions et envisager de s'aligner sur les exigences de base de la directive dans l'intervalle.

Autorité compétente : CNCS (attendue)

Écart principal : inconnu — aucun avant-projet disponible

Source : tracker des procédures d'infraction de la Commission européenne — Dernière mise à jour : juin 2025

Avant-projet publié

Roumanie

Proiect de lege NIS2 — avant-projet en cours d'examen gouvernemental

La Roumanie a publié un avant-projet de loi de transposition de la directive NIS2, actuellement en cours d'examen gouvernemental avant sa soumission au parlement. Le DNSC (Direction nationale de la cybersécurité) est désigné comme autorité compétente. L'avant-projet comporte des dispositions relatives à un programme national d'exercices de cybersécurité et à des évaluations des risques obligatoires pour les entités exploitant des infrastructures critiques, allant légèrement au-delà du socle de la directive.

Autorité compétente : DNSC (Direction nationale de la cybersécurité)

Écart principal : programme national obligatoire d'exercices de cybersécurité

Source : portail législatif du gouvernement roumain, 2024 — Dernière mise à jour : juin 2025

Avant-projet publié

Slovaquie

Zákon o kybernetickej bezpečnosti (modification) — avant-projet publié

La Slovaquie a publié un avant-projet de modifications de sa loi sur la cybersécurité, actuellement en cours de processus législatif. L'Autorité nationale de sécurité (NBU) est désignée comme autorité compétente centrale. L'avant-projet slovaque suit étroitement la directive, mais prévoit un calendrier accéléré d'enregistrement des entités, exigeant la mise en conformité dans les 90 jours suivant la promulgation de la loi.

Autorité compétente : NBU (Autorité nationale de sécurité)

Écart principal : exigence d'enregistrement accéléré des entités sous 90 jours

Source : ministère slovaque de l'Investissement, du Développement régional et de l'Informatisation, 2024 — Dernière mise à jour : juin 2025

Partiellement transposée

Slovénie

Zakon o informacijski varnosti (ZInfV-1) — promulguée fin 2024, mesures secondaires en attente

La Slovénie a promulgué sa loi actualisée sur la sécurité de l'information fin 2024, mais les mesures d'application secondaires sont encore en cours d'élaboration. Le Bureau du gouvernement de la République de Slovénie pour la sécurité de l'information (URSIV) fait office d'organe de coordination. La loi couvre les exigences essentielles de la directive NIS2, mais renvoie plusieurs détails opérationnels à des règlements d'application attendus en 2025.

Autorité compétente : URSIV / SI-CERT

Écart principal : mise en œuvre échelonnée avec mesures secondaires en attente

Source : Journal officiel slovène, 2024 — Dernière mise à jour : juin 2025

Avant-projet publié

Espagne

Anteproyecto de Ley NIS2 — avant-projet publié, examen du Conseil d'État

L'Espagne a publié son avant-projet de loi de transposition de la directive NIS2 (anteproyecto), actuellement examiné par le Conseil d'État avant sa soumission au parlement. Le CCN-CERT et l'INCIBE se partagent les responsabilités d'autorité compétente selon le type d'entité. L'avant-projet espagnol introduit un dispositif national de certification de conformité et comporte des dispositions spécifiques aux secteurs du tourisme et de l'hôtellerie.

Autorité compétente : CCN-CERT / INCIBE (partagée)

Écart principal : certification nationale de conformité ; dispositions pour le secteur touristique

Source : ministère espagnol de la Transformation numérique, 2024 — Dernière mise à jour : juin 2025

Partiellement transposée

Suède

Cybersäkerhetslag — promulguée début 2025, règlements secondaires en cours

La Suède a promulgué sa loi sur la cybersécurité début 2025, à l'issue d'une enquête gouvernementale approfondie. Le MSB (Agence suédoise de protection civile) fait office d'autorité centrale de coordination, les régulateurs sectoriels étant chargés de l'exécution. Les règlements secondaires précisant les exigences détaillées de conformité pour les différentes catégories d'entités sont encore en cours de finalisation, l'achèvement étant attendu pour la mi-2025.

Autorité compétente : MSB (Agence suédoise de protection civile) avec les régulateurs sectoriels

Écart principal : modèle d'exécution par les régulateurs sectoriels ; règlements secondaires en attente

Source : rapports officiels du gouvernement suédois, 2024 — Dernière mise à jour : juin 2025

200+

Heures économisées sur la documentation de conformité

Medtec a économisé plus de 200 heures dans sa préparation à la certification ISO 27001 en remplaçant la documentation manuelle par des flux de conformité automatisés — au cours de sa première année avec Priverion.

60 %

Moins de temps administratif consacré à la conformité

Un constructeur aéronautique a réduit de 60 % le temps administratif consacré à la conformité au cours de ses six premiers mois — avec une tarification prévisible fondée sur le nombre d'entités, sans pièges d'extension par utilisateur ou par module.

3 mois

D'avance sur le calendrier ISO 27001

Medtec a achevé sa préparation à l'ISO 27001 trois mois avant son calendrier prévisionnel grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion.

Comparaison

Pourquoi les équipes du mid-market passent de OneTrust à Priverion

Les plateformes de protection des données pour grands comptes ont été conçues pour les budgets et la complexité des Fortune 500. Si vous gérez la conformité de 5 à 50 filiales, il vous faut autre chose — pas une version réduite.

Plateforme grand compte type

Ce que vous obtenez avec OneTrust

Tarification par module et par utilisateur

Les coûts grimpent de façon imprévisible à mesure que vous ajoutez des filiales, des utilisateurs ou des fonctionnalités. Les discussions budgétaires ont lieu chaque trimestre, et non chaque année.

Siège aux États-Unis, hébergement mondial

Les données peuvent être traitées aux États-Unis ou dans d'autres juridictions non européennes. Depuis l'arrêt Schrems II, cela engendre une exposition juridique permanente pour les transferts transfrontaliers.

Plus de 200 intégrations, mais peu approfondies

Un nombre de connecteurs impressionnant, mais nombre d'entre eux requièrent une configuration sur mesure et une maintenance continue qui pèsent sur les équipes informatiques du mid-market.

Conçue pour les acheteurs du Fortune 500

Riche en fonctionnalités, mais déroutante pour les équipes de moins de 20 personnes. Les DPD rapportent passer des semaines en onboarding rien que pour configurer des modules dont ils n'ont pas besoin.

Mise en œuvre s'étalant sur plusieurs mois

Les déploiements pour grands comptes prennent couramment de 6 à 12 mois avant que les équipes en perçoivent la valeur. Les coûts de prestations de services s'accumulent rapidement.

Conçue pour le mid-market multi-entités

Ce que vous obtenez avec Priverion

Tarification prévisible selon le nombre de sociétés

Pas de licences par utilisateur, pas de ventes additionnelles par module. Une seule plateforme, toutes les fonctionnalités incluses. Votre directeur financier obtient un montant qui ne change pas en cours d'année.

Conçue en Suisse, hébergée en Suisse — garanti

Toutes les données sont traitées au sein d'une infrastructure suisse. La résidence européenne des données n'est pas une option de configuration — c'est

À propos de cette page — références, définitions et FAQ

Points clés — Tracker de l'état de la transposition de la directive NIS2

La directive NIS2 (directive (UE) 2022/2555) imposait à l'ensemble des 27 États membres de l'UE de transposer ses exigences en matière de cybersécurité en droit national d'ici au 17 octobre 2024. À la mi-2025, seul un petit nombre de pays ont achevé entièrement la transposition. La Commission européenne a engagé des procédures d'infraction à l'encontre de 23 États membres. Ce tracker suit l'avancement législatif de chaque pays, ses autorités compétentes et ses écarts par rapport au socle de la directive — actualisé chaque mois par l'équipe de veille réglementaire de Priverion.

Qu'est-ce que la directive NIS2 ?

La directive NIS2 (formellement directive (UE) 2022/2555) est le cadre révisé de l'Union européenne visant à atteindre un niveau commun élevé de cybersécurité dans l'ensemble des États membres. Elle a remplacé la directive NIS initiale (2016/1148) et a été publiée au Journal officiel de l'Union européenne le 27 décembre 2022. La directive NIS2 élargit considérablement le périmètre des secteurs réglementés, de 7 à 18, introduit des seuils de classification des entités fondés sur la taille et impose des délais de notification des incidents plus stricts ainsi qu'une responsabilité accrue des organes de direction. Source : EUR-Lex — Directive (UE) 2022/2555

Qu'est-ce que la transposition en droit de l'UE ?

La transposition est le processus par lequel les États membres de l'UE intègrent les dispositions d'une directive européenne dans leurs cadres juridiques nationaux. Contrairement aux règlements de l'UE, qui sont directement applicables, les directives exigent que chaque État membre adopte une législation nationale atteignant les objectifs de la directive tout en laissant une marge de manœuvre quant aux modalités de mise en œuvre. Source : EUR-Lex — Types de droit de l'UE

Quelle était l'échéance de transposition de la directive NIS2 ?

L'article 41 de la directive NIS2 fixait au 17 octobre 2024 l'échéance pour l'ensemble des 27 États membres de l'UE afin d'adopter et de publier les mesures nationales nécessaires pour s'y conformer. Les États membres étaient également tenus d'appliquer ces mesures à compter du 18 octobre 2024. En novembre 2024, la Commission européenne a adressé des lettres de mise en demeure à 23 États membres qui n'avaient pas notifié de transposition complète. Source : EUR-Lex — Directive NIS2, article 41

Combien d'entités sont concernées par la directive NIS2 ?

Selon l'analyse d'impact de la Commission européenne de 2023, plus de 160'000 entités dans l'ensemble de l'UE entrent dans le champ d'application élargi de la directive NIS2. La directive couvre 18 secteurs, dont l'énergie, les transports, la banque, la santé, l'eau potable, les infrastructures numériques, la gestion des services TIC, l'administration publique et l'espace. Le rapport NIS Investments 2024 de l'ENISA indiquait que le budget médian de cybersécurité des entités relevant de la directive NIS2 s'élevait à environ 1,4 million d'euros, soit environ 9 % de l'ensemble des dépenses informatiques. Source : ENISA — Rapport NIS Investments 2024

Quelles sont les exigences de notification des incidents au titre de la directive NIS2 ?

L'article 23 de la directive NIS2 établit un cadre de notification des incidents en plusieurs étapes : les entités doivent émettre une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident important, puis une notification complète de l'incident dans les 72 heures, et un rapport final dans un délai d'un mois. L'ENISA coordonne la réponse transfrontalière aux incidents au travers du réseau EU-CyCLONe. Selon le rapport Threat Landscape 2024 de l'ENISA, les rançongiciels et les attaques par DDoS sont restés les deux principales catégories de menaces affectant les secteurs réglementés par la directive NIS. Source : ENISA — Threat Landscape 2024

Que se passe-t-il si un État membre ne transpose pas la directive NIS2 dans les délais ?

En vertu de l'article 258 du traité sur le fonctionnement de l'Union européenne (TFUE), la Commission européenne peut engager des procédures d'infraction à l'encontre des États membres qui ne transposent pas les directives dans les délais impartis. En novembre 2024, la Commission a adressé des lettres de mise en demeure à 23 des 27 États membres pour défaut de notification de la transposition complète de la directive NIS2. Si le manquement persiste, la Commission peut saisir la Cour de justice de l'Union européenne, qui peut imposer des sanctions financières. Source : EUR-Lex — Directive NIS2

La directive NIS2 s'applique-t-elle aux entreprises établies hors de l'UE ?

Oui. La directive NIS2 a une portée extraterritoriale. L'article 26 impose aux entités établies hors de l'UE qui fournissent des services au sein de l'UE et entrent dans son champ d'application de désigner un représentant dans l'un des États membres où elles opèrent. Cela reflète l'exigence de représentant prévue à l'article 27 du RGPD. Le défaut de désignation d'un représentant n'exonère pas l'entité de ses obligations au titre de la directive NIS2. Source : EUR-Lex — Directive NIS2, article 26

Quelle est la différence entre entités essentielles et entités importantes au titre de la directive NIS2 ?

La directive NIS2 classe les entités en deux catégories selon leur secteur et leur taille. Les entités essentielles incluent les opérateurs de secteurs tels que l'énergie, les transports, la banque, la santé, l'eau potable, les infrastructures numériques et l'administration publique. Les entités importantes couvrent des secteurs tels que les services postaux, la gestion des déchets, les produits chimiques, la production alimentaire et la fabrication. Les deux catégories doivent respecter les mêmes obligations de gestion des risques de cybersécurité et de notification des incidents (articles 21 et 23). Toutefois, les entités essentielles sont soumises à une surveillance proactive, a priori — comprenant des audits réguliers et des inspections sur site — tandis que les entités importantes font l'objet d'une surveillance réactive, a posteriori, déclenchée par des éléments attestant d'un manquement. Source : EUR-Lex — Directive NIS2, articles 32 à 33

Statistiques et calendrier de la transposition de la directive NIS2

  • 17 octobre 2024 — Échéance de transposition pour l'ensemble des 27 États membres de l'UE (article 41 de la directive NIS2)
  • Novembre 2024 — La Commission européenne adresse des lettres de mise en demeure à 23 États membres pour défaut de transposition
  • 160'000+ entités estimées dans le champ d'application dans l'ensemble de l'UE (Commission européenne, 2023)
  • 18 secteurs couverts par la directive NIS2, contre 7 sous la directive NIS initiale
  • 24 heures — délai d'alerte précoce pour les incidents importants (article 23 de la directive NIS2)
  • 72 heures — délai de notification complète de l'incident (article 23 de la directive NIS2)
  • 10 millions d'euros ou 2 % du chiffre d'affaires mondial — amende administrative maximale pour les entités essentielles (article 34 de la directive NIS2)
  • 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial — amende administrative maximale pour les entités importantes (article 34 de la directive NIS2)

NIS2 par rapport à la directive NIS initiale — Comparaison

AspectDirective NIS (2016/1148)Directive NIS2 (2022/2555)
Secteurs concernés7 secteurs18 secteurs
Classification des entitésOpérateurs de services essentiels (OSE) + fournisseurs de services numériques (FSN)Entités essentielles + entités importantes (seuils fondés sur la taille)
Notification des incidentsSans retard injustifiéAlerte précoce sous 24 h, notification sous 72 h, rapport final sous 1 mois
Amendes maximalesFixées par les États membres (très variables)10 M€ / 2 % du chiffre d'affaires (essentielles) ; 7 M€ / 1,4 % du chiffre d'affaires (importantes)
Responsabilité de la directionNon explicitement abordéeLes organes de direction doivent approuver et superviser les mesures de cybersécurité (article 20)
Sécurité de la chaîne d'approvisionnementDispositions limitéesÉvaluations obligatoires des risques liés à la chaîne d'approvisionnement (article 21, paragraphe 2, point d)
Modèle de surveillanceVariable selon l'État membreA priori pour les entités essentielles ; a posteriori pour les entités importantes
Coordination transfrontalièreGroupe de coopération + réseau des CSIRTRenforcée : EU-CyCLONe + examens par les pairs + divulgation coordonnée des vulnérabilités

Sources et références faisant autorité