Sentinel NIS2 NIS2Beta
Se connecter
Sentinel NIS2 NIS2
AccueilPlateformeTarifs

Diagnostic Gratuit
Article6 min de lecture·Directive UE 2022/2555

NIS2 : ce qui change par rapport à NIS1

La directive NIS2, en vigueur depuis octobre 2024 en France, représente une rupture significative par rapport à NIS1. Voici ce qui change concrètement pour les organisations.

Contexte : pourquoi une NIS2 ?

La directive NIS1 (2016/1148), transposée en France sous le nom de loi de programmation militaire (LPM), a posé les bases de la cybersécurité des infrastructures critiques. Mais son périmètre réduit — environ 500 Opérateurs de Services Essentiels (OSE) en France — et l’hétérogénéité de sa transposition d’un État membre à l’autre ont montré ses limites face à l’explosion des cybermenaces.

NIS2, publiée au Journal officiel de l’UE le 27 décembre 2022 et transposée en droit français en 2024, vise à corriger ces lacunes avec un périmètre élargi, des obligations renforcées et des sanctions dissuasives.

Élargissement considérable du périmètre

C’est la transformation la plus visible de NIS2. Là où NIS1 ciblait environ 500 entités en France (les OSE), NIS2 devrait concerner entre 15 000 et 20 000 entités françaises selon les estimations de l’ANSSI.

CritèreNIS1NIS2
Entités concernées~500 OSE désignés~15 000–20 000 entités
Secteurs couverts7 secteurs18 secteurs
Taille minimaleDésignation au cas par casMoyenne entreprise (≥ 50 sal.)
Auto-qualificationNon — désignation par l’ÉtatOui — obligation d’auto-déclaration

Des sanctions nettement renforcées

NIS1 ne prévoyait pas de sanctions directement harmonisées au niveau européen. Les États membres pouvaient définir leur propre régime. NIS2 impose des planchers minimaux contraignants.

Entités Essentielles

10 M€

ou 2% du CA mondial

(le montant le plus élevé s’applique)

Entités Importantes

7 M€

ou 1,4% du CA mondial

(le montant le plus élevé s’applique)

NIS2 introduit également la possibilité de suspendre temporairement les certifications ou autorisations d’une entité non-conforme, et d’interdire à un dirigeant d’exercer ses fonctions managériales en cas de faute grave.

Délais de notification stricts

NIS1 prévoyait une notification des incidents "sans retard indu". NIS2 (Article 23) impose des délais précis et contraignants.

< 24h

Alerte initiale

Notification initiale à l’ANSSI dès la détection d’un incident significatif. Peut être incomplète — l’objectif est d’informer l’autorité.

< 72h

Rapport intermédiaire

Rapport intermédiaire avec une première évaluation de la gravité, de l’impact et des indicateurs de compromission disponibles.

1 mois

Rapport final

Rapport final complet avec analyse de cause racine, mesures correctives prises et toute information pertinente pour l’ANSSI.

Obligations supply chain nouvelles

NIS1 ignorait presque entièrement la question des fournisseurs. NIS2 (Article 21) impose aux entités d’évaluer et de gérer les risques de cybersécurité de leur chaîne d’approvisionnement.

Concrètement, cela signifie que vous êtes responsable des risques que vos fournisseurs critiques font peser sur votre organisation — et que vous devez pouvoir le prouver. Les contrats avec les prestataires TIC doivent inclure des clauses de sécurité minimales.

Impact pratique : si un fournisseur subit un incident qui impacte vos systèmes, vous devrez démontrer que vous aviez évalué ce risque et pris des mesures proportionnées.

Gouvernance et responsabilité des dirigeants

NIS2 introduit une obligation explicite pour les organes de direction d’approuver les mesures de gestion des risques de cybersécurité et de superviser leur mise en œuvre. Les dirigeants peuvent désormais être tenus personnellement responsables en cas de manquement grave.

Cette disposition est absente de NIS1. Elle oblige les DG et présidents à s’impliquer directement dans la gouvernance de la cybersécurité, pas seulement à la déléguer au RSSI.

Supervision active vs réactive

Sous NIS1, la supervision des OSE par l’ANSSI était surtout réactive — déclenchée par un incident ou une plainte. NIS2 introduit une distinction formelle : supervision ex ante (proactive) pour les EE, ex post (réactive) pour les EI.

Pour les Entités Essentielles, l’ANSSI peut désormais diligenter des audits réguliers, des inspections sur site et des tests de pénétration ciblés sans attendre qu’un incident survienne.

Résumé comparatif

NIS1 vs NIS2 — Les 6 différences clés

  • Périmètre x40 : de 500 OSE à 15 000–20 000 entités en France.
  • Secteurs doublés : de 7 à 18 secteurs couverts.
  • Auto-qualification obligatoire : les entités s’identifient elles-mêmes.
  • Sanctions harmonisées : 10 M€ / 2% CA pour les EE (contre des sanctions disparates sous NIS1).
  • Délais de notification précis : 24h / 72h / 1 mois vs ’sans retard indu’.
  • Supply chain et dirigeants : deux obligations absentes de NIS1.

Article suivant

Article 23 : les délais de notification des incidents

Passez à l’action

Automatisez votre conformité NIS2

Sentinel NIS2 vérifie en continu vos obligations NIS2, gère les délais de notification Article 23 et collecte automatiquement les preuves requises.

Essai gratuit →

Sans carte bancaire · Sans engagement

NIS2 vs NIS1 — Comparaison des directives | Sentinel NIS2