NIS 28 min de lectureMis à jour mars 2026

Exigences NIS 2 : ce que les organisations doivent mettre en œuvre

L'Article 21 de la directive NIS 2 définit les mesures de gestion des risques de cybersécurité que toutes les entités concernées doivent mettre en œuvre. Ces exigences constituent le fondement de la conformité NIS 2, couvrant tout, de l'analyse des risques à la gestion des incidents et à la sécurité de la chaîne d'approvisionnement. Ce guide détaille chaque exigence et ce qu'elle signifie en pratique.

Robin Coste

•

Co-founder

Robin is a co-founder of Bastion, bringing extensive experience in compliance automation and security strategy. Previously, he led compliance as a tech lead at Palantir. He helps startups navigate the complexities of SOC 2 and ISO 27001 certification.

SOC 2ISO 27001Compliance AutomationSecurity Strategy

Points clés

Point	Résumé
10 mesures fondamentales	L'Article 21 spécifie 10 catégories de mesures de cybersécurité que toutes les entités doivent mettre en œuvre
Approche basée sur les risques	Les mesures doivent être proportionnées aux risques, en tenant compte de la taille de l'entité, de l'exposition et de la probabilité des incidents
État de l'art	Les organisations doivent tenir compte des dernières technologies et pratiques de cybersécurité
Approbation de la direction	La direction doit approuver les mesures de gestion des risques et superviser leur mise en œuvre
Normes internationales	La directive encourage l'utilisation de normes comme ISO 27001

Réponse rapide : NIS 2 exige des organisations qu'elles mettent en œuvre 10 catégories de mesures de cybersécurité, incluant l'analyse des risques, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement et le contrôle d'accès. Toutes les mesures doivent être proportionnées au profil de risque de l'organisation, approuvées par la direction et régulièrement revues.

Les 10 exigences fondamentales

1. Analyse des risques et politiques de sécurité de l'information

Les organisations doivent établir et maintenir des politiques d'analyse des risques et de sécurité des systèmes d'information. Cela inclut :

Méthodologie d'évaluation des risques : Une approche documentée pour identifier, analyser et évaluer les risques de cybersécurité
Politique de sécurité de l'information : Une politique complète couvrant la sécurité des réseaux et systèmes d'information
Revues régulières : Réévaluation périodique des risques et mises à jour des politiques en fonction des changements dans le paysage des menaces ou l'environnement métier
Inventaire des actifs : Identification et classification des actifs critiques, y compris les réseaux et systèmes d'information

Cette exigence s'aligne étroitement avec le processus d'évaluation des risques d'ISO 27001, rendant les organisations déjà certifiées ISO 27001 bien positionnées pour la conformité.

2. Gestion des incidents

Les entités doivent disposer de processus robustes pour prévenir, détecter et répondre aux incidents de cybersécurité :

Capacités de détection : Outils et processus de surveillance pour identifier rapidement les incidents de sécurité
Procédures de réponse : Plans de réponse aux incidents documentés avec des rôles et responsabilités clairs
Système de classification : Un cadre pour catégoriser les incidents par gravité et impact
Protocoles de communication : Procédures de communication internes et externes pendant un incident
Analyse post-incident : Processus pour tirer les leçons des incidents et améliorer les défenses

Consultez notre guide détaillé sur le signalement des incidents NIS 2 pour les délais de notification et obligations spécifiques.

3. Continuité d'activité et gestion de crise

Les organisations doivent planifier la résilience opérationnelle :

Plans de continuité d'activité : Plans documentés pour maintenir les opérations essentielles pendant et après un incident
Reprise après sinistre : Procédures pour restaurer les systèmes et données après une perturbation
Gestion des sauvegardes : Sauvegardes régulières et testées avec stockage sécurisé et capacités de restauration
Gestion de crise : Structures organisationnelles et procédures pour gérer les crises, incluant les chaînes de communication et l'autorité décisionnelle

4. Sécurité de la chaîne d'approvisionnement

L'une des ajouts les plus significatifs de NIS 2 est l'exigence explicite de sécurité de la chaîne d'approvisionnement :

Évaluation des risques fournisseurs : Évaluation des risques de cybersécurité posés par les fournisseurs directs et prestataires de services
Exigences contractuelles : Clauses de sécurité dans les contrats avec les fournisseurs couvrant les mesures de cybersécurité, la notification d'incidents et les droits d'audit
Surveillance : Supervision continue de la posture de sécurité des fournisseurs
Gestion des vulnérabilités : Processus pour traiter les vulnérabilités découvertes dans les produits ou services tiers

Ceci est couvert en détail dans notre guide sur la sécurité de la chaîne d'approvisionnement NIS 2.

5. Sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information

La sécurité doit être intégrée tout au long du cycle de vie des systèmes :

Pratiques de développement sécurisé : Exigences de sécurité dans la conception, le développement et les tests des systèmes
Traitement des vulnérabilités : Processus pour identifier et traiter les vulnérabilités dans les systèmes
Gestion des correctifs : Application rapide des correctifs et mises à jour de sécurité
Gestion des changements : Processus contrôlés pour modifier les réseaux et systèmes d'information

6. Politiques et procédures pour évaluer l'efficacité de la cybersécurité

Les organisations doivent régulièrement évaluer si leurs mesures de cybersécurité fonctionnent :

Évaluations de sécurité : Tests réguliers des contrôles de sécurité et de leur efficacité
Tests d'intrusion : Tests périodiques pour identifier les vulnérabilités exploitables
Programmes d'audit : Audits internes ou externes des mesures de cybersécurité
Métriques et reporting : Indicateurs clés de performance pour l'efficacité de la cybersécurité
Amélioration continue : Processus pour agir sur les résultats des évaluations

7. Hygiène cyber de base et formation à la cybersécurité

Chaque organisation doit mettre en œuvre des pratiques fondamentales de cybersécurité et s'assurer que son personnel est formé :

Pratiques d'hygiène cyber : Politiques de mots de passe, procédures de mise à jour des logiciels, configuration sécurisée et segmentation réseau
Formation de sensibilisation à la sécurité : Formation régulière de tous les employés sur les risques et responsabilités en matière de cybersécurité
Formation de la direction : NIS 2 exige explicitement que les organes de direction suivent une formation en cybersécurité
Formation spécifique au rôle : Formation supplémentaire pour le personnel ayant des responsabilités spécifiques en matière de sécurité

8. Politiques sur l'utilisation de la cryptographie et du chiffrement

Les organisations doivent avoir des politiques claires régissant les contrôles cryptographiques :

Politiques de chiffrement : Quand et comment les données doivent être chiffrées au repos et en transit
Gestion des clés : Procédures pour générer, stocker, distribuer et révoquer les clés cryptographiques
Conformité aux standards : Utilisation de standards et algorithmes de chiffrement reconnus
Revue régulière : Évaluation des contrôles cryptographiques face aux menaces évolutives

9. Sécurité des ressources humaines, contrôle d'accès et gestion des actifs

Cette exigence large couvre plusieurs domaines interconnectés :

Sécurité des ressources humaines : Vérifications des antécédents, termes de sécurité dans les contrats de travail, responsabilités de sécurité pendant et après l'emploi
Contrôle d'accès : Politiques pour accorder, réviser et révoquer les accès basées sur le principe du moindre privilège
Gestion des actifs : Inventaire des actifs, classification de l'information et procédures de traitement
Gestion des identités : Processus pour gérer les identités des utilisateurs et leurs droits d'accès

10. Authentification multifacteur et communications sécurisées

Les organisations doivent mettre en œuvre une authentification forte et une sécurité des communications :

Authentification multifacteur (MFA) : Utilisation de la MFA ou de solutions d'authentification continue là où c'est approprié
Communications vocales, vidéo et textuelles sécurisées : Protection des communications au sein de l'organisation
Communications d'urgence sécurisées : Garantie des capacités de communication pendant les incidents et crises

Principe de proportionnalité

NIS 2 exige que les mesures soient proportionnées. Lors de la mise en œuvre de ces exigences, les organisations doivent considérer :

Facteur	Considération
Taille de l'entité	Ressources et capacités disponibles
Exposition aux risques	Probabilité et gravité des incidents potentiels
Impact sociétal	Conséquences potentielles pour la société et l'économie
Dépendance	Degré auquel d'autres secteurs dépendent des services de l'entité
Coût de mise en œuvre	Viabilité économique des mesures de sécurité par rapport à la réduction des risques

Cela signifie qu'un petit fournisseur de services managés ne sera pas tenu de mettre en œuvre la même envergure de mesures qu'un grand fournisseur d'énergie, mais les deux doivent traiter chacune des 10 catégories d'exigences.

Responsabilité de la direction

NIS 2 place une responsabilité directe sur les organes de direction. Les dirigeants doivent :

Approuver les mesures de gestion des risques de cybersécurité
Superviser la mise en œuvre de ces mesures
Être tenus responsables des infractions
Suivre régulièrement une formation en cybersécurité
Offrir une formation similaire aux employés

Cela représente un changement significatif par rapport aux approches précédentes où la cybersécurité était souvent entièrement déléguée aux équipes techniques.

Questions fréquentes

Quelle est la précision des exigences techniques de NIS 2 ?

NIS 2 est délibérément basée sur des principes plutôt que prescriptive. Elle définit ce qui doit être atteint (les 10 catégories d'exigences) mais laisse aux organisations une flexibilité dans la manière de l'atteindre. La Commission européenne peut adopter des actes d'exécution avec des détails techniques plus spécifiques pour certains secteurs.

Pouvons-nous utiliser des cadres de sécurité existants pour nous conformer ?

Oui. La directive encourage explicitement l'utilisation de normes européennes et internationales. ISO 27001, IEC 62443 et d'autres cadres reconnus fournissent d'excellentes bases pour répondre aux exigences NIS 2. Les organisations déjà certifiées ISO 27001 trouveront un chevauchement significatif avec les exigences NIS 2.

Les 10 exigences s'appliquent-elles toutes de la même manière ?

Les 10 catégories s'appliquent à chaque entité concernée, mais la profondeur et la sophistication de la mise en œuvre doivent être proportionnées au profil de risque de l'organisation. Un prestataire de soins mettra naturellement l'accent sur des aspects différents d'un fournisseur de services cloud, mais les deux doivent traiter les 10 domaines.

← PrécédentNIS 2 : Entités essentielles vs importantes, les différences clés Suivant →Signalement des incidents NIS 2 : délais et obligations

Retour aux guides NIS 2

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company