Au cœur de la stratégie européenne cyber, la Directive dite NIS 2 s’inscrit dans une volonté du législateur de fixer des normes et des standards permettant d’assurer un niveau de cybersécurité élevé, uniforme et renforcé, au sein de l’Union européenne, pour un plus grand nombre d’acteurs et leur chaîne d’approvisionnement. 

 

Points clés à retenir de cet article : 

• La transposition de NIS 2 en droit national accuse des retards dans plusieurs États, dont la France. 

• La France a choisi d’intégrer trois directives européennes, NIS 2, « REC » (sur la résilience des entités critiques) et « DORA » (Directive qui accompagne le Règlement DORA, sur la résilience numérique des entités financières), dans un projet de loi plus large sur la résilience des infrastructures critiques et la cybersécurité. 

• Les éditeurs de logiciels ont été intégrés dans le champ d’application de NIS 2. 

• Les États membres doivent définir une stratégie nationale de cybersécurité imposant aux entités concernées une approche par les risques incluant la sécurité des systèmes, la détection et remédiation des incidents ainsi que la gestion des risques liés à la chaîne d’approvisionnement. 

• La sensibilisation et la formation, notamment des dirigeants, deviennent obligatoires. 

• Le non-respect de la directive NIS 2 expose les entités à de lourdes sanctions financières pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. 

• Les entreprises doivent agir dès maintenant : évaluer leurs besoins, mettre en place de bonnes pratiques, et intégrer la gestion du risque cyber dans leur stratégie. 

 

Les apports de NIS et sa mise en œuvre 

La Directive européenne dite NIS 2 a été adoptée le 14 décembre 2022 et, comme toute directive, doit être transposée en droit national, par chaque Etat membre de l’Union européenne (UE), la date-butoir pour la transposition en droit national ayant été fixée au 17 octobre 2024. Or, un an après, nombreux sont les Etats membres qui n’ont pas encore adopté leur cadre national transposant la Directive NIS 2. C’est le cas de la France, mais aussi de l’Allemagne, de l’Espagne et de quelques autres.  

 La France a fait le choix d’élaborer un projet de loi visant à transposer trois directives européennes : NIS 2, « REC » (sur la résilience des entités critiques) et « DORA » (Directive qui accompagne le Règlement DORA, sur la résilience numérique des entités financières). Ce projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été voté par le Sénat le 12 mars 2025. Amendé et adopté, le 10 septembre 2025, par la Commission spéciale en charge de l’examen de ce texte à l’Assemblée nationale (1), il doit à présent être examiné et voté en séance publique à l’Assemblée nationale.  

 Parmi les amendements adoptés par la Commission spéciale, il apparaît utile de mentionner l’intégration des éditeurs de logiciels dans le champ d’application de NIS 2 (article 8 : « Sont des entités essentielles : […] 6°) Les fournisseurs de services de système de noms de domaine et les éditeurs de logiciels ; […] »).(2)

 Il est également à noter que le 17 octobre 2024, la Commission européenne a publié un règlement d’exécution relatif aux entités et réseaux critiques (3), qui vient préciser certaines exigences techniques et méthodologiques prévues par la Directive NIS 2. Ce règlement d’exécution porte notamment sur les mesures de gestion du risque de cybersécurité et les cas dans lesquels un incident doit être considéré comme significatif et devant être signalé aux autorités nationales.  

 La Directive NIS 2 abroge la directive NIS (Network and Information Security) de 2016, qui avait défini un régime européen de la cybersécurité. Elle élargit considérablement son champ d’application en y intégrant une variété de nouveaux secteurs d’activités, incluant notamment les télécommunications, les plateformes de réseaux sociaux, la gestion des eaux usées, le spatial, ou encore les administrations et collectivités. 

 NIS 2 poursuit un triple objectif : accroitre le niveau de cyber-résilience d’acteurs tous secteurs d’activités confondus ; réduire les incohérences au sein de l’Union européenne pour les secteurs d’activités déjà couverts à date par la directive NIS ; et favoriser le partage de l’information et des connaissances, ainsi que la capacité collective de préparation et de réponse aux attaques. 

 NIS 2 distingue les entités définies comme « essentielles » (opérateurs des noms de domaines, fournisseurs cloud, administrations publiques, organismes de gestion des eaux usées…), et celles qualifiées d’« importantes » (moteurs de recherche, réseaux sociaux, services postaux…), la première catégorie étant soumise à des obligations renforcées. 

Les États membres doivent adopter une stratégie nationale afin d’atteindre et de maintenir un niveau élevé de sécurité dans les secteurs et activités couverts par NIS 2. Ils doivent notamment s’assurer que les entités concernées mettent en œuvre les mesures assurant la sécurité de leurs réseaux et systèmes d’information, ainsi que leur environnement physique (en cohérence avec la directive dite « REC »), selon une approche par les risques appliquée à la cybersécurité. 

 Cette démarche doit nécessairement inclure la détection et la remédiation des incidents et vulnérabilités ; et la prise en compte des risques associés à la chaîne d’approvisionnement (sous-traitants, fournisseurs).

 

Une nécessaire sensibilisation et formation des équipes aux enjeux de cybersécurité 

Quels que soient leur taille et leur secteur d’activité, les entités, publiques et privées, entreprises ont conscience des risques majeurs que représentent les cyber-attaques, vols de données, rançongiciels, etc. : risques financiers bien sûr, mais aussi risques en termes d’image et de réputation, vis-à-vis de leurs clients et de leurs prestataires. 

Face à une menace cyber systémique, les entreprises doivent se protéger et former leurs équipes. La formation des collaborateurs à la cybersécurité est en effet cruciale dans la prévention des risques (en sensibilisant les collaborateurs aux menaces, cyberattaques) et en cas d’incident de sécurité, pour réagir et y remédier efficacement. 

A cet égard, l’article 20 de la directive NIS 2 impose une formation spécialisée en cybersécurité pour les organes de direction. Cette formation est cruciale pour que les membres de la Direction puissent prendre des décisions éclairées d’investissement et superviser efficacement les stratégies de cybersécurité. Il est également prévu que les entreprises adoptent des mesures de sécurité comprenant des formations permettant aux collaborateurs de comprendre et d’évaluer les risques de cybersécurité ainsi que leurs impacts sur l’organisation (cartographie des risques). 

 De plus, en cas de non-respect des dispositions de la directive NIS 2, les sanctions peuvent atteindre des montants élevés (jusqu’à 7 millions d’euros ou 2% du CA mondial, pour les entités importantes et 10 millions d’euros ou 1,4% du CA mondial pour les entités essentielles ; le montant le plus élevé étant retenu). 

 Les entités ne doivent donc pas attendre la transposition de la Directive NIS 2 en droit national, et peuvent d’ores et déjà recenser leurs besoins d’investissement, adopter les bonnes pratiques et se former. Ces nouvelles dispositions s’inscrivent pleinement dans une démarche de gestion des risques, primordiale pour les entités ainsi que pour l’ensemble des organismes tiers appartenant à la chaîne d’approvisionnement. Cette gestion du risque cyber doit également permettre d’intégrer les innovations, notamment liées à l’intelligence artificielle (IA) ainsi que la constante évolution des cyber-attaques. 

 

À propos des auteures 

Cet article a été rédigé par Garance Mathias, Avocate Associée, et Eva Aspe, Responsable Affaires publiques chez Mathias Avocats. 

Fondé il y a plus de 20 ans par Maître Garance Mathias, après une expérience au sein de cabinets d’envergure internationale, Mathias Avocats accompagne ses clients en conseil comme en contentieux. Le cabinet est spécialisé en droit du numérique (négociation de contrats complexes), cybersécurité, protection des données et conformité (RGPD, etc.), ainsi qu’en affaires publiques, avec une expertise particulière dans l’analyse des textes européens et la veille réglementaire.