Retour au blog
Conformité

Comment préparer l'arrivée de NIS2 ?

26 mai 2026- 7 min de lecture

NIS2 remplace et étend la directive NIS de 2016, avec un périmètre d'application beaucoup plus large : de nombreux secteurs jusqu'ici non concernés (santé, gestion des déchets, fabrication, services numériques) entrent désormais dans le champ de la directive, dès lors qu'une entreprise dépasse certains seuils de taille. Les sanctions en cas de non-conformité peuvent atteindre des montants comparables au RGPD.

La directive impose des obligations de gouvernance (implication de la direction dans la gestion des risques cyber), de gestion des risques (mesures techniques et organisationnelles proportionnées), de gestion des incidents (notification sous 24h pour les incidents significatifs) et de continuité d'activité.

Pour évaluer sa préparation, une organisation doit d'abord déterminer si elle entre dans le périmètre de la directive (entité essentielle ou importante), puis évaluer l'écart entre ses pratiques actuelles et les dix domaines de mesures minimales définis par le texte : gestion des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des acquisitions et développement de systèmes, notamment.

Contrairement à ISO 27001, NIS2 est une obligation réglementaire et non une certification volontaire : mieux vaut objectiver son niveau de préparation en amont, plutôt que de découvrir des écarts significatifs sous la pression d'un contrôle ou d'un incident.

Prêt à évaluer votre organisation ?

Essayer gratuitement