LegamapexDroit du numérique européen
Tous les règlements
Transposition en coursCybersécuritéDirective (UE) 2022/2555Mis à jour le 29 avril 2025

Directive

NIS 2

Directive sur un niveau élevé commun de cybersécurité dans l'Union

La directive NIS 2 renforce le cadre de cybersécurité européen en élargissant son champ à 18 secteurs (contre 7 pour NIS 1), en introduisant des obligations de gestion des risques plus strictes, et en responsabilisant personnellement les dirigeants. Elle crée deux catégories : entités essentielles (EE) et entités importantes (EI), soumises à des régimes de supervision différenciés.
Consulter le texte officiel sur EUR-Lex

Contexte

La directive NIS 1 de 2016 avait un périmètre très restreint (environ 300 entités en France) et une application hétérogène. Face à l'augmentation massive des cyberattaques, l'UE a décidé de remplacer NIS 1 par un cadre beaucoup plus ambitieux. NIS 2 multiplie par 50 le nombre d'entités concernées en France (de 300 à 15 000-18 000).

Champ d'application

Il s'applique aux entités de taille moyenne et grande (plus de 50 salariés ou chiffre d'affaires/bilan annuel supérieur à 10 millions d'euros) opérant dans 18 secteurs répartis en deux catégories. Les entités essentielles (EE), soumises aux obligations les plus strictes, couvrent :
  • l'énergie
  • les transports
  • le secteur bancaire
  • les infrastructures des marchés financiers
  • la santé
  • l'eau potable
  • les eaux usées
  • les infrastructures numériques
  • la gestion des services TIC
  • les administrations publiques
  • l'espace
Les entités importantes (EI) couvrent :
  • les services postaux et de livraison
  • la gestion des déchets
  • la fabrication et distribution de produits chimiques
  • la production alimentaire
  • la fabrication industrielle (dispositifs médicaux, électronique, machines, véhicules)
  • les fournisseurs de services numériques
  • les organismes de recherche

Acteurs concernés

Entités essentielles (EE) et entités importantes (EI) dans les 18 secteurs couvertsANSSI (autorité nationale compétente en France)CSIRT nationaux (centres de réponse aux incidents)Réseau CyCLONe (coordination des crises cyber au niveau européen)ENISA (Agence de l'UE pour la cybersécurité)Dirigeants des entités concernées (responsabilité personnelle)