La directive NIS2 et vos documents : ce que les entreprises de l'UE doivent savoir
NIS2 est la plus grande extension de la réglementation européenne en matière de cybersécurité depuis une décennie. Elle couvre plus de 160 000 entités dans 18 secteurs — et l'essentiel de ce qu'elle exige est de la documentation. Registres de risques, rapports d'incidents, approbations de politiques, évaluations de fournisseurs, journaux de formation. Voici ce que vous devez concrètement faire.
Dernière mise à jour : avril 2026
La réponse courte
- → NIS2 est avant tout un défi de documentation et de gouvernance, pas seulement technologique. Sept des dix mesures de sécurité obligatoires au titre de l'article 21 concernent fondamentalement des processus documentés, des politiques approuvées et des preuves auditables.
- → Si votre organisation opère dans l'un des 18 secteurs couverts et compte 50 employés ou plus (ou dépasse 10 M€ de chiffre d'affaires annuel), vous êtes très probablement concerné — soit en tant qu'entité essentielle, soit en tant qu'entité importante.
- L'essentiel: Un système de gestion documentaire ne vous rend pas conforme à NIS2 à lui seul. Mais une mauvaise gestion documentaire — politiques manquantes, absence d'historique de versions, pas de pistes d'approbation — garantit l'échec d'un audit.
Qu'est-ce que NIS2 et pourquoi est-ce important ?
La directive sur la sécurité des réseaux et de l'information 2 (NIS2) est la directive (UE) 2022/2555, adoptée en décembre 2022. Elle remplace la directive NIS initiale de 2016. Le saut de portée est énorme : NIS1 couvrait environ 15 000 entités dans 7 secteurs. NIS2 en couvre plus de 160 000 dans 18 secteurs. C'est une multiplication par dix.
Les États membres devaient transposer NIS2 en droit national avant le 17 octobre 2024. En avril 2026, 21 des 27 États membres l'ont fait. L'Allemagne a achevé sa transposition en décembre 2025. La France devrait finaliser sa Loi Résilience mi-2026. Les contrôles ont déjà commencé.
| Aspect | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Entités concernées | ~15 000 | ~160 000+ |
| Secteurs couverts | 7 | 18 |
| Amende maximale | Variable selon l'État membre | 10 M€ ou 2 % du CA mondial |
| Responsabilité de la direction | Aucune | Responsabilité personnelle (Art. 20) |
| Signalement d'incidents | « Sans délai indu » | 24h / 72h / 1 mois (Art. 23) |
| Exigences chaîne logistique | Aucune | Obligatoire (Art. 21(2)(d)) |
Pourtant, selon une enquête de CyberSmart menée auprès de 670 dirigeants d'entreprises dans huit pays de l'UE publiée en avril 2026, seulement 16 % des entreprises concernées sont pleinement conformes à NIS2. Les principaux obstacles sont les contraintes budgétaires et le manque de conseils sur la mise en œuvre des mesures. Ce guide répond à ce second problème.
Êtes-vous concerné ?
NIS2 s'applique aux entités qui opèrent dans l'un des 18 secteurs désignés ET qui atteignent le seuil de taille. Il existe deux classifications d'entités : essentielles (obligations plus strictes, supervision proactive) et importantes (supervision réactive, mais les mêmes mesures de sécurité de base s'appliquent).
Le seuil de taille général est celui de la moyenne entreprise ou plus : 50 employés ou plus, OU un chiffre d'affaires annuel dépassant 10 millions d'euros, OU un total de bilan annuel dépassant 10 millions d'euros. Certaines entités sont qualifiées quelle que soit leur taille — notamment les fournisseurs de DNS, les registres de noms de domaine de premier niveau (TLD), les prestataires de services de confiance et les fournisseurs de réseaux de communications électroniques publics.
Les 18 secteurs sont répartis en deux annexes. Les deux entraînent les mêmes exigences de sécurité de l'article 21. La différence réside dans la manière dont les autorités de contrôle interagissent avec vous :
| Classification | Secteurs (Annexe) | Supervision |
|---|---|---|
| Essentielle (Annexe I) | Énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC (B2B), administration publique, espace | Proactive — les autorités peuvent auditer, inspecter et demander des preuves à tout moment |
| Importante (Annexe II) | Services postaux, gestion des déchets, produits chimiques, production et distribution alimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche | Réactive — les autorités enquêtent après un incident ou lorsque des preuves de non-conformité apparaissent |
Note : la proposition d'amendement de la Commission de janvier 2026 introduit une nouvelle catégorie de « petites entreprises de taille intermédiaire » pour les entités de moins de 750 employés et un chiffre d'affaires inférieur à 150 millions d'euros. Selon cette proposition, elles seraient classées comme importantes plutôt qu'essentielles, même si elles opèrent dans les secteurs de l'Annexe I. Cela est encore en cours de négociation législative et n'est pas encore en vigueur.
Les 10 mesures de sécurité obligatoires (Article 21)
L'article 21, paragraphe 2, énumère dix mesures de sécurité minimales que chaque entité concernée doit mettre en œuvre. Ce ne sont pas des suggestions — ce sont des obligations légales, détaillées plus précisément dans le règlement d'exécution (UE) 2024/2690 de la Commission.
Le point clé : regardez la colonne « Document requis ». Sept des dix mesures consistent fondamentalement à disposer de politiques ou de procédures documentées, approuvées et auditables. C'est là que la gestion documentaire devient directement pertinente.
| N° | Exigence | Ce que cela signifie | Document requis |
|---|---|---|---|
| (a) | Analyse des risques et politiques de sécurité de l'information | Identifiez vos risques, évaluez-les et documentez la façon dont vous les traitez | Registre des risques, méthodologie d'évaluation, politique de sécurité |
| (b) | Gestion des incidents | Détecter, répondre et tirer les leçons des incidents de sécurité | Plan de réponse aux incidents, matrice d'escalade, modèle de revue post-incident |
| (c) | Continuité des activités et gestion de crise | Gestion des sauvegardes, reprise après sinistre et réponse aux crises | Plan de continuité d'activité (PCA), plan de reprise d'activité (PRA), politique de sauvegarde |
| (d) | Sécurité de la chaîne d'approvisionnement | Évaluer et gérer les risques de cybersécurité provenant de vos fournisseurs | Politique de sécurité des fournisseurs, registres d'évaluation des prestataires |
| (e) | Sécurité de l'acquisition, du développement et de la maintenance | Traitement des vulnérabilités et pratiques de développement sécurisé | Procédure de gestion des correctifs, politique de divulgation des vulnérabilités |
| (f) | Tests d'efficacité | Évaluer si vos mesures de sécurité fonctionnent réellement | Calendrier d'audit interne, rapports de test, tableau de bord KPI |
| (g) | Hygiène informatique de base et formation | Former le personnel et instaurer des pratiques de sécurité quotidiennes | Plan de formation, feuilles d'émargement, supports de sensibilisation |
| (h) | Cryptographie et chiffrement | Politiques de chiffrement des données au repos et en transit | Politique de cryptographie, procédure de gestion des clés |
| (i) | Sécurité des ressources humaines et contrôle d'accès | Gérer qui a accès à quoi, de l'arrivée au départ des collaborateurs | Politique de contrôle d'accès, procédure d'arrivée/mouvement/départ |
| (j) | Authentification multi-facteurs et communications sécurisées | MFA sur les systèmes critiques, voix/vidéo/texte sécurisés | Politique d'application du MFA, normes de communication sécurisée |
NIS2 est un défi de documentation
C'est ici que la plupart des guides NIS2 font défaut. Ils expliquent les 10 mesures, listent les secteurs, puis passent à autre chose. Mais le véritable défi de conformité n'est pas d'installer un pare-feu ou d'activer le MFA — la plupart des PME le font déjà. Le défi, c'est de le prouver.
Les auditeurs ne vérifient pas vos règles de pare-feu. Ils vérifient votre documentation. Ils veulent voir que les politiques existent, sont à jour (révisées au cours des 12 derniers mois), ont reçu l'approbation documentée de la direction et sont versionnées avec un historique des modifications. Sous NIS2, la preuve constitue la conformité.
Le règlement d'exécution de la Commission (CIR 2024/2690) traduit l'article 21 en environ 30 documents spécifiques que les entités doivent produire et maintenir. Ceux-ci ne sont pas facultatifs — ce sont les documents que les autorités de contrôle demanderont lors d'un audit ou après un incident.
| Type de preuve | Ce que l'auditeur vérifie | Rôle du DMS |
|---|---|---|
| Documents de politique | Version actuelle, validation de la direction, date de révision, historique des versions | Contrôle des versions, workflows d'approbation, piste d'audit sur chaque modification |
| Registre des risques | Cartographie actifs-risques-contrôles, responsables nommés, statut de traitement, journaux de révision | Stockage structuré avec métadonnées, recherche par responsable ou par statut |
| Registres d'incidents | Chronologie, classification, mesures de réponse, revue post-incident, conservation minimale de 5 ans | Journaux d'audit immuables, politiques de conservation, recherche plein texte |
| Évaluations des fournisseurs | Questionnaires fournisseurs remplis, clauses de sécurité dans les contrats, révisions périodiques | Stockage des contrats, marquage par fournisseur, rappels de renouvellement |
| Registres de formation | Journaux de présence, dates de complétion, preuve de formation de la direction | Archivage de documents, recherche par date, organisation par catégorie |
| Décisions de la direction | Procès-verbaux du conseil d'administration montrant les discussions sur la cybersécurité, validation de l'acceptation des risques | Workflows d'approbation avec horodatage et approbateurs nommés |
Le thème récurrent est la traçabilité. Chaque document doit répondre à : qui l'a créé, quand, qui l'a approuvé, quand a-t-il été révisé pour la dernière fois et qu'est-ce qui a changé par rapport à la version précédente. Un dossier sur un disque partagé ne permet pas cela. Un DMS avec historique des versions et workflows d'approbation, oui.
Signalement des incidents : la règle 24-72-1
L'article 23 impose un processus de signalement des incidents en trois étapes pour les incidents significatifs. Le non-respect de ces délais constitue en soi une violation de la conformité. Chaque étape nécessite des preuves documentées — ce qui signifie que la qualité de vos registres d'incidents est directement liée à votre exposition réglementaire.
Alerte précoce
Notifier votre CSIRT national dans les 24 heures suivant la prise de connaissance d'un incident significatif. Il s'agit d'une alerte préliminaire, pas d'une analyse complète.
Notification d'incident
Soumettre une évaluation initiale de l'incident : gravité, impact, indicateurs de compromission et effets transfrontaliers.
Rapport final
Remettre un rapport complet : analyse des causes profondes, mesures de remédiation prises et impact transfrontalier. Si l'incident est toujours en cours, soumettre un rapport d'étape à la place.
En pratique, les organisations qui manquent d'une gestion documentaire structurée peinent à rassembler les preuves d'incident sous la pression du temps. Celles qui maintiennent des registres organisés — avec horodatage, historique des versions et archives consultables — peuvent produire ce dont les régulateurs ont besoin en quelques heures, et non en quelques semaines.
Où en est votre pays ?
NIS2 aurait dû être transposée en droit national d'ici le 17 octobre 2024. En réalité, la mise en œuvre a été lente. En avril 2026, 21 des 27 États membres ont achevé la transposition selon le suivi de l'ECSO. La Commission européenne a envoyé des avis motivés à 19 États en mai 2025, leur donnant deux mois pour achever la transposition sous peine de poursuites devant la Cour de justice.
Voici le statut des six plus grandes économies de l'UE :
| Pays | Statut | Détails |
|---|---|---|
| Allemagne | Transposée | Loi BSI adoptée le 6 décembre 2025. En vigueur sans période de transition. Première amende infligée : 850 000 € contre un fournisseur cloud (février 2026). |
| France | En cours | Loi Résilience adoptée en première lecture à l'Assemblée nationale. Adoption finale prévue au T1/T2 2026. L'ANSSI a ouvert des enquêtes sur 14 entités. |
| Italie | Transposée | Décret législatif 138/2024 en vigueur depuis octobre 2024. L'ACN rapporte plus de 4 800 entités enregistrées ; environ 2 000 ne le sont pas encore. |
| Espagne | À l'arrêt | Aucun progrès législatif attendu à court terme. |
| Pays-Bas | En cours | Loi sur la cybersécurité (Cbw) en préparation. Date limite d'auto-évaluation pour les entités fixée à juin 2026. |
| Pologne | En cours | Amendement à la loi sur le système national de cybersécurité en cours de finalisation. |
Même si votre pays n'a pas encore transposé NIS2, la directive s'applique.
NIS2 est en vigueur en tant que droit de l'UE depuis le 18 octobre 2024. Les autorités nationales appliqueront les exigences de manière rétroactive une fois la transposition terminée. Commencer la mise en conformité dès maintenant — plutôt que d'attendre la législation nationale — est la seule position défendable.
Les sanctions sont réelles
NIS2 introduit deux niveaux d'amendes administratives, calqués sur la structure des sanctions du RGPD. Les États membres peuvent fixer des plafonds supérieurs à ces planchers, mais pas inférieurs.
| Type d'entité | Amende maximale | Alternative sur le CA | Pouvoirs additionnels |
|---|---|---|---|
| Essentielle | 10 000 000 € | ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) | Instructions contraignantes, audits de sécurité aux frais de l'entité, interdictions temporaires de gestion |
| Importante | 7 000 000 € | ou 1,4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) | Instructions contraignantes, audits de sécurité aux frais de l'entité |
L'article 20 ajoute la responsabilité personnelle : les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité et superviser leur mise en œuvre. Les membres de la direction peuvent être tenus personnellement responsables en cas de non-conformité. Dans certains États membres, dont l'Allemagne, cela s'étend à des interdictions temporaires d'occuper des postes de direction.
L'application suit le modèle des débuts du RGPD. Le BSI allemand a émis 47 notifications formelles au T4 2025 et sa première sanction financière (850 000 € contre un fournisseur de services cloud) en février 2026. L'ANSSI en France a ouvert 14 enquêtes. L'ACN italienne s'est concentrée sur l'application des enregistrements. Les sanctions financières importantes devraient augmenter en 2026–2027 à mesure que l'application nationale gagne en maturité.
La proposition de simplification de janvier 2026
Le 20 janvier 2026, la Commission européenne a publié une proposition d'amendements ciblés à NIS2 dans le cadre d'un ensemble plus large sur la cybersécurité. L'objectif affiché est de simplifier la conformité, d'accroître la sécurité juridique et d'harmoniser la mise en œuvre. La proposition suivra la procédure législative ordinaire, avec un accord politique visé pour début 2027.
Voici ce qui pourrait changer — et ce qui ne changera pas :
Ce qui ne changera PAS
- ×Les 10 mesures de sécurité obligatoires (Article 21)
- ×Les exigences de documentation et de preuves
- ×Les délais de signalement des incidents (24h/72h/1 mois)
- ×La structure des sanctions et la responsabilité de la direction
Ce qui pourrait changer (stade de proposition)
- ✓Nouvelle catégorie « petite ETI » (< 750 employés, < 150 M€ de CA) — reclassée comme importante au lieu d'essentielle
- ✓Voie de conformité basée sur la certification via le cadre de certification de cybersécurité de l'UE
- ✓Micro et petits fournisseurs de DNS retirés du champ d'application
- ✓Harmonisation maximale pour les actes d'exécution — moins de divergences nationales
La direction est claire : NIS2 devient plus simple à respecter, pas plus faible. Les obligations fondamentales demeurent. Si vous retardez la mise en conformité en espérant que les amendements vous en exempteront, vous prenez un risque juridique. La proposition réduit le champ d'application à la marge mais ne réduit pas les exigences pour les entités qui restent concernées.
Checklist pratique pour les PME
Si vous lisez ceci parce que votre responsable de la conformité a dit « nous pourrions être concernés » — voici le chemin minimal à suivre. Il ne s'agit pas d'un plan complet de mise en œuvre de NIS2. C'est l'ensemble des actions qui vous feront passer de zéro à « prêt pour l'audit » pour les exigences de documentation.
Déterminer si vous êtes concerné
Vérifiez votre secteur par rapport aux annexes I et II. Appliquez le seuil de taille (50+ employés ou 10 M€+ de CA). En cas de doute, consultez le registre de votre autorité nationale — plusieurs États membres ont publié des listes d'entités ou des outils d'auto-évaluation.
Classer comme essentielle ou importante
Les secteurs de l'annexe I sont généralement essentiels ; ceux de l'annexe II sont généralement importants. La distinction affecte l'intensité de la surveillance mais pas les exigences fondamentales de l'article 21. Documentez votre raisonnement de classification.
Effectuer une analyse d'écarts sur les 10 mesures
Pour chacune des 10 mesures de l'article 21, répondez : avons-nous une politique documentée ? Est-elle approuvée par la direction ? A-t-elle été révisée au cours des 12 derniers mois ? Avons-nous des preuves de sa mise en œuvre ? Notez les lacunes.
Constituer votre dossier de preuves
Commencez par les trois registres de base : risques, incidents et fournisseurs. Ajoutez une politique de sécurité de l'information, un plan de continuité d'activité et un journal de formation. Chaque document doit avoir un propriétaire, une date de révision, un contrôle de version et l'approbation de la direction.
Mettre en place la gestion du cycle de vie des documents
Chaque document de politique NIS2 nécessite une date de création, un enregistrement d'approbation, un calendrier de révision et un historique des versions. Si vous gérez cela dans un dossier partagé, vous perdrez le fil en quelques mois. Un DMS avec workflows d'approbation et pistes d'audit rend cela gérable sur le long terme.
Planifier les revues de direction et les formations
L'article 20 exige que les organes de direction approuvent les mesures de cybersécurité et suivent une formation. Planifiez des revues trimestrielles, documentez la présence et conservez les registres des décisions. Ce sont les preuves que les auditeurs vérifient en premier.
Comment Veluvanto aide pour la documentation NIS2
Veluvanto n'est pas une plateforme GRC. Il ne remplace pas votre méthodologie d'évaluation des risques ni vos procédures de réponse aux incidents. Ce qu'il fait, c'est fournir la couche de gestion documentaire qui rend les preuves NIS2 durables — la partie avec laquelle la plupart des entreprises luttent après l'effort initial de mise en conformité.
- ✓Stockage de documents avec contrôle de version : chaque modification est enregistrée avec horodatage, utilisateur et version précédente. Vous pouvez reconstruire l'état de n'importe quel document à n'importe quel moment — exactement ce que les auditeurs exigent.
- ✓Workflows d'approbation : faites circuler les documents de politique pour validation par la direction avec un suivi de statut. La chaîne d'approbation crée la piste de preuves exigée par l'article 20.
- ✓Piste d'audit complète : chaque action sur un document (importation, consultation, modification, approbation, archivage) est enregistrée. Aucun suivi manuel requis — les preuves de conformité sont générées automatiquement.
- ✓Recherche et organisation par AI : trouvez n'importe quel document en quelques secondes grâce à des requêtes en langage naturel. Lorsqu'un auditeur demande vos évaluations de sécurité fournisseurs du T3, vous pouvez les récupérer immédiatement plutôt que de chercher dans des dossiers.
- ✓Résidence des données dans l'UE et chiffrement : les documents sont stockés dans l'UE avec un chiffrement AES-256 au repos et en transit. Aucune donnée ne quitte la frontière des données de l'UE — contrairement à certains outils basés sur l'AI qui routent le traitement vers des centres de données américains lors des pics de demande.
- ✓Conforme au GDPR par conception : isolation par client, chiffrement SSE-C et gestion du cycle de vie des données. NIS2 et le GDPR se chevauchent considérablement dans leurs exigences de documentation — un système qui satisfait l'un vous rapproche grandement de l'autre.
La partie la plus difficile de la conformité NIS2 n'est pas la configuration initiale — c'est le maintien des preuves dans le temps. Les politiques deviennent obsolètes, les révisions sont oubliées, les dossiers de formation disparaissent. Un DMS qui impose le contrôle des versions, suit les approbations et journalise chaque action transforme la conformité d'une corvée trimestrielle en un processus transparent en arrière-plan.
Sources et lectures complémentaires
Ce guide est basé sur les sources primaires suivantes. Les dates entre parenthèses indiquent la date de publication ou de dernière mise à jour de chaque source.
- Directive (UE) 2022/2555 (Directive NIS2) — Texte intégral sur EUR-Lex (décembre 2022)
- Règlement d'exécution (UE) 2024/2690 de la Commission — Mesures techniques pour la conformité NIS2 (octobre 2024)
- COM(2026) 13 — Proposition d'amendements ciblés à NIS2 et alignement avec le Cybersecurity Act (janvier 2026)
- Suivi de la transposition NIS2 de l'ECSO — 21/27 États membres transposés en avril 2026
- Commission européenne, avis motivé à 19 États membres sur la transposition de NIS2 (mai 2025)
- CyberSmart, « Seules 16 % des entreprises sont pleinement conformes à NIS2 » — Enquête auprès de 670 chefs d'entreprise (avril 2026)
- ENISA, Guide de mise en œuvre technique NIS2 (2025)
- BSI Allemagne — Première amende NIS2 : 850 000 € contre un fournisseur de services cloud (février 2026)
- Analyse d'impact de la Commission européenne — Champ d'application NIS2 : ~160 000 entités dans 18 secteurs
Guides associés
Gestion documentaire GDPR
Comment stocker, organiser et protéger les données personnelles dans votre DMS — NIS2 et le GDPR partagent un chevauchement documentaire important
EU AI Act et gestion documentaire
L'autre échéance majeure de conformité de l'UE en 2026 — obligations de transparence pour les fonctionnalités d'AI dans votre DMS
Workflows d'approbation de documents
Comment mettre en place des chaînes d'approbation pour les documents de politique — le fondement des preuves de gouvernance NIS2