NIS2 pour les non-techniciens : ce que dirigeants et DSS doivent vraiment retenir

Il y a une chose curieuse dans la façon dont NIS2 est présentée. La quasi-totalité des analyses s'adressent aux RSSI, aux DSI, aux responsables cyber. Les articles parlent de firewalls, de tests de pénétration, de protocoles d'authentification, de gestion des vulnérabilités. Tout cela est légitime — et pourtant, ce n'est pas à ces personnes que NIS2 s'adresse en premier.

Ce texte s'adresse d'abord aux dirigeants. Et aux directeurs de sécurité et sûreté.

C'est l'une des révolutions silencieuses de la directive : pour la première fois, un texte réglementaire européen place la gouvernance de la sécurité — pas seulement informatique, mais au sens large — directement dans le champ de responsabilité des organes de direction. Non pas comme une obligation déléguée. Comme une responsabilité personnelle.

Cet article ne parle pas de firewalls. Il parle de ce que vous devez comprendre, décider et faire — si vous êtes dirigeant, directeur général, membre d'un comité exécutif, ou directeur sécurité-sûreté d'une organisation concernée par NIS2.

Votre organisation est probablement concernée — et peut-être que vous ne le savez pas encore

La directive NIS2 (directive européenne 2022/2555), adoptée le 14 décembre 2022, a considérablement élargi le périmètre des entités soumises à des obligations de sécurité. En France, ce changement est massif : alors que la directive NIS1 concernait environ 300 opérateurs, les estimations de l'ANSSI et du Sénat situent le nombre d'entités concernées par NIS2 entre 15 000 et 18 000 organisations (Sénat, rapport de la commission spéciale, 2025).

Ce chiffre mérite qu'on s'y arrête. Il ne s'agit plus seulement des grands groupes industriels ou des opérateurs d'importance vitale. Entrent désormais dans le champ d'application les entreprises de 50 salariés ou plus réalisant un chiffre d'affaires supérieur à 10 millions d'euros dans 18 secteurs d'activité : santé, énergie, transports, alimentation, logistique, infrastructure numérique, finance, eau, administrations, enseignement supérieur, entre autres. Des cliniques privées, des sociétés de distribution, des collectivités territoriales, des établissements universitaires découvrent qu'ils sont concernés alors qu'ils ne l'avaient pas anticipé.

NIS2 distingue deux catégories. Les entités essentielles, qui rassemblent les organisations de plus de 250 salariés ou dont le chiffre d'affaires dépasse 50 millions d'euros dans les secteurs hautement critiques, sont soumises à un régime de contrôle proactif. Les entités importantes, qui rassemblent les structures plus petites mais opérant dans les mêmes secteurs à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires, relèvent d'un régime de contrôle réactif — l'ANSSI peut contrôler après un incident (directive NIS2, annexes I et II).

Pour la France, la transposition passe par le projet de loi Résilience, adopté en première lecture au Sénat en mars 2025 et examiné en commission spéciale à l'Assemblée nationale en septembre 2025. L'adoption définitive est attendue au printemps-été 2026, avec la publication des décrets d'application de l'ANSSI au second semestre 2026. En attendant, l'ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF), un document de travail qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2.

Si vous n'avez pas encore vérifié votre statut, l'outil d'autodiagnostic MonEspaceNIS2 mis en ligne par l'ANSSI est le point de départ logique.

Trois obligations qui changent votre quotidien de dirigeant

Derrière la complexité apparente du texte, trois piliers structurent l'essentiel de ce que NIS2 impose aux organisations concernées.

La gouvernance, d'abord. L'article 20 de la directive est le plus souvent cité et le moins souvent compris. Il stipule que les organes de direction — comité de direction, conseil d'administration, direction générale — doivent approuver et superviser les mesures de gestion des risques de cybersécurité. Ce n'est pas une approbation de principe, accordée en marge d'une réunion. C'est une approbation documentée, traçable, et susceptible d'être vérifiée lors d'un contrôle. La direction doit valider les mesures, allouer les ressources, et suivre des indicateurs de risque.

Ce même article introduit une obligation de formation : les membres des organes de direction doivent être formés régulièrement aux enjeux de NIS2 et aux risques de sécurité de leur organisation. Ce n'est pas une recommandation. C'est une obligation légale vérifiable. Nos analyses détaillées sur l'article 20 de NIS2 et ses implications pour les comités exécutifs développent les conséquences concrètes de cette responsabilité.

Ce qui change, concrètement : la cybersécurité n'est plus un dossier que l'on signe et que l'on délègue. Elle devient un sujet de gouvernance au même titre que la gestion financière ou la conformité juridique.

La gestion des risques, ensuite. L'article 21 liste dix catégories de mesures que les entités concernées doivent mettre en place : gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, contrôle d'accès, gestion des vulnérabilités, formations, cryptographie. Mais il inclut aussi — et c'est le point que beaucoup ignorent — la sécurité physique et environnementale des locaux hébergeant les systèmes critiques.

Ce détail n'en est pas un. Il signifie que NIS2 n'est pas seulement une affaire de systèmes d'information. C'est un cadre de sécurité global, qui couvre à la fois la dimension numérique et la dimension physique. Nous revenons sur ce point plus bas.

Le signalement des incidents, enfin. L'article 23 impose un régime de notification structuré en trois étapes : une alerte précoce à l'ANSSI dans les 24 heures suivant la détection d'un incident significatif, un rapport d'état dans les 72 heures, et un rapport final dans un délai d'un mois. Ces délais valent pour tout incident ayant causé — ou susceptible de causer — une perturbation opérationnelle grave ou un dommage significatif. Notre analyse du signalement NIS2 et de l'article 23 détaille les implications opérationnelles de cette chaîne de notification.

Ce régime a une implication pratique immédiate : votre organisation doit être capable de détecter, qualifier et notifier un incident en moins de 24 heures. Cela suppose des procédures, des responsabilités claires, une chaîne de décision identifiée. Ce n'est pas un problème informatique. C'est un problème de gouvernance opérationnelle — qui implique la direction, les équipes juridiques, les équipes sécurité, et potentiellement les relations extérieures.

Responsabilité personnelle : ce que ça veut dire en pratique

NIS2 introduit une rupture avec les réglementations précédentes : la responsabilité des dirigeants est engagée à titre personnel, et non seulement organisationnel. En cas de manquement grave, les sanctions ne visent pas uniquement l'entité. Elles peuvent viser les dirigeants eux-mêmes.

Les sanctions financières sont significatives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires pour les entités importantes (directive NIS2, article 34 ; projet de loi Résilience, Sénat 2025). Mais au-delà de l'amende, l'autorité compétente peut prononcer une interdiction temporaire pour les dirigeants d'exercer des fonctions de gestion au sein de la même entité.

Pour contextualiser l'enjeu financier sous-jacent : selon une enquête menée en juin 2024 par l'ANSSI auprès des membres du CLUSIF, une cyberattaque coûte en moyenne 466 000 euros pour une TPE/PME, 13 millions d'euros pour une ETI, et 135 millions d'euros pour une grande entreprise (Sénat, rapport de la commission spéciale, 2025). Ces chiffres illustrent pourquoi la conformité n'est pas un coût — c'est une protection.

Ce que ça change pour le directeur sécurité-sûreté

Le DSS est l'une des figures les plus directement impactées par NIS2 — et l'une des moins sollicitées dans les analyses courantes, qui restent focalisées sur le RSSI et le DSI.

Pourtant, les obligations de NIS2 touchent pleinement son périmètre. La sécurité physique des locaux hébergeant les systèmes critiques est une exigence explicite de l'article 21. Les accès aux zones sensibles, la vidéosurveillance, le contrôle des flux de personnes, la gestion des prestataires et visiteurs : tout ce qui relève du périmètre physique d'une organisation entre dans le champ de la conformité NIS2.

C'est précisément ici que la distinction entre sécurité (safety, protection contre les risques accidentels) et sûreté (security, protection contre les actes malveillants intentionnels) prend une valeur opérationnelle. NIS2 vise les menaces intentionnelles. Elle impose de se protéger contre des attaquants qui combinent souvent intrusion physique et exploitation numérique — une réalité que nous analysons en détail dans notre article sur la convergence entre sécurité physique et cybersécurité sous NIS2.

Pour le DSS, NIS2 ouvre trois responsabilités nouvelles ou renforcées : contribuer à l'évaluation des risques physiques pesant sur les systèmes critiques, s'assurer que les dispositifs de contrôle d'accès physique sont conformes aux exigences du référentiel, et participer à la chaîne de notification des incidents — car une intrusion physique peut qualifier comme incident significatif au sens de l'article 23.

Ce dernier point mérite une attention particulière. Si un agent externe pénètre dans une zone hébergeant des serveurs critiques, cet incident peut déclencher l'obligation de notification à l'ANSSI dans les 24 heures. Le DSS doit être dans la boucle de décision, et pas seulement en aval pour le compte-rendu sécurité.

La méthodologie RTA (Red Traffic Analyses) développée par CARINEL permet précisément d'évaluer les vulnérabilités physiques d'un site selon une cartographie des flux, des accès et des zones critiques — un diagnostic qui, dans le cadre NIS2, nourrit directement l'évaluation des risques exigée par l'article 21. Les audits de sûreté physique deviennent ainsi des outils de conformité réglementaire, et non plus seulement des démarches de précaution.

Les tests de pénétration physiques ne sont plus optionnels

Pour les entités soumises à NIS2, la conformité ne se démontre pas sur le papier seul. Elle se prouve par des tests. L'article 21 exige des mesures proportionnées et des évaluations régulières. Cela inclut des tests de sécurité qui couvrent à la fois les systèmes numériques et les dispositifs physiques.

Un audit cyber seul est insuffisant. Il ne révèle pas si votre salle serveur est accessible en quelques minutes à un attaquant qui a franchi une porte laissée ouverte par un prestataire. La combinaison d'un test de pénétration physique et d'un test d'intrusion numérique est la seule approche qui valide réellement la conformité dans une lecture convergente de NIS2. Nous l'avons développé en détail dans notre article sur les tests de pénétration physiques et la conformité NIS2.

Par où commencer — sans jargon

Pour un dirigeant ou un DSS qui aborde NIS2 sans bagage technique, voici l'essentiel à retenir sous forme de séquence logique.

La première étape est de vérifier si votre organisation est concernée, via l'outil MonEspaceNIS2 de l'ANSSI. La deuxième est d'identifier votre catégorie — entité essentielle ou entité importante — car les obligations de contrôle diffèrent. La troisième est de désigner clairement un responsable de la conformité NIS2 au sein de la gouvernance de l'organisation, avec un rattachement hiérarchique à la direction.

La quatrième étape, souvent sous-estimée, est de cartographier les actifs critiques — pas seulement les systèmes informatiques, mais aussi les locaux qui les hébergent, les accès physiques qui y mènent, et les prestataires qui y interviennent. C'est ce croisement entre périmètre numérique et périmètre physique qui constitue le vrai chantier NIS2 pour la plupart des organisations.

Enfin, la cinquième étape est de préparer la chaîne de notification d'incident : qui décide, qui informe l'ANSSI, qui informe la CNIL si des données personnelles sont impliquées, qui gère la communication interne et externe. Cette chaîne doit être exercée avant l'incident, pas construite pendant.

NIS2 est une contrainte réglementaire significative. Elle est aussi, pour les organisations qui l'abordent avec méthode, une opportunité de clarifier des responsabilités qui étaient floues, de renforcer la cohérence entre sécurité physique et sécurité numérique, et de bâtir une résilience opérationnelle qui dépasse largement le seul périmètre de la conformité.

Pour évaluer votre niveau de préparation NIS2 — gouvernance, périmètre physique, chaîne de notification — CARINEL accompagne les organisations dans une démarche de diagnostic structuré.

Prenez rendez-vous avec nos experts : https://www.carinel.com/test-avec-nos-experts 

tél 01 89 71 59 06 · info@carinel.com · www.carinel.com

SOURCES (avec liens)

• Directive (UE) 2022/2555 — NIS2, EUR-Lex — articles 20, 21, 23, 34

• Sénat français, rapport de la commission spéciale, projet de loi Résilience, 2025

• ANSSI, Référentiel Cyber France (ReCyF), mars 2026

• Vie-publique.fr, projet de loi relatif à la résilience des infrastructures critiques

• MonEspaceNIS2 — outil d'autodiagnostic ANSSI