🚨 La directive NIS2 est désormais en vigueur. La sensibilisation à la sécurité est désormais une obligation légale dans l'UE.

Vérifier la conformité
Démarrez votre essai gratuit
Retour au Centre de ressources

Directive NIS2 : le guide complet (2026)

La certification ISO 27001 est un gage de qualité qui témoigne de l'importance que votre organisation accorde à la gestion des informations sensibles. Mais c'est loin d'être le seul référentiel qui méritera votre attention en 2026.

La directive NIS2 (également appelée NIS-2 ou NIS 2.0) impose aux organisations de 18 secteurs de mettre en œuvre des mesures de cybersécurité rigoureuses, notamment des formations de sensibilisation à la sécurité destinées à l'ensemble des employés.

Mais comprendre exactement ce qu'exige la directive NIS2 et comment la loi néerlandaise sur la cybersécurité (Cwb) la transpose dans le droit national peut s'avérer fastidieux.

Dans ce guide, nous vous expliquons tout ce que vous devez savoir : ce qu'est la directive NIS 2, à qui elle s'applique, la liste de contrôle complète pour 2026, et comment préparer votre organisation à un audit.

Qu'est-ce que la directive NIS2 ?

La directive NIS2 (directive (UE) 2022/2555) constitue le nouveau cadre de l'Union européenne en matière de sécurité des réseaux et de l'information. Elle a remplacé la directive NIS initiale (NIS1) de 2016, qui était le premier texte législatif de l'UE en matière de cybersécurité.

La directive NIS2 est entrée en vigueur le 16 janvier 2023, et les États membres de l'UE devaient la transposer dans leur législation nationale avant le 17 octobre 2024. Cependant, la plupart des États membres, dont les Pays-Bas, n'ont pas respecté ce délai.

La directive vise à instaurer un niveau commun élevé de cybersécurité dans toute l'Union européenne en imposant aux organisations des secteurs critiques :

  • Mettre en œuvre des mesures de cybersécurité fondées sur les risques
  • Signaler les incidents graves aux autorités dans des délais stricts
  • Veiller à ce que les instances dirigeantes soient formées et responsables
  • Organiser régulièrement des formations de sensibilisation à l'intention de tous les employés
  • Gérer les risques liés à la sécurité de la chaîne d'approvisionnement

On estime à 160 000 le nombre d'entités relevant du champ d'application de la directive NIS 2 dans l'ensemble de l'Union européenne. Cela représente une multiplication par dix par rapport à la directive NIS 1.

NIS2 vs NIS1 : qu'est-ce qui a changé ?

La directive NIS initiale constituait un bon point de départ, mais elle présentait des lacunes importantes. La directive NIS 2 comble ces lacunes à tous les niveaux. Voici un bref résumé des changements les plus importants :

Aspect NIS1 NIS2
Secteurs concernés 7 secteurs 18 secteurs
Entités concernées ~15,000 ~160,000
Signalement des incidents Pas de calendrier précis 24 h / 72 h / 1 mois
Sanctions Déterminé par État membre Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires
Responsabilité des dirigeants Non traité Responsabilité civile pour négligence grave
Chaîne d'approvisionnement Ce n'est pas une exigence explicite Gestion obligatoire des risques
Formation en gestion Non obligatoire Obligatoire pour le conseil d'administration et la direction générale

Vous souhaitez en savoir plus sur ces différences ? Consultez notre comparaison complète : Quelle est la différence entre NIS1 et NIS2 ?

La législation NIS2 en Europe

La directive NIS2 est une directive européenne, ce qui signifie qu'elle ne s'applique pas directement aux organisations. Chaque État membre doit la transposer dans son droit national. Voici où en sont les choses en 2026.

État d'avancement de la mise en œuvre dans l'Union européenne

Les progrès réalisés en matière de mise en œuvre varient considérablement. Des pays comme la Belgique, la Croatie et l'Italie ont été parmi les premiers à adopter une législation nationale. D'autres, notamment les Pays-Bas et l'Allemagne, ont mis plus de temps.

La Commission européenne a engagé des procédures d'infraction à l'encontre de 23 États membres pour non-respect de la date limite de transposition fixée à octobre 2024. En mai 2025, 19 États membres avaient reçu des avertissements juridiques formels (avis motivés). Début 2026, environ 16 pays avaient pleinement transposé la directive NIS2 dans leur législation nationale.

Le paquet de mesures de l'UE sur la cybersécurité de janvier 2026

Le 20 janvier 2026, la Commission européenne a publié une proposition visant à modifier la directive NIS2 dans le cadre d'un ensemble de mesures plus large en matière de cybersécurité. Les principales modifications sont les suivantes :

  • Règles juridictionnelles simplifiées pour les organisations exerçant leurs activités dans plusieurs pays de l'UE
  • Des parcours de conformité fondés sur la certification, permettant aux organisations de démontrer leur conformité grâce à des certifications reconnues
  • Amélioration des rapports sur les ransomwares grâce à des exigences plus détaillées en matière de données sur les incidents
  • Élargissement du champ d'application pour inclure les fournisseurs de portefeuilles d'identité numérique européens et d'infrastructures de données sous-marines
  • Reclassification d'environ 22 500 entités afin d'alléger la charge administrative pesant sur les petites organisations
  • Un rôle renforcé pour l'ENISA dans la coordination de la surveillance transfrontalière

Ces modifications devraient faire l'objet de négociations tout au long de l'année 2026, avec une période de transposition de 12 mois après leur adoption.

La NIS2 aux Pays-Bas : la loi sur la cybersécurité (Cwb)

Aux Pays-Bas, la directive NIS2 est en cours de transposition dans la Cyberbeveiligingswet (Cwb). Cette loi remplace l'actuelle Wbni (Wet beveiliging netwerk- en informatiesystemen).

Situation actuelle (mars 2026)

  • Le projet de loi a été présenté à la Tweede Kamer le 4 juin 2025
  • Un débat en séance plénière était prévu le 23 mars 2026
  • Après la Tweede Kamer, le projet de loi doit encore être adopté par l'Eerste Kamer
  • Le gouvernement prévoit que la loi entre en vigueur au deuxième trimestre 2026

Trois volets réglementaires

La mise en œuvre néerlandaise se compose de trois niveaux :

  1. La loi sur la cybersécurité, qui constitue la principale loi de transposition de la directive NIS 2
  2. Le Cyberbeveiligingsbesluit (AMvB), un arrêté administratif général définissant des obligations spécifiques
  3. Règlements ministériels spécifiques à chaque secteur, assortis d'exigences adaptées à chacun d'entre eux

Principales obligations néerlandaises

Les organisations soumises à la loi sur la cybersécurité doivent respecter quatre obligations fondamentales :

  • Devoir de diligence : mettre en œuvre les mesures techniques et organisationnelles appropriées pour gérer les risques liés à la cybersécurité
  • Obligation d'enregistrement : vous devez vous enregistrer auprès de l'autorité de contrôle compétente pour votre secteur
  • Obligation de formation pour les dirigeants : les membres du conseil d'administration et la direction doivent suivre une formation en cybersécurité
  • Obligation de signalement : signaler les incidents significatifs au NCSC dans les délais prescrits

Autorités de contrôle

Le NCSC (Nationaal Cyber Security Centrum) fait office d'organisme de coordination principal. Les autorités de contrôle sectorielles sont désignées par voie de règlement ministériel.

Pour les organismes du secteur de la santé, le cadre réglementaire est particulièrement complexe, car il combine les exigences de la directive NIS 2 avec les réglementations existantes propres au secteur de la santé en matière de protection des données des patients.

À qui s'applique la directive NIS2 ?

La directive NIS2 s'applique aux organisations en fonction de deux critères : le secteur d'activité et la taille.

Entités essentielles (secteurs hautement critiques)

  • Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
  • Transports (aériens, ferroviaires, maritimes, routiers)
  • Infrastructures bancaires et des marchés financiers
  • Secteur de la santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux, pharmacies)
  • Eau potable et eaux usées
  • Infrastructure numérique (DNS, registres de TLD, fournisseurs de services cloud, centres de données, CDN)
  • Gestion des services informatiques (fournisseurs de services gérés, fournisseurs de services de sécurité gérés)
  • Administration publique
  • Espace

Entités importantes (autres secteurs critiques)

  • Services postaux et de messagerie
  • Gestion des déchets
  • Industrie manufacturière (dispositifs médicaux, électronique, machines, véhicules automobiles)
  • Production, transformation et distribution alimentaires
  • Production et distribution de produits chimiques
  • Fournisseurs de services numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
  • Organismes de recherche

Seuils de taille

Les organisations de ces secteurs sont concernées si elles répondent aux critères de taille suivants :

  • Entreprises de taille moyenne : plus de 50 salariés ou un chiffre d'affaires annuel supérieur à 10 millions d'euros
  • Grandes entreprises : plus de 250 salariés ou un chiffre d'affaires annuel supérieur à 50 millions d'euros

Certaines entités relèvent du champ d'application quel que soit leur taille, notamment les fournisseurs de services DNS, les registres de TLD et (en vertu des modifications proposées pour 2026) les fournisseurs de portefeuilles d'identité numérique européens.

La différence en matière de supervision

Les entités essentielles font l'objet d'une surveillance proactive, ce qui implique des audits et des inspections réguliers, ainsi que des sanctions plus sévères. Les entités importantes sont soumises à une surveillance réactive : les enquêtes ne sont menées qu'à la suite d'incidents ou de signalements de non-conformité, et les sanctions sont moins sévères.

Liste de contrôle NIS2 (2026)

Utilisez cette liste de contrôle exhaustive pour vérifier que votre organisation respecte toutes les exigences de la directive NIS 2. Elle va au-delà d'une simple formation de sensibilisation et couvre l'ensemble des obligations prévues par la directive NIS 2 afin de vous aider à vous préparer à la mise en conformité et aux audits.

1. Gouvernance et responsabilité de la direction

  • L'organe de direction a officiellement approuvé les mesures de gestion des risques liés à la cybersécurité mises en place par l'organisation
  • Les membres du conseil d'administration et les cadres supérieurs ont suivi une formation en cybersécurité
  • Une personne ou une équipe désignée est chargée de la conformité à la directive NIS2 (par exemple, le RSSI ou le responsable de la conformité)
  • La cybersécurité figure systématiquement à l'ordre du jour des réunions du conseil d'administration et de la direction
  • La direction est consciente de sa responsabilité personnelle en cas de non-respect des règles
  • Un budget est alloué aux mesures de cybersécurité et à la formation
  • La structure de gouvernance en matière de cybersécurité est documentée et communiquée

2. Gestion des risques et mesures de sécurité

L'article 21 de la directive NIS 2 impose aux organisations de mettre en œuvre des mesures appropriées et proportionnées. Votre liste de contrôle devrait inclure :

  • Une évaluation formelle des risques a été réalisée et fait l'objet d'un réexamen régulier
  • Les politiques de gestion des risques sont consignées par écrit, approuvées et diffusées
  • Des mesures techniques ont été mises en place : pare-feu, systèmes de détection d'intrusion, cryptage, contrôles d'accès
  • Des mesures organisationnelles ont été mises en place : politiques, procédures, rôles et responsabilités
  • Des plans de continuité des activités et de reprise après sinistre ont été mis en place et sont testés
  • Les procédures de sauvegarde et de restauration sont documentées et testées régulièrement
  • La segmentation du réseau est mise en place lorsque cela s'avère nécessaire
  • L'authentification multifactorielle (MFA) est mise en place pour les systèmes critiques et l'accès à distance
  • Un programme de gestion des vulnérabilités est en place (analyses régulières, application des correctifs)
  • Des pratiques de développement sécurisées sont mises en œuvre pour les logiciels développés en interne

3. Signalement des incidents et intervention

  • Un plan d'intervention en cas d'incident a été établi et testé
  • Les critères de classification des incidents sont définis (ce qui constitue un « incident significatif »)
  • Le processus d'alerte précoce de 24 heures est en place et le personnel sait comment le déclencher
  • La procédure de notification des incidents dans un délai de 72 heures est documentée
  • Le modèle et la procédure du rapport final mensuel sont désormais en place
  • Les coordonnées du CSIRT national (par exemple, le NCSC aux Pays-Bas) sont facilement accessibles
  • Les rôles en matière de gestion des incidents sont attribués et les membres de l'équipe sont formés
  • Des analyses a posteriori sont menées et les enseignements tirés sont consignés
  • La capacité de réaction aux incidents fait l'objet d'exercices sur table au moins une fois par an

4. Sécurité de la chaîne d'approvisionnement

  • Il existe un répertoire des fournisseurs et prestataires de services essentiels
  • Les exigences en matière de cybersécurité sont incluses dans les contrats conclus avec les fournisseurs
  • Les fournisseurs font l'objet d'une évaluation de leur niveau de cybersécurité (vérification préalable)
  • Les risques liés aux dépendances vis-à-vis de tiers sont identifiés et atténués
  • Il existe un processus permettant de surveiller et d'évaluer la sécurité des fournisseurs au fil du temps
  • Les clauses relatives à la notification des incidents sont incluses dans les contrats avec les fournisseurs
  • L'accès de vos fournisseurs essentiels à vos systèmes est surveillé et contrôlé

5. Formation à la sensibilisation à la sécurité

  • Tous les employés suivent régulièrement des formations de sensibilisation à la sécurité
  • Les membres de la direction et du conseil d'administration suivent une formation spécifique en cybersécurité
  • La formation est un processus continu, et non un événement ponctuel (il est recommandé de la suivre chaque mois ou chaque semaine)
  • Le contenu de la formation porte sur le phishing, l'ingénierie sociale, la sécurité des mots de passe, le traitement des données et le signalement des incidents
  • La formation aborde les menaces spécifiques à votre secteur d'activité
  • Les nouveaux employés suivent une formation de sensibilisation lors de leur intégration
  • Les sous-traitants et le personnel externe autorisés à accéder aux locaux reçoivent une formation adéquate
  • Des simulations de hameçonnage sont organisées régulièrement afin de tester la vigilance des employés
  • Les taux d'achèvement des formations et les notes obtenues aux évaluations font l'objet d'un suivi
  • Le contenu des formations est mis à jour en fonction des dernières informations sur les menaces
  • Les justificatifs attestant de la réussite de la formation sont conservés aux fins des audits de conformité

6. Enregistrement et notification

  • Votre organisation a déterminé si elle répond aux critères pour être considérée comme une entité essentielle ou importante
  • L'enregistrement auprès de l'autorité de contrôle désignée est effectué (ou prévu pour la date d'entrée en vigueur de la loi)
  • Les coordonnées pour le signalement des incidents (CSIRT/autorité de contrôle) sont à jour
  • Les procédures de notification sont documentées et attribuées à des rôles spécifiques
  • La documentation relative au périmètre NIS2 de votre organisation est tenue à jour (quels sont les systèmes, services et processus concernés)

7. Politiques et documentation relatives à la sécurité de l'information

  • La politique de sécurité de l'information est consignée par écrit et approuvée par la direction
  • Une politique d'utilisation acceptable a été mise en place et communiquée à l'ensemble des employés
  • La politique de contrôle d'accès définit qui a accès à quels systèmes et données
  • Les procédures de classification et de traitement des données sont documentées
  • La politique en matière de mots de passe est conforme aux meilleures pratiques actuelles (complexité, authentification multifactorielle, interdiction de réutilisation)
  • Des politiques relatives au télétravail et au BYOD ont été mises en place
  • Les mesures de sécurité physique sont consignées pour les installations abritant des systèmes critiques
  • Les contrôles cryptographiques et les politiques de chiffrement sont documentés
  • Toutes les politiques sont réexaminées et mises à jour au moins une fois par an

8. Suivi, audit et amélioration continue

  • Un dispositif de surveillance de la sécurité est en place (gestion des journaux, SIEM, système d'alerte)
  • Des audits ou des évaluations de sécurité sont régulièrement effectués (en interne ou en externe)
  • Des tests d'intrusion sont effectués au moins une fois par an
  • Les indicateurs clés de performance (KPI) en matière de cybersécurité sont définis et communiqués à la direction
  • Les conclusions tirées des audits et des incidents donnent lieu à des mesures correctives documentées
  • Le programme de cybersécurité fait l'objet d'une révision et d'améliorations chaque année
  • Les informations sur les menaces sont suivies et intégrées aux mesures de sécurité
  • La conformité aux exigences de la directive NIS 2 est vérifiée avant chaque cycle d'audit

La seule exigence NIS2 que vous pouvez cocher cette semaine

C'est souvent au niveau de la sensibilisation que la plupart des projets piétinent. Guardey transforme cette étape en défis courts et ludiques, avec des rapports intégrés. Essayez-le gratuitement pendant 14 jours, sans avoir à fournir vos informations de paiement.

Démarrez votre essai gratuit

Certification NIS2

Une question qui revient souvent : existe-t-il une certification NIS2 officielle ? En bref, la réponse est non, pas encore.

Contrairement à la norme ISO 27001, qui s'accompagne d'un processus de certification bien établi, la directive NIS2 est une obligation légale dont l'application est assurée par les autorités de contrôle nationales. Il n'existe pas de label unique « certifié NIS2 » que l'on puisse obtenir.

Il y a toutefois des évolutions importantes.

Conformité fondée sur la certification (proposée pour 2026)

Le paquet de mesures sur la cybersécurité adopté par la Commission européenne en janvier 2026 propose des voies de mise en conformité fondées sur la certification. Cela signifie que les organisations titulaires de certaines certifications reconnues pourraient être en mesure de démontrer leur conformité à la directive NIS2, ou du moins une conformité partielle, grâce à ces certifications.

La norme ISO 27001 comme base

La norme ISO 27001 est largement reconnue comme la norme existante la plus proche des exigences de la directive NIS2. Les organisations certifiées ISO 27001 constateront que bon nombre des exigences de la directive NIS2 sont déjà couvertes. Cependant, la directive NIS2 comporte des exigences supplémentaires qui vont au-delà de la norme ISO 27001, notamment :

  • Délais spécifiques pour la déclaration des incidents (24 h, 72 h, 1 mois)
  • Responsabilité civile des dirigeants et formation obligatoire des membres du conseil d'administration
  • Évaluations de la sécurité de la chaîne d'approvisionnement
  • Exigences spécifiques au secteur

Labels de qualité NIS2 et évaluations de l'état de préparation

Plusieurs organismes tiers proposent des évaluations de l'état de préparation à la norme NIS2, des analyses de maturité ou des labels de qualité. Bien qu'il ne s'agisse pas de certifications officielles, ces outils peuvent aider les organisations à évaluer leur niveau de conformité et à démontrer leur engagement auprès des parties prenantes.

NIS2 et formation à la sensibilisation à la sécurité

La formation à la sensibilisation à la sécurité est l'une des exigences les plus explicites de la directive NIS2. L'article 20 stipule que les organes de direction doivent suivre une formation et que les organisations doivent proposer régulièrement des formations similaires à leurs employés.

Pourquoi la directive NIS 2 met l'accent sur la sensibilisation

Les chiffres parlent d'eux-mêmes. Selon le rapport « ENISA Threat Landscape 2025 » :

  • Le phishing représente 60 % de tous les points d'entrée des intrusions
  • Plus de 80 % des attaques d'ingénierie sociale s'appuient désormais sur du contenu généré par l'IA
  • 53,7 % des incidents cybernétiques visaient des organisations classées comme entités essentielles au titre de la directive NIS2
  • À elle seule, l'administration publique a représenté 38,2 % des attaques ciblées

Le facteur humain reste la principale faille de sécurité. Sans personnel formé, capable de repérer et de signaler les menaces, même les systèmes de défense techniques les plus sophistiqués peuvent être contournés.

Ce que la directive NIS2 attend de votre programme de sensibilisation

  • Une formation régulière, et non pas une fois par an. Une formation continue et régulière est attendue.
  • Participation de la direction. Les membres du conseil d'administration et les cadres supérieurs doivent y prendre part.
  • Pertinence. La formation doit porter sur les menaces actuelles et émergentes, y compris les attaques basées sur l'intelligence artificielle.
  • Preuves. Vous devez être en mesure de démontrer que la formation est dispensée et qu'elle est efficace.
  • Champ d'application. Tous les employés ayant accès aux systèmes et aux données, y compris les sous-traitants.

Comment Guardey vous aide à respecter les exigences en matière de sensibilisation à la directive NIS 2

Avec Guardey, vos collaborateurs relèvent chaque semaine des défis en matière de cybersécurité qui ne prennent pas plus de trois minutes. Les thèmes abordés comprennent la reconnaissance des tentatives d'hameçonnage, la sécurité des mots de passe, le traitement des données, l'ingénierie sociale et bien d'autres encore, le tout en conformité avec les exigences de la directive NIS2.

L'approche ludique garantit un niveau élevé d'engagement et de taux de réussite. De plus, grâce au tableau de bord de reporting de Guardey, vous pouvez démontrer votre conformité aux auditeurs en fournissant des preuves concernant :

  • Taux de réussite aux formations par employé et par service
  • Résultats des évaluations et évolution des connaissances
  • Résultats de la simulation de phishing et évolution au fil du temps
  • Couverture des thèmes conforme aux exigences de la directive NIS2

Erreurs courantes en matière de conformité à la directive NIS 2

De nombreuses organisations sous-estiment l'effort nécessaire pour se conformer à la directive NIS 2. Voici les écueils que nous observons le plus souvent.

1. Attendre que la loi soit adoptée avant d'agir

La directive NIS2 est en vigueur depuis janvier 2023. Même si la loi néerlandaise sur la cybersécurité (Cyberbeveiligingswet) est encore en cours d'adoption, les exigences sont claires. Les organisations qui attendent que la loi soit officiellement promulguée se retrouveront dans l'urgence pour s'y conformer. Commencez dès maintenant.

2. Considérer le NIS2 comme un problème purement informatique

La directive NIS2 impose explicitement la responsabilité de la direction. Il ne s'agit pas d'une tâche que vous pouvez déléguer entièrement à votre service informatique. Les membres du conseil d'administration doivent suivre une formation, approuver les mesures de cybersécurité et peuvent être tenus personnellement responsables.

3. Ne pas tenir compte des exigences de la chaîne d'approvisionnement

De nombreuses organisations se concentrent sur leur propre sécurité, mais négligent celle de leurs fournisseurs. La directive NIS2 vous impose d'évaluer et de gérer les risques liés à la cybersécurité sur l'ensemble de votre chaîne d'approvisionnement.

4. Formation annuelle de sensibilisation uniquement

Une seule session de formation annuelle ne suffit pas à satisfaire à l'exigence de formation « régulière ». Les auditeurs s'attendent à constater un engagement continu : micro-formations mensuelles, simulations régulières de phishing et évaluation continue.

5. Ne pas savoir si la directive NIS2 s'applique à vous

Étonnamment, de nombreuses organisations n’ont même pas vérifié si elles relevaient du champ d’application de la directive NIS 2. Ne partez pas du principe que vous en êtes exempté. Vérifiez attentivement les critères relatifs au secteur d’activité et à la taille de l’entreprise.

6. Absence de tests de réaction aux incidents

Il ne suffit pas d'avoir un plan d'intervention en cas d'incident sur papier. La directive NIS2 exige que vous le testiez. Organisez des exercices sur table, simulez des incidents et assurez-vous que votre équipe est en mesure de respecter le délai de 24 heures pour la notification précoce.

7. Non-respect de l'obligation d'enregistrement

En vertu de la loi sur la cybersécurité, les organisations doivent s'enregistrer auprès de l'autorité de contrôle désignée. Cette obligation est facile à oublier, mais elle est obligatoire.

NIS2, ISO 27001 et DORA : en quoi diffèrent-elles ?

De nombreuses organisations doivent se conformer à plusieurs référentiels. Voici une comparaison entre la norme NIS2, la norme ISO 27001 et la loi DORA (Digital Operational Resilience Act).

Condition NIS2 ISO 27001 DORA
Type Directive européenne (obligation légale) Norme internationale (volontaire) Règlement de l'UE (obligation légale)
Champ d'application 18 secteurs, entités essentielles et importantes Toute organisation (par choix) Secteur financier uniquement
La formation à la sensibilisation est-elle obligatoire ? Oui (article 20) Oui (clause 7.3, A.6.3) Oui (article 13)
Une formation en gestion est-elle nécessaire ? Oui (obligatoire, au niveau du conseil d'administration) Obligatoire (clause 5.1) Oui (obligatoire, au niveau du conseil d'administration)
Calendrier de signalement des incidents 24 h / 72 h / 1 mois Non spécifié (à définir par vos soins) 4 h / 72 h (incidents informatiques majeurs)
Sécurité de la chaîne d'approvisionnement Obligatoire A.5.19-A.5.22 (contrôles des fournisseurs) Obligatoire (risques liés aux tiers dans le domaine des TIC)
Sanctions Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires Perte de certification Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires
Une certification est-elle disponible ? Pas encore (prévu pour 2026) Oui (organismes de certification accrédités) Pas encore
La responsabilité personnelle des dirigeants ? Oui Non Oui

La bonne nouvelle : les organisations certifiées ISO 27001 bénéficient d'une longueur d'avance considérable en matière de conformité à la norme NIS2. L'approche de gestion des risques, les exigences en matière de documentation et les obligations de formation de sensibilisation se recoupent en grande partie.

Foire aux questions sur la directive NIS2

Que signifie NIS2 ?

NIS2 est l'acronyme de « Directive sur la sécurité des réseaux et de l'information 2 ». Elle est également couramment désignée sous les noms de NIS-2 ou NIS 2.0. Il s'agit de la deuxième version de la directive européenne sur la cybersécurité, qui remplace la directive NIS initiale de 2016.

Quand la directive NIS2 entrera-t-elle en vigueur aux Pays-Bas ?

La transposition néerlandaise de la directive NIS2, la « Cyberbeveiligingswet », devrait entrer en vigueur au deuxième trimestre 2026. Le projet de loi a été présenté à la Tweede Kamer le 4 juin 2025 et suit actuellement son cours au Parlement.

La formation à la sensibilisation à la sécurité est-elle obligatoire dans le cadre de la directive NIS 2 ?

Oui. L'article 20 de la directive NIS2 impose explicitement aux organes de direction de suivre une formation en cybersécurité et de proposer régulièrement des formations similaires à leurs employés. La formation de sensibilisation est donc une obligation légale, et non une option.

La directive NIS2 s'applique-t-elle aux PME ?

C'est possible. Sont concernées les organisations comptant au moins 50 salariés ou réalisant un chiffre d'affaires annuel d'au moins 10 millions d'euros et exerçant leurs activités dans l'un des 18 secteurs concernés. Certaines entités sont incluses quelle que soit leur taille (par exemple, les fournisseurs de services DNS, les registres de TLD).

Quelles sont les sanctions en cas de non-respect de la directive NIS 2 ?

Les entités de premier plan s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial. Les entités importantes s'exposent à des amendes pouvant atteindre 7 millions d'euros ou 1,4 % de leur chiffre d'affaires mondial. De plus, les dirigeants peuvent être tenus personnellement responsables.

Puis-je obtenir la certification NIS2 ?

Pas pour l'instant. Il n'existe pas de certification officielle NIS 2. Toutefois, le paquet de mesures sur la cybersécurité de 2026 de la Commission européenne propose des voies de conformité fondées sur la certification. La certification ISO 27001 couvre de nombreuses exigences de la directive NIS 2 et est reconnue par les auditeurs comme une base solide.

En quoi la directive NIS2 diffère-t-elle du RGPD ?

Le RGPD vise principalement à protéger les données à caractère personnel. La directive NIS 2 porte plus largement sur la sécurité des réseaux et des systèmes d'information. Ces deux cadres sont complémentaires : les mesures prévues par la directive NIS 2 contribuent à protéger les systèmes qui traitent des données à caractère personnel, ce qui favorise également la conformité au RGPD.

Quel est le lien entre la directive NIS2 et la loi sur la cybersécurité ?

La loi sur la cybersécurité (Cyberbeveiligingswet) est la loi nationale néerlandaise qui transpose la directive européenne NIS2. Elle transpose les exigences de la directive en une législation néerlandaise applicable, remplaçant ainsi l'ancienne loi Wbni (Wet beveiliging netwerk- en informatiesystemen).

Commencez dès aujourd'hui à vous préparer à la mise en conformité avec la directive NIS 2

La NIS2 n'est pas une préoccupation pour l'avenir. La directive est en vigueur, les exigences sont claires et sa mise en application est imminente. Les organisations qui s'y prennent dès maintenant seront les mieux préparées lorsque les auditeurs viendront frapper à leur porte.

Grâce à la formation à la sensibilisation à la sécurité de Guardey, vos employés reçoivent chaque semaine des micro-formations de 3 minutes portant sur le phishing, le traitement des données, le signalement des incidents et bien d'autres sujets. L'ensemble est conforme aux exigences de la directive NIS2 et s'accompagne de rapports complets pour les audits de conformité.

Respectez les exigences de formation NIS2 et apportez-en la preuve

Guardey forme chaque employé en quelques minutes par semaine et consigne automatiquement ces formations, pour que vous disposiez toujours des justificatifs nécessaires. Découvrez-le en direct lors d'une démonstration.

Planifier une démo
Dinela Lokvancic
Dinela Lokvancic Spécialiste en marketing Dinela veille à ce que la présence en ligne de Guardey soit toujours à jour. Elle crée du contenu qui rend accessibles des sujets complexes liés à la cybersécurité et aide les organisations à comprendre pourquoi la formation à la sensibilisation à la sécurité est importante pour leurs équipes.
PRÊT À VOUS LANCER ?

Rejoignez plus de 500 entreprises qui protègent déjà leurs équipes grâce à Guardey

Commencez votre essai gratuit de 14 jours
14 jours gratuits · Pas de carte de crédit · Accès complet · Configuration en 5 minutes
Ou planifiez une démonstration personnalisée