Jocelyn Pitet
October 21, 2024
Temps de lecture : 15 min

NIS 2 et entités des secteurs numériques : comment répondre aux exigences de la Commission européenne ?

English version available here
Les entités qui fournissent des produits et services dans le secteur du numérique occupent une place singulière au sein de la directive NIS 2 (Directive (UE) 2022/2555).
Contrairement à d’autres entités essentielles ou importantes, leurs obligations techniques et méthodologiques en matière de sécurité sont harmonisées au niveau européen par la Commission elle-même. En effet, la directive NIS 2 confie à la Commission le soin de préciser, via un acte d’exécution unique, les mesures de cybersécurité devant s’appliquer à ces prestataires. 
Il s’agit nommément des entités suivantes :
  • Les fournisseurs de services DNS (Domain Name System) ;
  • Les registres de noms de domaine de premier niveau (TLD) ;
  • Les fournisseurs de services d’informatique en nuage (cloud : IaaS, PaaS, SaaS, etc.) ;
  • Les fournisseurs de services de centre de données ;
  • Les fournisseurs de réseaux de diffusion de contenu (CDN) ;
  • Les fournisseurs de services gérés (infogérance) ;
  • Les fournisseurs de services de sécurité gérés ;
  • Les fournisseurs de places de marché en ligne ;
  • Les fournisseurs de moteurs de recherche en ligne ;
  • Les fournisseurs de plateformes de réseaux sociaux ;
  • Et les prestataires de services de confiance (eIDAS).

Pourquoi est-ce la Commission européenne qui précise ces exigences de sécurité ?

Compte tenu de leur nature fortement transfrontière de ces services, la directive NIS 2 souligne qu’un haut degré d’harmonisation de leurs exigences de sécurité est indispensable au sein de l’Union. 
Or, NIS 2 étant une directive, elle doit être transposée par chaque État membre dans son droit national. Cette transposition laisse aux États une marge d’interprétation, susceptible d’aboutir à des différences dans les législations nationales. Dans ce contexte, l’intervention de la Commission européenne vise à garantir une application cohérente et harmonisée des exigences de sécurité, en réduisant les divergences susceptibles d’apparaître entre les États membres.
Concrètement, la Commission a préparé courant 2024 un projet de règlement d’exécution en ce sens, en consultant les parties prenantes européennes et américaines (154 contributions ont été reçues lors de la consultation publique). Le texte final a été adopté le 17 octobre 2024, et publié peu après au Journal officiel. Il est entré en vigueur en date du 11 novembre 2024, vingt jours après sa publication.
Cet acte1 se divise en deux parties : un règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 qui énonce les obligations générales à respecter, et son annexe technique détaillant les mesures à prendre.

Quelles sont les obligations pour les entités des secteurs du numérique ?

Conformément aux articles 21 et 23 de la directive NIS 2, le règlement d’exécution précise deux volets principaux :
  • Les exigences techniques et méthodologiques de gestion des risques cyber applicables aux fournisseurs de services numériques visés ;
  • Les critères permettant de déterminer ce qu’est un « incident important » pour ces entités, ainsi que les modalités de notification de tels incidents.
En d’autres termes, ce texte vient à la fois lister les mesures de cybersécurité à mettre en œuvre (politiques, procédures, outils, contrôles techniques, etc.) et définir quand un incident doit être considéré comme significatif et être signalé aux autorités. Ces obligations sont directement applicables et homogènes dans toute l’UE, ce qui offre aux fournisseurs visés un cadre unique de conformité, sans variations nationales.
Sans surprise, les mesures de gestion des risques prescrites s’alignent sur des normes éprouvées. Le règlement exige en effet que les dispositifs mis en place s’inspirent des normes  internationales de référence (ISO/IEC 27001, ISO/IEC 27002, ETSI EN 319 401…) ainsi que de certaines spécifications techniques récentes (par exemple CEN/TS 18026:2024). 
L’annexe du texte décline de façon détaillée ces exigences en les organisant par grands domaines (gouvernance de la sécurité, gestion opérationnelle, protection technologique, etc.), conformément aux dix catégories de mesures énoncées à l’article 21 de la directive NIS 2.
En outre, l’ENISA, au niveau européen, et les autorités nationales, comme l'ANSSI en France, fourniront probablement des orientations pour aider les entités à se mettre en conformité, en leur fournissant des évaluations des risques nationales et sectorielles et concernant des risques spécifiques à un certain type d’entité.
Toutefois, ces orientations ne dispenseront pas les entités concernées d’identifier elles-mêmes leurs propres risques et de les documenter : en dernière instance, chaque entité demeure responsable de l'identification et de la documentation de ses risques, ainsi que de la mise en œuvre des mesures adéquates
Pour le résumé, notre cabinet d'avocats vous propose dix points importants à retenir du règlement d'exécution 2024/2690 :

1. Adopter des mesures adaptées à son contexte spécifique

Les mesures de sécurité doivent être adaptées aux contextes spécifiques de chaque entité (taille, activité, incidents potentiels), en suivant le principe de proportionnalité. Cela signifie que les exigences s’appliquent « dans la mesure du possible » en tenant compte de la criticité et de l’exposition au risque de l’entité. Si une entité, ne peut pas satisfaire à certaines exigences trop contraignantes, elle doit mettre en place des mesures compensatoires appropriées pour atteindre le même objectif de sécurité.

2. Documenter ses écarts de conformité

Lorsqu’une entité estime qu’une exigence particulière n’est pas nécessaire, pas applicable, ou impossible à mettre en œuvre dans son cas, elle doit documenter de façon explicite et circonstanciée son argumentation pour justifier cet écart de onfrmé. Autrement dit, aucune exemption ne peut être tacite : toute dérogation aux mesures listées dans l’annexe du règlement d'exécution doit être indiquée dans la documentation de sécurité de l’entité. Les autorités de contrôle nationales (en France, l'ANSSI), lors de leurs inspections, pourront demander à voir ces justifications écrites.

3. Adopter des politiques de sécurité "tous risques"  

Les entités doivent définir et mettre en œuvre une politique de sécurité des systèmes d’information (PSSI) couvrant l’ensemble de leurs risques, y compris les menaces physiques et environnementales.
NIS 2 insiste sur une approche globale « tous risques », visant à protéger les réseaux et systèmes d’information contre des événements tels que le vol, l’incendie, l’inondation, les pannes de courant ou de télécom, ainsi que les accès physiques non autorisés. Cette politique générale doit être complétée par des politiques plus spécifiques (gestion des accès, utilisation de la cryptographie, continuité d’activité, etc.), cohérentes entre elles.
Les politiques de sécurité doivent être approuvées au plus haut niveau de direction de l’entreprise et faire l’objet d’un suivi d’indicateurs permettant de mesurer leur bonne application et le niveau de maturité atteint.
Par ailleurs, elles doivent être vivantes : testées régulièrement, réévaluées et mises à jour en fonction de l’évolution des menaces et des incidents survenus. Il est également impératif que ces politiques s’appliquent non seulement aux salariés de l’entité, mais aussi à ses prestataires et fournisseurs externes. Cela peut impliquer de formaliser les obligations de sécurité dans les contrats de sous-traitance ou dans le règlement intérieur, afin de les rendre opposables aux tiers comme aux employés.

4. Détecter rapidement les incidents et y répondre

Une obligation forte porte sur la surveillance active des réseaux et systèmes d’information. Les entités doivent se doter de procédures de gestion des incidents conformes au règlement d’exécution, et déployer des outils de détection (supervision des logs, SIEM, IDS, etc.) afin d’identifier au plus tôt les événements anormaux susceptibles de constituer des incident.  
Des seuils d’alerte peuvent être définis pour générer automatiquement des alertes en cas de comportement suspect (hausse soudaine de trafic, connexions non autorisées…). En cas d'alerte, une réponse appropriée et spécifique doit être déclenchée sans délai. L’objectif est de repérer vite toute tentative d’attaque ou incident en cours et de réagir immédiatement pour en limiter l’impact (isolement du système affecté, neutralisation de la menace, etc.). Enfin, les entités doivent conserver leurs journaux pendant une durée appropriée et en assurer l’intégrité, de manière à pouvoir investiguer a posteriori si nécessaire. 

5. Notifier les incidents importants

L'acte définit de manière harmonisée les critères qualifiant un incident important. Ces critères déclenchent l’obligation pour l’entité d’en notifier l’occurrence à son autorité compétente (selon les modalités prévues par NIS 2).

6. Sécuriser l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information

Les entités  doivent mettre en place des procédures pour gérer les risques liés à l’acquisition de services TIC, adopter un cycle de développement sécurisé, gérer les configurations et les changements, réaliser des tests de sécurité réguliers (tests d’intrusion, analyses de vulnérabilités, audits de sécurité), et appliquer des correctifs en temps opportun. Cela inclut également la segmentation des réseaux, la protection contre les logiciels malveillants et la gestion des vulnérabilités, conformément aux exigences de l'acte d'exécution.

7. Sécuriser la chaîne d'approvisionnement

La sécurité des prestataires et sous-traitants est un aspect crucial de la directive NIS 2. Les entités doivent s’assurer que leurs fournisseurs respectent, eux aussi, des exigences de cybersécurité élevées. Le règlement d'exécution 2024/2690 leur impose d’adopter une politique de sécurité pour la chaîne d’approvisionnement (fournisseurs de services cloud, mainteneurs externes, prestataires de sécurité, éditeurs, etc.) et d’intégrer des clauses contractuelles de sécurité adaptées dans leurs contrats de fourniture. Avant de choisir un fournisseur critique, les entités doivent exercer une évaluation renforcée (due diligence) pour évaluer ses pratiques et son historique, car « en raison de leur intégration étroite dans les opérations des clients, [certains prestataires] posent un risque particulier » en cas de compromission. Concrètement, une entreprise qui dépend d’un prestataire cloud ou d’un SOC externalisé devra exiger de lui des garanties contractuelles (clauses de niveau de service en sécurité, notification des incidents le concernant, mesures de protection en continu, etc.). NIS 2 encourage vivement l’inclusion de telles mesures de gestion des risques cyber dans les contrats fournisseurs. Cette politique de sécurité de la supply chain doit couvrir tous les stades de la relation avec les tiers (sélection, contractualisation, suivi, audits éventuellement, plan de remédiation et de sortie). C’est un volet où la coopération entre services juridiques, achats et sécurité de l’entité est indispensable pour formaliser des exigences et des droits de contrôle adéquats vis-à-vis des partenaires.

8. Sensibiliser et former en continu

La dimension humaine de la cybersécurité est également prise en compte par le règlement d'exécution 2024/2690. Les entités doivent mettre en place un programme permanent de sensibilisation pour tous leurs collaborateurs (y compris la direction) ainsi que pour leurs fournisseurs et prestataires directs. Le but est de promouvoir les bons réflexes de « cyber-hygiène » au quotidien : méfiance vis-à-vis du phishing et des arnaques en ligne, bonnes pratiques de gestion des mots de passe, protection des équipements mobiles, etc.
Ce programme de sensibilisation doit être répété dans le temps et actualisé régulièrement pour rester efficace.  Il doit également être testé et évalué afin de mesurer son impact et d’identifier les axes d’amélioration. Parallèlement, les entités doivent identifier les postes et rôles critiques du point de vue de la sécurité (administrateurs systèmes, responsables réseau, etc.) et s’assurer que les personnes occupant ces fonctions reçoivent une formation spécifique régulière en cybersécurité. 
Un programme de formation dédié doit être défini, aligné sur la politique de sécurité de l’entité, précisant les compétences requises pour chaque rôle sensible et la fréquence des remises à niveau. Par exemple, un développeur pourra suivre une formation annuelle sur la sécurité applicative et les nouvelles vulnérabilités web, tandis qu’un membre du comité de direction sera formé à la gouvernance du risque cyber.
L’efficacité de ces formations doit être évaluée (quiz, exercices pratiques) et le contenu mis à jour en fonction des menaces émergentes. 
In fine, instaurer une culture interne de cybersécurité est indispensable : la directive NIS 2 responsabilise à la fois la base (chaque employé, chaque prestataire doit appliquer les mesures de sécurité et saisir l’importance de sa vigilance) et le sommet (les dirigeants doivent impulser cette culture et s’impliquer eux-mêmes, par exemple en suivant des formations adaptées).

9. Sécuriser les ressources humaines

Le règlement d'exécution 2024/2690 consacre une section aux mesures de sécurité « avant, pendant et après l’emploi ». Les entités doivent mettre en place des mécanismes pour que tous leurs employés, fournisseurs et prestataires directs comprennent et assument leurs responsabilités en matière de sécurité, en conformité avec la politique interne de l’organisation.
Cela inclut notamment :
(a) la diffusion des règles de cyber-hygiène de base à tout le personnel interne et aux externes concernés, pour s’assurer qu’ils appliquent au quotidien les bonnes pratiques enseignées par le programme de sensibilisation ;
(b) des procédures spéciales pour la gestion des accès à privilèges : tous les utilisateurs disposant de droits d’administration ou de privilèges élevés doivent connaître précisément l’étendue et les limites de leurs rôles et responsabilités, et agir en conséquence. De même, les membres de la direction doivent être conscients de leurs obligations et pouvoirs spécifiques en matière de cybersécurité;
(c) une politique de recrutement sécurisée pour les postes sensibles : il est recommandé de procéder à des vérifications d’antécédents (références, casier judiciaire si permis par la loi, certifications, etc.) avant d’affecter une personne à une fonction critique pour la sécurité. Les entités doivent définir les critères de postes nécessitant un tel contrôle préalable et s’assurer qu’il est effectué en respectant le droit national (protection des données, non-discrimination, etc.);
(d) Lorsqu’un employé ou un prestataire quitte son poste ou change de fonction, l’entité doit prévoir des mesures post-emploi pour protéger la sécurité. Par exemple, les obligations de confidentialité et de non-divulgation des informations sensibles doivent continuer à s’appliquer après le départ de la personne.
(e) Enfin, une procédure disciplinaire interne doit être établie pour traiter les manquements aux politiques de sécurité. Chaque employé doit être informé qu’en cas de non-respect des règles (par exemple, partage de mot de passe interdit, utilisation d’un logiciel non homologué, négligence ayant conduit à un incident…), des sanctions internes peuvent être prises.

10. Contrôle d’accès et gestion des actifs

Dernier pilier mais non des moindres, les entités doivent maîtriser qui a accès à quoi dans leurs systèmes, et savoir précisément quels actifs (matériels, logiciels, données) elles possèdent et utilisent.
L’accès aux réseaux et aux informations ne doit être accordé qu’aux utilisateurs authentifiés et autorisés, selon les principes du moindre privilège et du besoin d’en connaître. Les comptes utilisateurs doivent être gérés tout au long de leur cycle de vie, et les comptes à privilèges faire l’objet d’une authentification forte, d’un suivi et d’une révision régulière des droits.
Parallèlement, un inventaire complet et à jour des actifs matériels, logiciels et de données doit être tenu, chaque élément étant classé selon son niveau de sensibilité afin d’adapter les mesures de protection.
Une politique formalisée doit encadrer la gestion de ces actifs sur tout leur cycle de vie et restreindre l’usage des supports amovibles non justifiés. L’objectif est de garantir une vision claire et actualisée du périmètre à défendre.
Naturellement, ce résumé ne couvre que les grandes lignes : l’acte d’exécution (UE) 2024/2690 comporte de nombreuses autres dispositions détaillées (par exemple sur la sécurité physique des locaux hébergeant les systèmes, la gestion de crise cyber, la cryptographie, etc.).

Que faire dès aujourd’hui ?

Pour les entités du secteur numérique concernées, la priorité est d’évaluer votre niveau de conformité actuel et de combler les écarts identifiés avant l’entrée en application de ces nouvelles obligations
Si vous souhaitez vous mettre rapidement en conformité avec les exigences de NIS 2, voici comment notre cabinet d'avocats peut vous accompagner :

Audit de conformité

Notre cabinet d'avocats peut réaliser un audit de vos politiques internes (PSSI, analyses de risques, PCA/PRA, chartes informatiques, etc.) et de vos contrats afin d’identifier les écarts par rapport aux exigences de NIS 2.
Cet audit permettra de repérer, par exemple, si vos documents de sécurité couvrent bien tous les volets imposés (gestion des incidents, supply chain, sensibilisation, etc.), ou si des clauses contractuelles supplémentaires sont nécessaires avec vos prestataires. À l’issue, un plan d’actions pourra vous être proposé pour mettre vos pratiques en conformité. Il s’agira notamment de veiller à ce que vos politiques de sécurité aient une valeur juridique opposable vis-à-vis de vos salariés et de vos sous-traitants, via des annexes contractuelles ou une mention au règlement intérieur, par exemple.

Documentation des dérogations et mesures compensatoires

Si certaines exigences du règlement ne peuvent être strictement respectées dans votre contexte (par manque de ressources ou en raison de contraintes techniques particulières), il est crucial de documenter précisément ces écarts et les solutions de rechange mises en place. La directive NIS 2 exige en effet que toute non-application d’une mesure soit justifiée de manière compréhensible. Nos avocats peuvent vous assister dans la rédaction de cette documentation, afin qu’elle réponde aux attentes des régulateurs en cas de contrôle. Par exemple, si votre entreprise n’a pas la possibilité d’appliquer un correctif de sécurité dans les délais standards pour des raisons opérationnelles, vous devrez expliquer pourquoi et décrire les mesures compensatoires prises (surveillance accrue, segmentation, etc.) pour atténuer le risque en attendant.

Sécurisation de votre chaîne d'approvisionnement

Notre cabinet d'avocats veille à ce que vos contrats avec vos prestataires respectent pleinement vos obligations en matière de cybersécurité, notamment par l’intégration de clauses de sécurité adaptées.
Concrètement, vos contrats d’infogérance, de maintenance ou de services cloud devraient inclure des engagements clairs de la part de vos fournisseurs : mesures de protection mises en œuvre, conformité aux référentiels ou normes de sécurité, notification en cas d’incident les concernant, coopération lors d’audits de sécurité, etc. Si ces éléments sont absents, il est fortement recommandé d’y ajouter des avenants ou des clauses spécifiques.
En parallèle, définissez ou actualisez votre politique interne de sécurité des fournisseurs : quels critères de sécurité doivent-ils remplir ? quels niveaux de service sont exigés ? comment sont-ils évalués et suivis dans la durée ? Adopter une démarche proactive sur ce volet renforcera à la fois votre conformité à la directive NIS 2 et votre résilience face aux risques liés aux tiers.

Assistance en cas d'incident

Notre cabinet d'avocats vous accompagne dans la mise à jour de vos procédures internes de gestion des incidents cyber, afin de les aligner sur les nouvelles exigences de la directive NIS 2.
La notion d’« incident important » étant désormais standardisée, nous veillons à ce que votre processus d’escalade permette d’identifier rapidement si un incident atteint les seuils définis (qu’ils soient financiers, opérationnels ou techniques) et qu’il prévoit la notification dans les délais impartis. Notre accompagnement intègre également la coordination avec les autres obligations légales applicables. Ainsi, si des données à caractère personnel sont compromises, nous veillons à ce que vos procédures prévoient aussi la notification à la CNIL dans les 72 heures, conformément au RGPD. L’objectif est d’harmoniser vos plans de réponse aux incidents pour couvrir de manière cohérente la directive NIS 2, le RGPD et toute autre réglementation pertinente.
Enfin, nous vous apportons une assistance juridique et opérationnelle pour orchestrer ces démarches multi-réglementaires, respecter scrupuleusement les délais et préparer les éléments de communication à adresser aux autorités. Être prêt à réagir efficacement, tant sur le plan technique que sur celui de la conformité, vous permettra de limiter l’impact d’un incident tout en assurant une gestion maîtrisée et conforme à vos obligations.

Assistance en cas d'audit de sécurité indépendant

Notre cabinet d'avocats vous accompagne dans l’encadrement juridique de vos tests d’intrusion et audits de sécurité, désormais fortement encouragés par la réglementation.
Ces opérations, bien que particulièrement utiles pour renforcer la sécurité de vos systèmes, restent sensibles par leur nature intrusive et doivent être conduites dans un cadre contractuel parfaitement maîtrisé. Avant tout audit de sécurité externe, nous veillons avec vous à formaliser une lettre de mission ou une clause spécifique précisant le périmètre exact du test (applications, adresses IP, types d’attaques autorisées, etc.) afin d’éviter tout dépassement non contrôlé aux conséquences potentiellement dramatiques pour votre entité.
Nous nous assurons également que votre prestataire est soumis à un strict engagement de confidentialité concernant les résultats, pour prévenir toute divulgation ou exploitation indue des failles découvertes. Enfin, nous vous aidons à définir un plan de remédiation clair et à répartir les responsabilités, notamment en cas d’incident imprévu durant les tests. En encadrant juridiquement ces aspects, vous protégez vos systèmes pendant et après l’audit, tout en garantissant une collaboration efficace entre le prestataire et vos équipes internes

Coordination avec les experts techniques

Nous intervenons également pour favoriser la collaboration entre vos juristes et vos équipes techniques. Nous vous aidons à aligner les visions de vos RSSI, DSI et directions juridiques sur les obligations issues de NIS 2, et, le cas échéant, à mobiliser nos avocatscapables de traduire les exigences réglementaires en actions concrètes.
Notre objectif est que votre conformité à la directive NIS 2 devienne un véritable levier de maturité et de résilience cyber : au-delà du respect des obligations, il s’agit de renforcer durablement votre  sécurité face à une menace en constante évolution.

À propos de l'auteur

Jocelyn Pitet est avocat au barreau de Paris et cofondateur d’Entropy, un cabinet d'avocats dédié aux nouvelles technologies. Sa pratique se concentre sur des domaines tels que la cybersécurité, la protection des données personnelles, les contrats informatiques, la blockchain, l'intelligence artificielle et d'autres technologies de rupture. Depuis plus de dix ans, Jocelyn accompagne les startups innovantes, les entreprises technologiques de pointe ainsi que les grandes groupes internationaux dans la gestion des défis juridiques complexes liés au numérique et à l'innovation. 
En parallèle de son activité au cabinet, Jocelyn Pitet assure des fonctions d'enseignement à l'Université Paris Panthéon-Assas et à l'Institut Léonard de Vinci. Il y dispense des cours sur le droit de la blockchain, le droit des données à caractère personnel et le droit de la cybersécurité.

Notes de bas de page

1. Règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 établissant des règles relatives à l’application de la directive (UE) 2022/2555 pour ce qui est des exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité et précisant plus en détail les cas dans lesquels un incident est considéré comme important, en ce qui concerne les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance
En savoir plus ?
voir nos expertises 
Entropy
13, rue du Quatre Septembre
75002 Paris
(+33)9 55 88 62 32
FR
LinkedIn
Mentions légales
Linkedinmentions legales
© 2025 Entropy.
Tous droits réservés.
© 2025 Entropy. Tous droits réservés