Guides & Ressources pratiques
Politique IA : définition, contenu et obligations pour l'entreprise
Certification NIS2 : guide pratique pour préparer la conformité de votre entreprise
Points clés de l'article
- La directive NIS2 n'impose aucune certification obligatoire, mais exige des mesures de sécurité vérifiables et une gouvernance cyber documentée.
- L'ANSSI développe le référentiel ReCyF, qui servira de cadre d'évaluation de la conformité pour les entités régulées en France.
- La norme ISO 27001 couvre environ 70 % des exigences NIS2, sans les satisfaire intégralement : notification d'incidents et supervision de la chaîne d'approvisionnement restent hors périmètre.
- La direction juridique doit piloter l'articulation entre certification volontaire, obligations réglementaires et gouvernance interne pour éviter les doublons et les angles morts.
- Les coûts d'une démarche de certification varient de 30 000 € à plus de 200 000 € selon la taille de l'entité, le périmètre retenu et le niveau de maturité cyber existant.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Certification NIS2 : ce que prévoient réellement la directive et sa transposition française
Existe-t-il une certification NIS2 officielle ? Le rôle du référentiel ReCyF de l'ANSSI
ISO 27001 et NIS2 : périmètre, recouvrement et limites
Étapes pour préparer une démarche de certification dans le cadre NIS2
Documents, preuves et livrables à constituer pour démontrer la conformité
Articuler certification, gouvernance cyber et notification d'incidents à l'ANSSI
Coûts, délais et arbitrages avant de lancer une certification NIS2
Erreurs fréquentes et points de vigilance dans une démarche de certification NIS2
Certification NIS2 : ce que prévoient réellement la directive et sa transposition française
La directive NIS2 (UE 2022/2555), entrée en vigueur le 16 janvier 2023, élargit le périmètre des entités régulées à environ 15 000 organisations en France, contre 500 sous NIS1. Elle distingue deux catégories : les entités essentielles (EE) et les entités importantes (EI), selon leur taille et leur secteur d'activité. Les 18 secteurs couverts incluent l'énergie, les transports, la santé, les infrastructures numériques, mais aussi la gestion des déchets ou les services postaux.
Le texte impose trois blocs d'obligations. Le premier concerne la gouvernance cyber : les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité. Le deuxième porte sur les mesures techniques et organisationnelles proportionnées au risque : politiques d'analyse de risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement et chiffrement. Le troisième impose un régime de notification d'incidents à l'autorité compétente — l'ANSSI en France — avec une alerte initiale sous 24 heures et un rapport détaillé sous 72 heures.
La transposition française, attendue via le projet de loi « Résilience », n'était pas encore promulguée au premier semestre 2025. Le texte adopté en première lecture au Sénat en mars 2025 confie à l'ANSSI le rôle d'autorité nationale de cybersécurité et prévoit un régime de sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Point déterminant pour les directions juridiques : la directive ne crée aucune obligation de certification. Elle exige la démonstration de conformité, ce qui est différent.
Existe-t-il une certification NIS2 officielle ? Le rôle du référentiel ReCyF de l'ANSSI
Aucun organisme — ni l'ENISA au niveau européen, ni l'ANSSI en France — ne délivre aujourd'hui de certification NIS2 au sens strict. La directive prévoit que les États membres peuvent recourir à des schémas de certification européens (article 24), mais renvoie au cadre du Cybersecurity Act (règlement UE 2019/881) dont les schémas sectoriels restent en cours d'élaboration.
En France, l'ANSSI a engagé le développement du référentiel ReCyF (Référentiel Cyber France), destiné à servir de grille d'évaluation de la conformité des entités régulées. Ce référentiel s'articule autour de 3 niveaux de maturité, adaptés à la taille et au profil de risque de l'entité. Il couvre les domaines suivants : gouvernance, protection, défense, résilience. L'ANSSI a précisé lors de consultations publiques que ReCyF ne constitue pas une certification au sens ISO, mais un cadre d'audit et de contrôle que l'autorité utilisera pour vérifier la conformité.
| Élément | Certification ISO 27001 | Référentiel ReCyF (ANSSI) | « Certification NIS2 » |
|---|---|---|---|
| Statut juridique | Norme volontaire internationale | Référentiel réglementaire national | N'existe pas en tant que tel |
| Organisme | Organismes accrédités COFRAC | ANSSI (contrôle direct ou délégué) | — |
| Périmètre | SMSI défini par l'entité | Obligations NIS2 transposées | — |
| Valeur probante NIS2 | Présomption partielle de conformité | Démonstration directe de conformité | — |
Pour la direction juridique, la conséquence est claire : il n'existe pas de « label NIS2 » à obtenir. La conformité se démontre par un ensemble de preuves documentaires, techniques et organisationnelles, évaluées selon le référentiel que l'ANSSI publiera dans sa version définitive.
ISO 27001 et NIS2 : périmètre, recouvrement et limites
La norme ISO 27001 constitue le référentiel international de gestion de la sécurité de l'information le plus déployé : plus de 70 000 certificats actifs dans le monde en 2023 selon l'ISO Survey. De nombreuses entreprises françaises déjà certifiées se demandent si cette certification suffit à couvrir les exigences NIS2.
La réponse est nuancée. L'ISO 27001 recouvre une partie substantielle des obligations NIS2, notamment sur l'analyse de risques, les politiques de sécurité, la gestion des accès, le chiffrement et la continuité d'activité. L'ENISA estime ce recouvrement à environ 70 % dans son rapport de 2024 sur l'implémentation de NIS2.
Trois écarts structurels subsistent toutefois :
- Notification d'incidents : l'ISO 27001 exige une procédure de gestion des incidents, mais pas de notification à une autorité dans un délai contraint (24 h / 72 h). NIS2 impose ce mécanisme avec des sanctions en cas de manquement.
- Chaîne d'approvisionnement : NIS2 exige une évaluation formelle de la sécurité des fournisseurs et prestataires critiques. L'annexe A de l'ISO 27001 (contrôle A.5.19 à A.5.23) aborde le sujet, mais sans le niveau de granularité requis par la directive.
- Responsabilité des dirigeants : NIS2 impose une obligation personnelle de formation et de supervision par les organes de direction. L'ISO 27001 requiert un engagement de la direction (leadership commitment), sans cette dimension de responsabilité individuelle.
| Domaine | ISO 27001 | NIS2 | Écart |
|---|---|---|---|
| Analyse de risques | Oui (clause 6.1) | Oui (art. 21§2a) | Faible |
| Gestion des incidents | Procédure interne | Notification ANSSI 24h/72h | Fort |
| Chaîne d'approvisionnement | Contrôles fournisseurs (annexe A) | Évaluation formelle obligatoire | Moyen |
| Gouvernance dirigeants | Engagement direction | Formation et responsabilité personnelle | Fort |
| Continuité d'activité | Oui (annexe A) | Oui (art. 21§2c) | Faible |
En conséquence, une certification ISO 27001 existante constitue un socle solide, mais ne dispense pas d'un travail complémentaire de mise en conformité NIS2.
Structurer la conformité NIS2 nécessite souvent un accompagnement juridique spécialisé pour identifier les écarts entre référentiels existants et obligations réglementaires.
Consulter un avocat en cybersécurité
Étapes pour préparer une démarche de certification dans le cadre NIS2
La préparation d'une démarche de conformité NIS2 — qu'elle s'appuie ou non sur une certification ISO 27001 — suit une séquence logique en 6 phases. La direction juridique joue un rôle de coordination à chaque étape.
Phase 1 — Qualification de l'entité. Déterminer si l'entreprise relève du statut d'entité essentielle ou d'entité importante. Ce classement dépend du secteur d'activité, du chiffre d'affaires (seuil de 50 millions d'euros pour les EE) et de l'effectif (250 salariés). L'auto-enregistrement auprès de l'ANSSI sera obligatoire dès l'entrée en vigueur de la loi de transposition.
Phase 2 — Cartographie des obligations applicables. Identifier les exigences spécifiques selon le statut (EE ou EI), le secteur et les éventuelles réglementations sectorielles complémentaires (DORA pour le secteur financier, règlement sur les dispositifs médicaux pour la santé).
Phase 3 — Analyse d'écarts (gap analysis). Comparer le dispositif existant (SMSI, politiques internes, certifications en cours) avec les exigences NIS2. Cette analyse produit une matrice de conformité qui identifie les points couverts, partiellement couverts et non couverts.
Phase 4 — Plan de remédiation. Prioriser les actions correctives selon le niveau de risque et le calendrier réglementaire. Les actions les plus fréquentes concernent la formalisation de la gouvernance cyber, la mise en place du dispositif de notification et le renforcement des clauses contractuelles fournisseurs.
Phase 5 — Implémentation et documentation. Déployer les mesures techniques et organisationnelles, constituer les preuves de conformité (voir section suivante) et former les équipes concernées.
Phase 6 — Audit et amélioration continue. Réaliser un audit interne ou externe pour valider la conformité avant un éventuel contrôle de l'ANSSI. Mettre en place un cycle de revue périodique.
Documents, preuves et livrables à constituer pour démontrer la conformité
La démonstration de conformité NIS2 repose sur un corpus documentaire structuré. L'ANSSI n'a pas encore publié de liste exhaustive, mais les travaux préparatoires et le texte de la directive permettent d'identifier les livrables attendus.
- Politique de sécurité des systèmes d'information (PSSI) : document cadre approuvé par la direction, décrivant les objectifs, le périmètre et les responsabilités en matière de cybersécurité.
- Registre des risques cyber : cartographie des risques identifiés, évalués et traités, avec les mesures de réduction associées.
- Procédure de notification d'incidents : processus documenté décrivant les seuils de déclenchement, les responsabilités internes, les délais de notification (24 h pour l'alerte, 72 h pour le rapport) et les canaux de communication avec l'ANSSI.
- Plan de continuité et de reprise d'activité (PCA/PRA) : procédures testées et documentées pour assurer la résilience en cas d'incident.
- Registre des fournisseurs critiques : liste des prestataires ayant accès aux systèmes d'information, avec l'évaluation de leur niveau de sécurité et les clauses contractuelles associées.
- Preuves de formation des dirigeants : attestations de participation aux sessions de sensibilisation ou de formation en cybersécurité, conformément à l'article 20 de la directive.
- Rapports d'audit interne : comptes rendus des vérifications périodiques du dispositif de sécurité.
- Tableau de bord de suivi des mesures : indicateurs de performance et de conformité mis à jour régulièrement.
Ce corpus constitue le socle probatoire que l'ANSSI pourra demander lors d'un contrôle. Pour les entités déjà certifiées ISO 27001, une partie de ces documents existe déjà dans le système de management de la sécurité de l'information (SMSI). Le travail consiste alors à compléter les éléments spécifiques à NIS2.
La constitution du dossier de conformité NIS2 implique des arbitrages juridiques sur la responsabilité des dirigeants, les clauses fournisseurs et le régime de notification.
Échanger avec un avocat spécialisé en cybersécurité
Articuler certification, gouvernance cyber et notification d'incidents à l'ANSSI
L'un des défis pour la direction juridique consiste à éviter les silos entre la démarche de certification (ISO 27001 ou conformité ReCyF), la gouvernance cyber interne et le dispositif de notification d'incidents. Ces trois dimensions doivent fonctionner de manière intégrée.
La gouvernance cyber constitue le socle. NIS2 exige que les organes de direction approuvent formellement les mesures de gestion des risques et supervisent leur mise en œuvre. En pratique, cela implique l'inscription de la cybersécurité à l'ordre du jour du comité de direction ou du conseil d'administration, avec un reporting périodique documenté. La direction juridique doit s'assurer que les procès-verbaux reflètent cette supervision.
Le dispositif de notification fonctionne en parallèle. Il doit être opérationnel indépendamment de toute certification. Les délais imposés par NIS2 — 24 heures pour l'alerte initiale, 72 heures pour le rapport détaillé, 1 mois pour le rapport final — nécessitent une chaîne de décision claire. La direction juridique intervient sur la qualification de l'incident (seuil de notification), la rédaction des communications à l'ANSSI et la gestion des implications contractuelles (obligation d'information des clients, activation des clauses de force majeure).
La certification, qu'elle soit ISO 27001 ou basée sur ReCyF, vient documenter et structurer l'ensemble. Elle ne remplace ni la gouvernance ni la notification, mais fournit un cadre méthodologique pour les organiser. L'erreur fréquente consiste à traiter la certification comme un projet autonome, déconnecté des processus opérationnels. La direction juridique a un rôle de garant de cette cohérence.
Coûts, délais et arbitrages avant de lancer une certification NIS2
Le budget d'une démarche de conformité NIS2 varie selon 3 facteurs : la taille de l'entité, son niveau de maturité cyber et le périmètre retenu.
| Profil d'entreprise | Coût estimé (conformité NIS2) | Délai moyen | Certification ISO 27001 (supplément) |
|---|---|---|---|
| ETI (250-500 salariés), maturité faible | 80 000 € – 200 000 € | 12 à 18 mois | + 40 000 € à 80 000 € |
| ETI, maturité moyenne (PSSI existante) | 40 000 € – 100 000 € | 8 à 12 mois | + 30 000 € à 50 000 € |
| Grande entreprise (> 500 salariés) | 150 000 € – 500 000 € | 12 à 24 mois | + 60 000 € à 120 000 € |
| PME (50-250 salariés), entité importante | 30 000 € – 80 000 € | 6 à 12 mois | + 20 000 € à 40 000 € |
Ces estimations incluent l'accompagnement conseil, les outils techniques, la formation et l'audit. Elles n'incluent pas les investissements en infrastructure (pare-feu, SOC, solutions de détection) qui relèvent du budget IT.
L'arbitrage principal pour la direction juridique porte sur le choix entre 3 stratégies :
- Conformité NIS2 seule : se limiter aux exigences réglementaires, sans viser de certification. Approche la moins coûteuse, mais qui ne fournit pas de reconnaissance externe.
- ISO 27001 + compléments NIS2 : s'appuyer sur la certification ISO pour structurer la démarche, puis combler les écarts spécifiques. Approche recommandée pour les entités ayant déjà un SMSI.
- Attente du référentiel ReCyF définitif : différer la démarche jusqu'à la publication du cadre ANSSI. Stratégie risquée si la loi de transposition entre en vigueur avec des délais de mise en conformité courts.
Le calendrier joue un rôle déterminant. Une démarche ISO 27001 complète prend en moyenne 12 à 18 mois. Lancer le projet après la promulgation de la loi de transposition expose l'entreprise à un risque de non-conformité pendant la période de mise en œuvre.
Évaluer le budget et la stratégie de certification NIS2 nécessite de croiser les contraintes juridiques, techniques et financières propres à chaque entreprise.
Trouver un avocat en cybersécurité
Erreurs fréquentes et points de vigilance dans une démarche de certification NIS2
L'analyse des premières démarches de conformité NIS2 engagées en France fait ressortir plusieurs erreurs récurrentes.
Confondre certification et conformité. Obtenir un certificat ISO 27001 ne vaut pas conformité NIS2. Le périmètre certifié peut ne couvrir qu'une partie des activités régulées. La direction juridique doit vérifier que le périmètre du SMSI englobe l'ensemble des systèmes d'information concernés par NIS2.
Négliger la chaîne d'approvisionnement. NIS2 impose une évaluation de la sécurité des fournisseurs et prestataires critiques. Or, de nombreuses entreprises se concentrent sur leur périmètre interne sans auditer leurs sous-traitants. Les clauses contractuelles de cybersécurité doivent être revues ou créées pour chaque fournisseur ayant accès aux systèmes d'information.
Sous-estimer l'obligation de formation des dirigeants. L'article 20 de la directive impose aux membres des organes de direction de suivre une formation en cybersécurité. Cette obligation est personnelle et ne peut pas être déléguée. La direction juridique doit organiser ces formations et conserver les preuves de participation.
Traiter la notification comme un sujet technique. La notification d'incidents à l'ANSSI comporte des enjeux juridiques : qualification du seuil de notification, responsabilité en cas de retard, articulation avec les obligations RGPD (notification CNIL sous 72 h en cas de violation de données personnelles), communication aux parties prenantes. La direction juridique doit être intégrée dans la chaîne de notification dès la phase de conception.
Reporter la démarche en attendant la transposition. Le texte européen est en vigueur depuis janvier 2023. Les obligations de fond ne changeront pas avec la transposition française. Les entreprises qui attendent la loi nationale pour démarrer leur mise en conformité s'exposent à des délais insuffisants pour constituer un dossier probant.
Dupliquer les efforts entre référentiels. Les entreprises soumises à plusieurs réglementations (NIS2, DORA, RGPD, réglementation sectorielle) créent parfois des dispositifs parallèles. La direction juridique doit piloter une approche intégrée, en identifiant les recouvrements entre référentiels et en mutualisant les livrables communs.
FAQ
La certification NIS2 est-elle obligatoire en France ?
Non. La directive NIS2 n'impose aucune certification NIS2 obligatoire. Elle exige des entités régulées qu'elles mettent en œuvre des mesures de sécurité proportionnées et qu'elles puissent démontrer leur conformité. L'ANSSI pourra contrôler cette conformité sur la base du référentiel ReCyF, mais aucun certificat spécifique n'est requis.
Une certification ISO 27001 suffit-elle pour être conforme à NIS2 ?
Non. L'ISO 27001 couvre environ 70 % des exigences NIS2, mais des écarts subsistent sur la notification d'incidents à l'ANSSI (24 h / 72 h), l'évaluation formelle de la chaîne d'approvisionnement et la responsabilité personnelle des dirigeants en matière de cybersécurité. Un travail complémentaire est nécessaire.
Quel est le délai moyen pour se mettre en conformité NIS2 ?
Le délai varie de 6 à 24 mois selon la taille de l'entreprise et son niveau de maturité cyber. Une ETI disposant déjà d'une PSSI et de processus de gestion des risques peut atteindre la conformité en 8 à 12 mois. Une grande entreprise partant d'un niveau de maturité faible doit prévoir 18 à 24 mois.
Quelles sanctions en cas de non-conformité NIS2 ?
Le projet de loi de transposition prévoit des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles, et 7 millions d'euros ou 1,4 % du chiffre d'affaires pour les entités importantes. L'ANSSI disposera également de pouvoirs d'injonction et de contrôle sur pièces et sur place.
Quel rôle joue la direction juridique dans la conformité NIS2 ?
La direction juridique pilote la qualification de l'entité (EE ou EI), supervise l'analyse d'écarts réglementaires, valide les clauses contractuelles fournisseurs, structure le dispositif de notification d'incidents et s'assure de la cohérence entre les différents référentiels applicables (NIS2, RGPD, DORA). Elle garantit également la traçabilité documentaire nécessaire en cas de contrôle.
Pour aller plus loin
Obligations NIS 2 - MonEspaceNIS2 ANSSI
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
