NIS vs NIS2 : ce qui change vraiment en 2025

La directive NIS2 remplace la première directive NIS adoptée en 2016.Si l’objectif reste le même: améliorer la cybersécurité des infrastructures essentielles. Les obligations changent profondément en 2025.Cet article explique clairement les différences majeures entre NIS et NIS2, et ce que cela implique pour les organisations françaises.

1. Un périmètre beaucoup plus large

NIS (2016)

La première directive ne concernait qu’un nombre limité d’acteurs, essentiellement les opérateurs de services essentiels (OSE) et certains fournisseurs de services numériques.

NIS2 (2025)

NIS2 élargit massivement la liste des secteurs et intègre :

• de nouveaux secteurs essentiels : énergie, santé, transport, eau, finance…

• des secteurs importants : alimentation, déchets, recherche, industrie, services numériques avancés

• de nombreux prestataires B2B critiques

Conséquence : des milliers d’entreprises deviennent soumises à NIS2, y compris des PME et ETI qui ne l’étaient pas auparavant.

2. Une harmonisation européenne renforcée

NIS

Chaque État membre transposait la directive à sa manière, créant des écarts importants entre pays et une sécurité inégale.

NIS2

Le texte impose des exigences minimales communes dans toute l’Union européenne.Les États ne peuvent plus adopter une version “allégée” : l’objectif est d’élever le niveau de sécurité dans l’ensemble du marché européen.

3. Des obligations de sécurité beaucoup plus précises

NIS

Les mesures de sécurité étaient parfois générales, laissant une large interprétation aux organisations.

NIS2

La directive impose des mesures explicites, notamment :

• authentification multi-facteurs

• journalisation, supervision et détection

• gestion renforcée des accès

• politique de sauvegarde

• durcissement des systèmes

• sécurité des réseaux industriels (OT)

• gestion des risques tiers

Ce passage du “principe” à la liste détaillée d’exigences est l’un des changements majeurs.

➤ Voir les obligations détaillées : Normi.fr/directive

4. Une gouvernance cybersécurité obligatoire

NIS

Le rôle de la direction était peu défini.

NIS2

La direction devient juridiquement responsable :

• validation des politiques de sécurité

• suivi des risques

• formation obligatoire

• sanctions en cas de manquements graves

La cybersécurité devient un enjeu de gouvernance, pas seulement un sujet IT.

5. Une gestion stricte des prestataires

NIS

La gestion des fournisseurs était mentionnée, mais sans obligation précise.

NIS2

La chaîne de fournisseurs est au cœur du dispositif :

• évaluation de sécurité obligatoire

• clauses contractuelles renforcées

• suivi continu des prestataires critiques

• responsabilité partagée en cas d’incident majeur

Les entreprises doivent désormais documenter la manière dont elles sécurisent leurs dépendances.

➤ Comparer des prestataires : Normi.fr/services

6. Des procédures de notification renforcées

NIS

Les délais de notification étaient variables selon les États et parfois peu clairs.

NIS2

Règles précises :

• pré-notification en 24 h

• rapport complet en 72 h

• mise à jour finale sous un mois

• notifications possibles aux clients en cas de risque important

Objectif : accélérer la réponse collective face aux crises cyber.

7. Des sanctions plus élevées et plus cohérentes

NIS

Sanctions limitées, souvent peu dissuasives.

NIS2

Plafonds alignés sur le RGPD :

• jusqu’à 10 millions d’euros

• ou 2 % du chiffre d’affaires mondial

Un signal fort visant à garantir l’application effective des règles.

Résumé : ce qui change vraiment avec NIS2

• plus de secteurs concernés

• obligations beaucoup plus précises

• responsabilité de la direction

• gestion stricte des prestataires

• notifications encadrées

• sanctions renforcées

• harmonisation européenne plus forte

En 2025, NIS2 devient un standard européen de cybersécurité, pas seulement une directive de conformité.