norppa.io
Guides

Guide NIS2 · 9 min

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

Le RGPD et NIS2 touchent tous deux la sécurité et sont assortis de lourdes amendes, d'où la confusion, mais ils protègent des choses différentes et relèvent d'autorités différentes. Le risque n'est pas de choisir le mauvais ; c'est de ne pas voir qu'un seul incident peut déclencher les deux, selon des délais distincts. Ce guide trace la frontière, montre les recoupements, explique l'articulation (coopération et absence de double amende) et donne une réponse nette aux équipes servant des clients relevant des deux.

Points clés

  • Le RGPD protège les données personnelles et s'applique à presque toute organisation ; NIS2 protège la cyberrésilience et ne s'applique qu'aux entités essentielles et importantes désignées.
  • Un incident peut exiger deux notifications : une notification de violation à votre autorité de protection des données sous 72 h (RGPD art. 33) et un rapport à votre CSIRT à 24 h/72 h/un mois (NIS2 art. 23).
  • Ils sont conçus pour s'articuler : les autorités coopèrent (NIS2 art. 35) et on n'est pas sanctionné deux fois pour le même comportement, mais vous évaluez et notifiez quand même au titre de chacun, là où il s'applique.

Ce que chacun régit

Le RGPD et NIS2 sont deux textes de l'UE qui touchent la sécurité, et on les confond, mais ils protègent des choses différentes. Le RGPD protège les données personnelles ; NIS2 protège la continuité et la sécurité des services essentiels. Une organisation peut aisément relever des deux à la fois.

La distinction la plus nette : le RGPD demande « protégez-vous les données personnelles des personnes ? » et s'applique à presque toute organisation qui en traite. NIS2 demande « votre organisation est-elle résiliente sur le plan opérationnel et cyber ? » et ne s'applique qu'aux entités essentielles et importantes désignées dans des secteurs précis.

RGPD : données personnelles, presque tout le monde

Règlement (UE) 2016/679, applicable depuis 2018. Régit le traitement des données personnelles par les responsables et sous-traitants : base légale, droits des personnes et sécurité du traitement (art. 32). Appliqué par les autorités de protection des données.

NIS2 : cybersécurité, entités désignées

Directive (UE) 2022/2555, transposée en droit national (échéance 17 octobre 2024). Régit la gestion des risques cyber (art. 21) et la notification d'incidents (art. 23) pour les entités essentielles et importantes. Appliquée par les autorités nationales de cybersécurité et les CSIRT.

Le piège : un incident, deux notifications

Une seule violation peut déclencher les deux régimes : à des autorités différentes, selon des délais différents. Connaissez les deux :

RGPD art. 33

Si un incident de sécurité concerne des données personnelles, notifiez votre autorité de protection des données sans retard injustifié et, si possible, dans les 72 heures suivant la prise de connaissance : sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes.

NIS2 art. 23

S'il s'agit d'un incident important, envoyez à votre CSIRT une alerte précoce à 24 heures, une notification à 72 heures et un rapport final sous un mois.

Les deux à la fois

Une attaque par rançongiciel qui chiffre des données personnelles est, simultanément, un incident important au sens de NIS2 et une violation de données personnelles au sens du RGPD : deux dépôts, deux autorités, deux délais.

Où ils se recoupent

Mettez l'un en œuvre correctement et des pans de l'autre suivent. Tous deux exigent :

  • Sécurité du traitement / mesures de gestion des risques : des contrôles techniques et organisationnels proportionnés.
  • Notification d'incident ou de violation selon des délais définis, avec documentation de ce qui s'est passé et de la réponse.
  • Responsabilité : la direction doit l'assumer, et les deux régimes prévoient des amendes administratives importantes.
  • Registres et preuves. Vous devez pouvoir démontrer, et pas seulement affirmer, que les contrôles existent et fonctionnent.
  • Assurance des tiers : RGPD via les contrats de sous-traitance (art. 28), NIS2 via la sécurité de la chaîne d'approvisionnement (art. 21(2)(d)).

L'articulation clé : coopération et absence de double amende

NIS2 a été rédigé pour s'articuler avec le RGPD, non pour le dupliquer. En vertu de l'article 35 de NIS2, lorsqu'une autorité de cybersécurité apprend qu'un incident chez une entité peut comporter une violation de données personnelles notifiable au titre de l'art. 33 du RGPD, elle doit informer l'autorité de protection des données sans retard injustifié. Les deux autorités coopèrent et échangent des informations.

Élément clé : on n'est pas sanctionné deux fois pour le même comportement. Lorsqu'une autorité de protection des données inflige une amende RGPD pour une infraction, l'autorité NIS2 ne peut pas infliger en plus une amende NIS2 (art. 34) pour le même comportement. Mais c'est une protection contre la double peine pour un acte. Cela ne fusionne pas les deux obligations. Vous évaluez, documentez et notifiez toujours au titre de chaque régime, là où il s'applique.

Les obligations applicables dépendent des faits : des données personnelles étaient-elles concernées, et êtes-vous une entité essentielle ou importante ? Confirmez les détails auprès de votre autorité de protection des données, de votre autorité nationale de cybersécurité et d'un conseil qualifié.

Lequel s'applique à vous ?

La plupart des organisations relèvent de l'un ; beaucoup des deux :

Vous traitez des données personnelles mais n'êtes pas une entité essentielle/importante

Le RGPD s'applique ; NIS2 ne s'applique pas directement : la diligence d'un client NIS2 sur sa chaîne d'approvisionnement peut toutefois vous atteindre via vos contrats.

Vous êtes une entité essentielle/importante traitant peu de données personnelles

NIS2 s'applique pleinement ; le RGPD s'applique aux données personnelles que vous traitez (salariés, clients).

Vous relevez des deux (le cas courant)

Exploitez un seul processus de réponse aux incidents satisfaisant les deux délais : votre autorité de protection des données sous 72 h pour les violations de données, votre CSIRT sur la voie 24 h/72 h/un mois pour les incidents importants.

Vous êtes fournisseur ou sous-traitant

Attendez-vous à des clauses RGPD de sous-traitance (art. 28) et à un examen NIS2 de la chaîne d'approvisionnement (art. 21(2)(d)) de vos clients : questionnaires, demandes de preuves et monitoring continu.

Sources : Règlement (UE) 2016/679 (RGPD) et directive (UE) 2022/2555 (NIS2), en particulier l'art. 35 sur l'articulation avec le RGPD. Confirmez l'application des deux à votre situation auprès de votre autorité de protection des données et de votre autorité nationale de cybersécurité.

Comment norppa.io aide

Les deux régimes attendent désormais une assurance continue et étayée sur vos fournisseurs et sous-traitants : RGPD via la supervision des sous-traitants (art. 28), NIS2 via la sécurité de la chaîne d'approvisionnement (art. 21(2)(d)). norppa.io surveille chaque domaine fournisseur sur plus de cent points de contrôle chaque jour, chaque constat étant associé à l'article NIS2 concerné et exportable pour vos registres.

Les questionnaires d'auto-évaluation captent les contrôles contractuels et de processus qu'aucune autorité de protection des données ni aucun auditeur de cybersécurité ne voit de l'extérieur, et chaque réponse est confrontée au profil technique en direct. De sorte que, que la question vienne sous l'angle protection des données ou NIS2, vous présentez des preuves actuelles et corroborées plutôt que des affirmations.

Une source de preuves fournisseurs pour les deux régimes

Voyez un rapport fournisseur d'exemple (constats, correspondance des articles et preuves) en environ deux minutes.

Voir le rapport d'exemple
Voir le tableau de bord exemple

Guides associés

Comment se conformer à NIS2 : une feuille de route étape par étape

Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement

Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.