Guide NIS2

Guide NIS2 · 6 min

Statut de transposition de NIS2 : dans quels pays de l'UE est-elle en vigueur

NIS2 est une directive européenne : chaque État membre doit la transposer dans son droit national avant qu'elle ne s'applique. La date limite de transposition était le 17 octobre 2024. Elle est passée alors que la plupart des pays rédigeaient encore, et ils rattrapent leur retard à des rythmes très différents. Cette page suit la situation de chacun des 27 États membres et explique pourquoi les écarts vous concernent même si votre propre pays est en retard.

À retenir

  • NIS2 devait être en droit national au 17 octobre 2024 ; de nombreux États membres ont manqué l'échéance.
  • L'obligation vous atteint par vos clients, pas seulement par la loi de votre propre pays.
  • Le statut change en permanence : confirmez toujours auprès des sources officielles de l'UE et nationales.

Où en sont les 27 États membres

20 sur 27

loi nationale en vigueur

7 sur 27

transposition en cours

Pourquoi la mosaïque vous atteint quand même

Il est tentant de se détendre si votre pays n'a pas terminé sa loi. C'est une erreur de lecture. L'obligation de chaîne d'approvisionnement de NIS2 (article 21, paragraphe 2, point d) se répercute par contrat : si ne serait-ce qu'un de vos clients est établi dans un État membre où la loi est déjà en vigueur, ce client doit évaluer et continuer d'évaluer votre sécurité, où que vous soyez. En pratique, les pays qui transposent le plus tôt imposent le rythme à tous ceux qui leur vendent.

Statut par pays

Chaque pays renvoie à sa propre page : autorité compétente, CSIRT national, loi nationale et dates clés.

En vigueur (20)

En cours (7)

Comment nous le tenons à jour

La transposition nationale évolue sans cesse. Nous vérifions chaque pays auprès de l'autorité nationale officielle et du tracker de transposition de la Commission européenne, et nous datons chaque entrée pour que vous en voyiez la fraîcheur. Pour le détail pays par pays en temps réel, utilisez les pages pays ci-dessus ou directement le tracker de la Commission.

Tracker de transposition de la Commission européenne

Voir une surveillance fournisseurs de niveau NIS2

Un exemple de rapport fournisseur (constats, cartographie NIS2 et preuves) en deux minutes.

7 jours gratuits · sans carte bancaire · annulez à tout moment

Guides associés

Comment se conformer à NIS2 : une feuille de route étape par étape

Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 pour les fournisseurs : vous n'êtes pas désigné, mais vos clients le sont

La plupart des entreprises ne sont jamais désignées au titre de NIS2, mais beaucoup doivent s'y conformer malgré tout. Comment l'obligation de chaîne d'approvisionnement d'un client concerné (article 21, paragraphe 2, point d) descend jusqu'à vous, ce qu'il demande et comment répondre de façon crédible.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

Amendes et sanctions NIS2 : combien, qui est responsable et comment les éviter

Ce que sont les sanctions NIS2 : les plafonds de l'article 34 (10 M€ / 2 % pour les entités essentielles, 7 M€ / 1,4 % pour les importantes), la responsabilité personnelle de la direction (art. 20, art. 32), les mesures non pécuniaires et comment les éviter.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.

Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement

Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.

Clauses contractuelles fournisseurs NIS2 : que exiger de vos fournisseurs

Les clauses qui rendent l'obligation de chaîne d'approvisionnement de NIS2 exécutoire : socle de sécurité, fenêtre de notification, droits de preuve et d'audit, répercussion aux sous-traitants, et vérification continue.

Dernière révision: 19 juin 2026

Ce guide fournit des informations générales sur le droit de l'UE, et non des conseils juridiques. NIS2 prend effet via la loi de transposition nationale de chaque État membre de l'UE, qui peut différer dans le détail. Vérifiez les obligations qui s'appliquent à vous auprès de votre autorité compétente ou de votre conseil juridique.