Directive NIS2 : obligations de vérification documentaire pour les entités critiques
Guide complet NIS2 2026 : vérification fournisseurs, personnel accrédité et reporting d'incidents. Obligations documentaires, sanctions et mise en conformité pour entités essentielles.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa directive NIS2 (Directive (UE) 2022/2555) restructure en profondeur le cadre de cybersécurité européen. En France, l'ordonnance n° 2024-449 du 15 mai 2024 en assure la transposition. Pour les quelque 15 000 entités concernées selon l'ANSSI, les obligations documentaires sont concrètes, contraignantes et déjà opposables. La question n'est plus de savoir si votre organisation est visée, mais de mesurer précisément ce qu'elle doit documenter, conserver et produire à la demande des contrôleurs.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique, financier ou réglementaire. Les références réglementaires sont exactes à la date de publication. Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.
Pour approfondir le cadre général, consultez notre guide complet de la conformité documentaire et notre article sur la gestion des risques tiers (TPRM).
Qu'est-ce que la directive NIS2 et qui est concerné en France ?
La directive NIS2 élargit considérablement le périmètre de son prédécesseur NIS1 : là où la première directive ne couvrait que les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN), NIS2 introduit deux nouvelles catégories aux obligations distinctes.
Les entités essentielles (EE) relèvent des secteurs à haute criticité : énergie, transport, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC interentreprises, administrations publiques centrales et espace. Elles font l'objet de contrôles proactifs et de sanctions renforcées.
Les entités importantes (EI) couvrent des secteurs supplémentaires : services postaux, gestion des déchets, fabrication de produits critiques (pharmaceutiques, équipements médicaux, chimie), industrie alimentaire, fournisseurs numériques (moteurs de recherche, plateformes de services en ligne, réseaux sociaux). Elles sont soumises à une supervision réactive, déclenchée sur la base d'incidents ou de signalements.
En France, l'ANSSI pilote l'implémentation et l'identification des entités concernées. Les critères de taille retenus par la transposition française prévoient des seuils d'effectifs et de chiffre d'affaires, mais certaines entités sont incluses indépendamment de leur taille en raison de leur rôle critique dans l'économie ou la sécurité nationale. Environ 15 000 entités sont concernées en France, soit dix fois plus qu'avec NIS1.
Les obligations documentaires issues de l'article 21 NIS2
L'article 21 de la directive impose dix mesures de gestion des risques de cybersécurité. Chacune génère des obligations documentaires spécifiques que l'ANSSI peut contrôler à tout moment — et l'ANSSI contrôle l'implémentation réelle, pas seulement les documents produits.
Les dix mesures couvrent : les politiques d'analyse des risques et de sécurité des systèmes d'information, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d'approvisionnement (article 21(d)), la sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information, les politiques d'évaluation de l'efficacité des mesures, les pratiques de cyber-hygiène et formations, les politiques de cryptographie, la sécurité des ressources humaines, l'utilisation de l'authentification multi-facteurs.
Chacune de ces mesures doit être formalisée dans des politiques écrites, validées par la direction, revues périodiquement et accompagnées de preuves de mise en œuvre. Une politique sans trace d'application ne suffit pas.
Pour la vérification documentaire, les obligations les plus directes découlent de trois mesures : la gestion des risques (cartographie des actifs et des processus sensibles), la sécurité de la chaîne d'approvisionnement, et la sécurité des ressources humaines (habilitations, contrôles d'accès). Consultez notre article sur la construction d'un programme de conformité documentaire pour une approche méthodique.
Vérification de la chaîne d'approvisionnement : documenter la sécurité des fournisseurs
L'article 21(d) de NIS2 exige la vérification de la sécurité de la chaîne d'approvisionnement, y compris les aspects de sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services. C'est l'une des obligations les plus nouvelles et les plus complexes à opérationnaliser.
Concrètement, une entité essentielle doit être capable de démontrer qu'elle a :
- Identifié et documenté l'ensemble de ses fournisseurs d'accès à ses systèmes d'information ou traitant des données sensibles.
- Évalué le niveau de sécurité de chaque fournisseur selon une méthode formalisée.
- Intégré des clauses contractuelles de sécurité dans ses contrats avec ces fournisseurs.
- Contrôlé périodiquement le respect de ces clauses.
La documentation attendue inclut un registre des fournisseurs critiques, des questionnaires de sécurité complétés, des preuves contractuelles et des rapports de suivi. L'ANSSI peut demander à consulter ces éléments lors d'un contrôle, et leur absence ou leur caractère incomplet constitue un manquement sanctionnable.
Le référentiel Cyber France (ReCyF), disponible sur cyber.gouv.fr, fournit un cadre pratique pour structurer ces évaluations. Il précise les niveaux d'exigences selon la criticité du fournisseur et le type d'accès accordé.
La vérification des fournisseurs ne s'arrête pas à la signature du contrat. NIS2 attend une démarche continue : réévaluation lors de changements significatifs chez le fournisseur, surveillance des incidents le concernant, révision contractuelle en cas d'évolution réglementaire. Pour une approche structurée de ce sujet, notre guide sur la gestion des risques tiers (TPRM) détaille les meilleures pratiques.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitDocumentation du personnel accrédité et contrôle d'accès
La sécurité des ressources humaines constitue l'une des dix mesures de l'article 21. Elle impose de documenter qui a accès à quoi, sur quelle base, et selon quel processus de contrôle préalable.
Pour les entités essentielles, cela se traduit par :
- Des politiques d'habilitation formalisées, précisant les niveaux d'accès par fonction, les conditions d'attribution et les procédures de révocation.
- Des dossiers de vérification du personnel accrédité pour accéder aux systèmes sensibles : vérification d'identité, contrôle des antécédents selon le poste, confirmation des qualifications ou certifications requises.
- Un registre des accès maintenu à jour, avec horodatage des attributions, modifications et révocations.
- Des preuves de formation à la cybersécurité pour l'ensemble du personnel concerné.
La question des contrôles d'antécédents est délicate en France au regard du RGPD et du Code du travail. La directive NIS2 ne définit pas précisément les contrôles attendus, renvoyant aux pratiques sectorielles et aux guides de l'ANSSI. Pour les rôles à fort privilège d'accès, la jurisprudence et les recommandations de l'ANSSI orientent vers une vérification d'identité renforcée et, selon les secteurs, une vérification du casier judiciaire dans les conditions autorisées par la loi.
Le risque documentaire ici est double : ne pas avoir de processus formalisé, mais aussi ne pas pouvoir prouver que le processus a bien été appliqué pour chaque personne concernée.
Délais et format des notifications d'incidents (article 23)
L'article 23 de NIS2 établit une séquence de notification des incidents significatifs qui n'existait pas sous NIS1. Les délais sont stricts et la documentation requise à chaque étape est précisément définie.
Alerte précoce : 24 heures après qu'une entité a connaissance de l'incident. L'alerte doit indiquer si l'incident est suspecté d'être malveillant et si des effets transfrontaliers sont possibles. Elle est transmise au CSIRT national ou à l'autorité compétente — en France, l'ANSSI ou les autorités sectorielles désignées.
Notification d'incident : 72 heures après la prise de connaissance. La notification doit inclure une évaluation initiale de l'incident, sa gravité et son impact, ainsi que les indicateurs de compromission disponibles.
Rapport final : 1 mois après la transmission de la notification. Ce rapport doit décrire l'incident en détail, le type de menace ou la cause sous-jacente, les mesures d'atténuation appliquées et leurs effets, et l'impact transfrontalier éventuel.
Ces délais sont contraignants et supposent une organisation documentaire préparée en amont. Une entité qui découvre un incident sans registre des accès à jour, sans cartographie des systèmes affectés, sans procédures de qualification préétablies, ne pourra pas respecter le délai de 72 heures pour une notification complète. La conformité à l'article 23 commence bien avant l'incident.
Les exigences de notification s'appliquent aux incidents qui ont ou sont susceptibles d'avoir un impact significatif sur la fourniture des services. Le texte de transposition française précise les critères de significativité : nombre d'utilisateurs affectés, durée de l'incident, étendue géographique, niveau d'interruption des services.
Pour aller plus loin sur les processus de reportage réglementaire, consultez legifrance.gouv.fr pour le texte intégral de l'ordonnance de transposition.
Tableau comparatif NIS1 vs NIS2
Les deux générations de la directive diffèrent sur des points structurants pour la vérification documentaire. Voici les principales évolutions.
| Critère | NIS1 (Directive 2016/1148) | NIS2 (Directive 2022/2555) |
|---|---|---|
| Nombre d'entités concernées en France | ~300 OSE + FSN désignés | ~15 000 EE et EI |
| Identification des entités | Désignation par l'État | Auto-identification + confirmation |
| Catégories d'entités | OSE + FSN | Entités essentielles (EE) + Entités importantes (EI) |
| Secteurs couverts | 7 secteurs | 18 secteurs (dont administrations, espace) |
| Chaîne d'approvisionnement | Non prévue | Obligatoire (art. 21d) |
| Délai alerte précoce | Non défini | 24 heures |
| Délai notification complète | 72 heures (pour certains OSE) | 72 heures (universel) |
| Rapport final | Non systématique | 1 mois (obligatoire) |
| Responsabilité des dirigeants | Non prévue | Oui, personnelle (art. 20) |
| Sanctions EE | Variables selon États membres | Jusqu'à 10 M€ ou 2% du CA mondial |
| Sanctions EI | Variables selon États membres | Jusqu'à 7 M€ ou 1,4% du CA mondial |
| Supervision | Réactive (post-incident) | Proactive (EE) + réactive (EI) |
| Référentiel national France | Guide ANSSI non contraignant | ReCyF (cyber.gouv.fr) |
La colonne NIS2 illustre le changement de paradigme : là où NIS1 organisait une réponse aux incidents, NIS2 impose une posture de conformité permanente, documentable et auditable.
Sanctions applicables et responsabilité des dirigeants
Le régime de sanctions de NIS2 est significativement plus sévère que celui de NIS1, et il introduit une dimension nouvelle : la responsabilité personnelle des dirigeants.
Pour les entités essentielles, les sanctions administratives peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Des mesures non pécuniaires s'y ajoutent : mise en conformité forcée, injonctions, suspension temporaire de l'exercice des fonctions dirigeantes.
Pour les entités importantes, le plafond est de 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial.
L'article 20 de la directive introduit une obligation que NIS1 ignorait : les États membres doivent s'assurer que les personnes physiques responsables d'une entité ou agissant en tant que son représentant légal peuvent être tenues responsables du non-respect des obligations. En pratique, cela signifie que les dirigeants — directeur général, directeur des systèmes d'information, directeur de la conformité selon l'organisation — peuvent être personnellement mis en cause et sanctionnés, y compris par une interdiction temporaire d'exercer des fonctions dirigeantes.
Cette responsabilité personnelle transforme la conformité NIS2 en un sujet de gouvernance, pas seulement de sécurité informatique. Les conseils d'administration et les comités exécutifs ne peuvent plus déléguer entièrement ce sujet à leurs équipes techniques sans s'exposer personnellement.
La directive (UE) 2022/2555 précise que les États membres doivent veiller à ce que les organes de direction suivent des formations à la cybersécurité et encouragent périodiquement leur personnel à en suivre également.
Comment CheckFile automatise la conformité documentaire NIS2
La conformité NIS2 repose en grande partie sur la capacité à produire des preuves documentaires à la demande : registres de fournisseurs, dossiers d'habilitation du personnel, traces de vérification, historique des incidents. Ces preuves doivent être exactes, complètes et accessibles rapidement — les délais de 24 et 72 heures de l'article 23 ne laissent pas de marge pour reconstituer manuellement des dossiers épars.
CheckFile automatise la vérification et la constitution de ces dossiers documentaires. La plateforme prend en charge plus de 3 200 types de documents dans 32 juridictions, ce qui couvre l'ensemble des documents nécessaires à la vérification des fournisseurs et du personnel accrédité dans les secteurs couverts par NIS2 — y compris les documents étrangers pour les entités opérant avec des prestataires ou du personnel international.
Pour les obligations de l'article 21(d) sur la chaîne d'approvisionnement, CheckFile permet de vérifier automatiquement les documents d'identité, les accréditations, les certifications et les titres professionnels des contacts fournisseurs, avec génération automatique de pistes d'audit horodatées. Chaque vérification produit un rapport structuré conservable dans votre système de gestion documentaire.
Pour la conformité dans le secteur bancaire, la vérification des habilitations du personnel et des prestataires d'accès aux systèmes critiques s'intègre directement dans les workflows d'onboarding et de renouvellement annuel.
Notre approche de la sécurité garantit que les données documentaires traitées respectent les exigences RGPD et NIS2 en matière de protection des données personnelles, avec localisation des données maîtrisée et chiffrement de bout en bout.
La question du coût de conformité est souvent sous-estimée. Le traitement manuel des dossiers fournisseurs — questionnaires envoyés par email, documents collectés dans des tableurs, relances manuelles — représente un coût caché considérable et produit des preuves de faible qualité. Une approche automatisée comme celle proposée par CheckFile réduit le coût opérationnel tout en produisant des traces documentaires de qualité réglementaire. Consultez nos tarifs pour une estimation adaptée à votre volume.
La mise en conformité NIS2 n'est pas un projet ponctuel. C'est une capacité organisationnelle permanente : maintenir des registres à jour, documenter les décisions, tracer les contrôles, notifier dans les délais. Les entités qui construisent cette capacité sur des processus automatisés sont mieux armées que celles qui tentent de la reconstruire sous pression lors d'un incident ou d'un contrôle.
Pour structurer votre démarche, notre article sur la construction d'un programme de conformité documentaire propose une méthodologie applicable aux obligations NIS2.
Questions fréquemment posées
Mon organisation est-elle concernée par NIS2 même si elle n'a pas été notifiée par l'ANSSI ?
NIS2 introduit un principe d'auto-identification : les entités remplissant les critères de taille et de secteur sont concernées de plein droit, sans attendre une désignation formelle. L'ordonnance n° 2024-449 du 15 mai 2024 reprend ce principe. Si votre organisation opère dans l'un des 18 secteurs couverts et dépasse les seuils de taille fixés (en général : plus de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires annuel pour les entités importantes, plus de 250 salariés ou 50 millions d'euros pour les entités essentielles), la conformité est obligatoire. Certaines entités sont incluses sans condition de taille en raison de leur rôle critique. Consultez le site cyber.gouv.fr pour les outils d'auto-évaluation mis à disposition par l'ANSSI.
Quels documents faut-il conserver pour prouver la conformité à l'article 21(d) sur la chaîne d'approvisionnement ?
La preuve de conformité à l'article 21(d) repose sur plusieurs catégories de documents : un registre des fournisseurs critiques avec leur niveau d'accès aux systèmes, les questionnaires de sécurité renseignés et les réponses obtenues, les clauses contractuelles de sécurité signées, les preuves de vérification d'identité et d'accréditation des contacts fournisseurs, et les rapports de suivi périodique. L'ANSSI contrôle l'implémentation réelle : il ne suffit pas d'avoir un processus documenté, il faut pouvoir prouver qu'il a été appliqué pour chaque fournisseur concerné. La fréquence de révision attendue n'est pas fixée dans le texte mais le ReCyF (cyber.gouv.fr) recommande une révision annuelle minimum et à chaque changement significatif.
Que se passe-t-il si le délai de 72 heures pour la notification d'incident n'est pas respecté ?
Le non-respect des délais de notification de l'article 23 constitue un manquement sanctionnable. Pour les entités essentielles, les sanctions peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial. Au-delà de la sanction financière, un retard de notification expose l'entité à une mise en cause de sa responsabilité si d'autres acteurs ont subi des dommages pendant la période de non-notification. En pratique, respecter le délai de 72 heures suppose d'avoir préparé en amont : procédures de qualification des incidents, modèles de notification, chaîne d'escalade identifiée et contacts des autorités compétentes connus. La notification peut être initialement incomplète si les informations ne sont pas toutes disponibles — l'essentiel est de transmettre une première notification dans les délais, quitte à la compléter.
La responsabilité personnelle des dirigeants prévue à l'article 20 s'applique-t-elle en France ?
Oui. L'ordonnance n° 2024-449 du 15 mai 2024 transpose cette disposition. Les dirigeants des entités essentielles et importantes peuvent être personnellement tenus responsables du non-respect des obligations NIS2, y compris par une interdiction temporaire d'exercer des fonctions de direction. Cette responsabilité suppose que les dirigeants aient eu connaissance des manquements ou auraient dû en avoir connaissance dans le cadre de l'exercice normal de leurs fonctions. En pratique, cela implique que les conseils d'administration documentent leur suivi de la conformité NIS2 : ordres du jour de réunions, procès-verbaux de décisions, rapports présentés à la direction sur l'état de la conformité.
Comment distinguer une entité essentielle d'une entité importante dans les secteurs qui chevauchent les deux catégories ?
La distinction repose principalement sur la taille et l'appartenance sectorielle. Les entités des secteurs à haute criticité (énergie, transport, banques, santé, eau, infrastructure numérique, administrations, espace) sont des entités essentielles si elles dépassent les seuils de grande entreprise. Les entités des secteurs supplémentaires (fabrication, services postaux, alimentation, services numériques) sont des entités importantes. Certaines entités des secteurs à haute criticité peuvent être classées importantes si elles restent en dessous des seuils de grande entreprise mais dépassent ceux de moyenne entreprise. En cas de doute, le processus d'auto-identification prévu par l'ordonnance française et les outils disponibles sur cyber.gouv.fr permettent de déterminer la catégorie applicable.
CheckFile accompagne les entités essentielles et importantes dans leur mise en conformité NIS2 : vérification automatisée des documents fournisseurs et du personnel accrédité, pistes d'audit horodatées, support de plus de 3 200 types de documents dans 32 juridictions. Découvrez nos solutions pour les établissements bancaires et financiers, notre approche de la sécurité ou consultez nos tarifs pour évaluer le coût d'une conformité documentaire réellement opérationnelle.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.