NIS2
Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.
NIS2 désigne la directive (UE) 2022/2555, seconde directive européenne sur la sécurité des réseaux et systèmes d’information. Elle remplace la NIS de 2016 en élargissant fortement le périmètre des entités régulées, la profondeur des contrôles exigés et la responsabilité personnelle de la direction. Les États membres devaient la transposer avant le 17 octobre 2024 ; en France la loi de transposition a été promulguée début 2025.
NIS2 classe les organisations régulées en entités essentielles (énergie, transport, banque, santé, infrastructure numérique, administration, espace) ou entités importantes (postes, déchets, agroalimentaire, fabrication, fournisseurs numériques, recherche). Les deux catégories doivent mettre en œuvre les dix mesures de gestion du risque listées à l’article 21 — et le facteur humain y figure explicitement.
- Article 21(2)(g) impose « pratiques de base en matière de cyberhygiène et formations à la cybersécurité » pour les personnels, direction comprise.
- Article 20 rend les dirigeants personnellement responsables de l’approbation et du suivi des mesures.
- Article 23 fixe une alerte précoce à 24h et une notification d’incident à 72h auprès du CSIRT national.
- Articles 32 à 34 permettent aux autorités compétentes d’infliger des amendes administratives jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles (7 M€ ou 1,4 % pour les importantes).
Par rapport à NIS1, NIS2 opère deux glissements qui parlent au lectorat sécurité. D’abord, la formation n’est plus une case à cocher — les superviseurs attendent une pratique continue et adaptée au rôle, pas une attestation e-learning annuelle. Ensuite, la preuve comportementale de ce que font réellement les collaborateurs face au risque devient ce que les auditeurs réclament, en complément des documents de politique.
C’est pourquoi les plateformes HRM — dont Engarde (engarde.cc) — entrent dans les conversations de conformité NIS2 : elles génèrent l’historique vivant de qui a été nudgé, ce qu’il a fait ensuite, et comment la ligne de base s’est déplacée. Cadres apparentés dans la pile UE : DORA pour les entités financières et RGPD article 32 pour la dimension protection des données. Les entités françaises s’appuient aussi sur les guides de l’ANSSI pour la mise en œuvre technique.
Termes liés
- DORA (Digital Operational Resilience Act)Règlement UE 2022/2554 rendant la résilience opérationnelle numérique — facteur humain compris — directement contraignante pour les entités financières depuis le 17 janvier 2025.
- ANSSI (Agence nationale de la sécurité des systèmes d'information)Autorité nationale française de cybersécurité — publie les guides, certifications (SecNumCloud, CSPN) et posture de réponse à incident sur lesquels les organisations s'alignent.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- Formation à la sensibilisation à la sécurité (SAT)Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.