Quelles entités sont concernées par l'article 21 NIS2 ?

Toutes les entités essentielles (EE) et importantes (EI) au sens de la directive NIS2, couvrant 18 secteurs : énergie, transports, santé, eau, infrastructures numériques, industrie manufacturière, agroalimentaire, services postaux, gestion des déchets, chimie, recherche, administration publique, espace, et services numériques.

Quelles sanctions en cas de non-conformité NIS2 ?

Les entités essentielles risquent des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Pour les entités importantes, le plafond est de 7 millions d'euros ou 1,4 % du CA. Les dirigeants peuvent être tenus personnellement responsables.

Quel lien entre NIS2 et le RGPD ?

L'article 35 de NIS2 prévoit une articulation avec le RGPD : en cas d'incident impliquant des données personnelles, l'entité doit notifier à la fois le CSIRT (NIS2) et la CNIL (RGPD).

Quelle différence entre entité essentielle et entité importante ?

Les entités essentielles (EE) opèrent dans les 11 secteurs hautement critiques (énergie, transports, santé, eau, infrastructure numérique, etc.) et comptent au moins 250 salariés ou 50 M€ de CA. Les entités importantes (EI) couvrent les 7 secteurs critiques restants avec des seuils plus bas (50 salariés ou 10 M€ de CA). Les EE font l'objet de contrôles ex ante ; les EI de contrôles ex post.

Comment démarrer sa mise en conformité NIS2 ?

Commencez par un auto-audit couvrant les 10 mesures de l'article 21 pour identifier vos écarts. Puis priorisez les actions de remédiation avec un plan structuré. Aventris automatise ce processus avec un scoring par pilier, un dossier de preuves et un échéancier réglementaire.

Faut-il une certification pour être conforme NIS2 ?

NIS2 ne rend pas la certification obligatoire. Cependant, l'article 24 prévoit que les États membres peuvent exiger le recours à des schémas européens de certification (ex. EUCC). Une certification ISO 27001 ou SecNumCloud peut faciliter la démonstration de conformité, sans la garantir à elle seule.

Guide de conformité

Article 21 NIS2 : les 10 mesures de cybersécurité obligatoires

La directive NIS2 (UE 2022/2555) impose aux entités essentielles et importantes un socle de 10 familles de mesures de cybersécurité détaillées à l'article 21. Ce guide décrypte chaque obligation et vous aide à structurer votre mise en conformité.

Pourquoi l'article 21 transforme la gouvernance cyber

Adopté le 14 décembre 2022 et applicable dans le droit français via la loi Résilience et les décrets ANSSI, l'article 21 de la directive NIS2 élève la cybersécurité au rang d'obligation légale pour plus de 15 000 entités en France. Contrairement à NIS1, qui ciblait essentiellement les opérateurs de services essentiels (OSE), NIS2 étend le périmètre aux entités essentielles (EE) et importantes (EI), couvrant 18 secteurs d'activité.

L'approche choisie par le législateur européen est une approche par les risques (risk-based approach) : chaque entité doit mettre en œuvre des mesures techniques, opérationnelles et organisationnellesproportionnées à sa taille, à son exposition et à l'impact potentiel d'un incident sur ses activités et sur la société.

Les 10 mesures de l'article 21(2) en détail

L'article 21, paragraphe 2, énumère dix familles de mesures que toute entité régulée doit appliquer a minima. Aventris les référence sous les codes M01 à M10, enrichis de sous-exigences sectorielles pour l'industrie, le cloud, les groupes et les contextes OT/ICS.

Code	Mesure	Article	Catégorie
M01	Politiques d'analyse des risques et sécurité des SI	Article 21(2)-1	Risques
M02	Gestion des incidents	Article 21(2)-2	Détection
M03	Continuité d'activité, sauvegardes, reprise, gestion de crise	Article 21(2)-3	Résilience
M04	Sécurité de la chaîne d'approvisionnement	Article 21(2)-4 + 21(3)	Tiers
M05	Sécurité acquisition, développement, maintenance & vulnérabilités	Article 21(2)-5	Protection
M06	Évaluation de l'efficacité des mesures	Article 21(2)-6	Évaluation
M07	Pratiques de cyberhygiène de base et formation	Article 21(2)-7	Protection
M08	Cryptographie et chiffrement	Article 21(2)-8	Protection
M09	Sécurité RH, contrôle d'accès et gestion des actifs	Article 21(2)-9	Protection
M10	MFA, authentification continue et communications sécurisées d'urgence	Article 21(2)-10	Protection

M01 — Politiques d'analyse des risques et sécurité des systèmes d'information

Le premier pilier exige la formalisation d'une politique de sécurité des systèmes d'information (PSSI) fondée sur une analyse de risques méthodique. L'entité doit identifier ses actifs critiques, évaluer les menaces et vulnérabilités, puis définir un plan de traitement des risques avec des indicateurs mesurables. La méthode EBIOS RM recommandée par l'ANSSI constitue le cadre de référence français.

M02 — Gestion des incidents

NIS2 impose un processus structuré de détection, classification, réponse et notification des incidents. L'article 23 complète cette mesure avec des obligations de déclaration auprès du CSIRT national (CERT-FR) dans des délais contraints : alerte précoce sous 24 heures, notification complète sous 72 heures et rapport final sous un mois. Les entités doivent disposer d'un playbook de réponse à incidents testé régulièrement.

M03 — Continuité d'activité et gestion de crise

Cette mesure couvre la sauvegarde, la reprise après sinistre et la gestion de crise cyber. L'entité doit définir ses RTO (Recovery Time Objective) et RPO (Recovery Point Objective), maintenir un PCA/PRA documenté et conduire des exercices de crise au minimum annuels. Les sauvegardes doivent être testées, chiffrées et stockées hors ligne ou sur un site distant.

M04 — Sécurité de la chaîne d'approvisionnement

L'article 21(2) point d) et l'article 21(3) imposent une gestion des risques liés aux fournisseurs directs et prestataires de services. Chaque entité doit évaluer la posture de cybersécurité de ses tiers critiques, intégrer des clauses de sécurité dans les contrats et surveiller les incidents affectant sa supply chain. C'est l'une des mesures les plus transformatives pour les ETI et grands groupes industriels.

Évaluez votre conformité NIS2 en 30 minutes

L'auto-audit Aventris analyse vos 10 mesures article 21, identifie les écarts et génère un plan de remédiation priorisé — scoring automatique, export PDF audit-ready.

M05 — Sécurité de l'acquisition, du développement et de la maintenance

Cette mesure impose la prise en compte de la cybersécurité dans le cycle de vie des systèmes d'information : sécurité dès la conception (security by design), gestion des vulnérabilités, processus de patch management et divulgation coordonnée. Les entités doivent maintenir un inventaire à jour des actifs et appliquer les correctifs critiques dans les délais définis par leur politique.

M06 — Évaluation de l'efficacité des mesures

L'article 21 exige une démarche d'amélioration continue. Les entités doivent mener des audits internes, des tests d'intrusion et des revues de conformité régulières pour vérifier l'efficacité réelle de leurs mesures de sécurité. Les résultats doivent être documentés et communiqués à la direction. L'ANSSI pourra exiger la preuve de ces évaluations lors de ses contrôles.

M07 — Cyberhygiène et formation

Toutes les entités doivent déployer des pratiques de base en cybersécurité et assurer la formation de l'ensemble des collaborateurs, y compris les dirigeants (article 20). La sensibilisation doit couvrir le phishing, la gestion des mots de passe, la détection d'ingénierie sociale et les procédures de signalement. L'article 20 ajoute que les organes de direction doivent suivre une formation spécifique pour approuver les mesures de cybersécurité.

M08 — Cryptographie et chiffrement

Les entités doivent définir et document une politique d'utilisation de la cryptographie : chiffrement des données au repos et en transit, gestion du cycle de vie des clés, choix d'algorithmes conformes aux recommandations ANSSI (RGS). Les communications sensibles et les sauvegardes doivent être chiffrées selon l'état de l'art.

M09 — Sécurité des ressources humaines et contrôle d'accès

Cette mesure couvre la gestion des identités et des accès (IAM), le principe du moindre privilège, la segmentation des droits et la gestion des actifs informationnels. Les processus RH doivent intégrer la cybersécurité : vérification à l'embauche, révocation des accès au départ, et sensibilisation continue. Un inventaire des actifs critiques doit être maintenu à jour.

M10 — Authentification multi-facteurs et communications sécurisées d'urgence

Le dernier point de l'article 21(2) impose le déploiement de solutions d'authentification multi-facteurs (MFA) ou d'authentification continue, ainsi que de communications vocales, vidéo et textuelles sécurisées. Les entités doivent disposer de canaux de communication résilients utilisables en situation de crise, même en cas d'indisponibilité de l'infrastructure principale.

Qui est concerné ? Entités essentielles vs entités importantes

L'article 2 de la directive NIS2 définit le périmètre d'application à travers deux catégories d'entités, déterminées par le secteur d'activité et la taille de l'organisation. Ce classement conditionne directement le niveau de supervision et de sanctions applicable.

Les 11 secteurs hautement critiques (Annexe I) — Entités essentielles

Les entités essentielles (EE) opèrent dans les secteurs dont l'interruption aurait un impact systémique sur la société ou l'économie : énergie (électricité, gaz, pétrole, hydrogène), transports (aérien, ferroviaire, maritime, routier), secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique (DNS, IXP, TLD, fournisseurs cloud, data centers), gestion des services TIC (B2B), administration publique et espace. Les entreprises de ces secteurs de plus de 250 salariés ou dépassant 50 M€ de chiffre d'affaires (et 43 M€ de bilan) sont automatiquement classées EE.

Les 7 secteurs critiques (Annexe II) — Entités importantes

Les entités importantes (EI) couvrent des secteurs complémentaires : services postaux et d'expédition, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution de denrées alimentaires, industrie manufacturière (dispositifs médicaux, produits informatiques, électroniques, optiques, équipements électriques, machines, véhicules à moteur), fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux) et recherche. Les organisations de plus de 50 salariés ou de plus de 10 M€ de CA (et 10 M€ de bilan) dans ces secteurs sont classées EI.

Critères de taille et exceptions

Au-delà des seuils de taille, certaines entités sont classées EE ou EI quelle que soit leur taille : fournisseurs de réseaux ou services de communications électroniques publics, registres de noms de domaine de premier niveau (TLD), fournisseurs de services DNS, et les entités présentant un risque systémique identifié par l'État membre. En France, l'ANSSI peut également désigner des entités supplémentaires sur la base de critères de risque nationaux, notamment dans les secteurs OT/ICS (technologies opérationnelles et systèmes de contrôle industriel).

Supervision : ex ante pour les EE, ex post pour les EI

La distinction entre EE et EI impacte le régime de contrôle. Les entités essentielles sont soumises à une supervision proactive (ex ante) : l'ANSSI peut réaliser des audits, des inspections sur site et des scans de sécurité à tout moment. Les entités importantes font l'objet d'une supervision réactive (ex post), déclenchée uniquement en cas d'incident ou de signalement. Cette différence justifie un niveau de maturité plus élevé attendu des EE dès le premier jour.

Sanctions et responsabilité des dirigeants

L'article 34 de la directive NIS2 instaure un régime de sanctions considérablement renforcé par rapport à NIS1. Les amendes administratives sont proportionnées à la gravité des manquements et à la taille de l'entité.

Entités essentielles : amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial.
Responsabilité personnelle des dirigeants : l'article 20 prévoit que les organes de direction qui n'approuvent pas les mesures de cybersécurité ou ne suivent pas la formation obligatoire peuvent être tenus personnellement responsables en cas de manquement.

Pour les récidives ou les manquements graves (absence totale de mesures, obstruction aux contrôles), les États membres peuvent imposer des sanctions complémentaires : suspension temporaire de l'activité, injonctions de mise en conformité avec astreintes, voire interdiction temporaire d'exercer des fonctions de direction pour les personnes physiques responsables.

Proportionnalité et approche par les risques

L'article 21, paragraphe 1, impose le principe de proportionnalité : les mesures de cybersécurité doivent être adaptées au degré d'exposition de l'entité aux risques, à sa taille, à la probabilité de survenance d'incidents et à leur gravité potentielle, y compris leur impact sociétal et économique. Une PME de 60 salariés dans le secteur alimentaire n'aura pas les mêmes obligations opérationnelles qu'un opérateur d'infrastructure numérique de 2 000 salariés.

Concrètement, la proportionnalité se traduit par trois niveaux d'exigence dans le référentiel ANSSI : les mesures sont déclinées en exigences de base applicables à toutes les entités, en exigences renforcées pour les EE, et en bonnes pratiques recommandées. L'auto-audit Aventris reflète cette gradation avec un scoring différencié EE/EI.

Au-delà de l'article 21 : les obligations complémentaires

La directive NIS2 ne se limite pas à l'article 21. Plusieurs autres articles imposent des obligations complémentaires que les entités doivent suivre :

Article 20 — Gouvernance des dirigeants : les organes de direction approuvent les mesures de sécurité et suivent une formation obligatoire.
Article 23 — Notification d'incidents : alerte précoce 24h, notification complète 72h, rapport final 1 mois.
Article 3 — Identification et enregistrement : les entités doivent s'enregistrer auprès de l'autorité compétente nationale.
Article 24 — Certification : recours possible aux schémas européens de certification.
Article 29 — Partage d'informations : accords volontaires de partage de renseignements sur les menaces.

L'ensemble de ces obligations est couvert par les 25 mesures du référentiel ANSSI transposé dans le droit français.

Calendrier de mise en conformité

La directive NIS2 devait être transposée par les États membres avant le 17 octobre 2024. La France a adopté la loi Résilience qui transpose NIS2 dans le Code de la défense. Les décrets d'application de l'ANSSI précisent les modalités sectorielles. Les entités régulées doivent se conformer dès la publication des textes réglementaires finaux. Plus de détails sur la page dédiée à la transposition ANSSI.

Comment Aventris structure votre conformité article 21

Aventris couvre les 10 mesures de l'article 21 et les 15 obligations complémentaires à travers un workflow en 5 étapes :

Auto-audit NIS2 — 159 exigences réparties sur les 25 mesures, scoring automatique par pilier.
Analyse de risques — Registre des risques, matrice de criticité, plan de traitement aligné EBIOS RM.
Dossier de preuves — Constitution automatisée des preuves documentaires requises par l'ANSSI.
Échéancier réglementaire — Suivi des échéances, revues périodiques et alertes automatiques.
Rapports de conformité — Export PDF audit-ready pour la direction et les contrôles ANSSI.

Structurez votre conformité NIS2 dès maintenant

Aventris automatise l'auto-évaluation, le dossier de preuves et le suivi d'échéancier pour les 10 mesures de l'article 21. Essai gratuit, sans engagement.