La cybersécurité a cessé d'être un sujet exclusivement technique pour devenir une responsabilité de la direction générale, avec des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Ce changement a un nom : la Directive NIS2, la nouvelle norme européenne qui oblige des milliers d'entreprises de secteurs stratégiques à élever leur niveau de cybersécurité. Bien que l'Espagne n'ait pas encore achevé sa transposition, la NIS2 opère déjà comme cadre de référence de facto. Ce guide explique ce qu'elle est, à qui elle s'applique, quelles obligations elle impose et comment s'y préparer.
Qu'est-ce que la Directive NIS2
La Directive NIS2 est la Directive (UE) 2022/2555 du Parlement européen et du Conseil, du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union européenne. Elle remplace et élargit la précédente Directive NIS de 2016, en étendant son champ d'application à bien plus de secteurs, en durcissant les exigences et en introduisant des mesures d'exécution et des sanctions bien plus sévères.
Son objectif est d'harmoniser la cybersécurité des infrastructures et services essentiels de l'UE, en réduisant la fragmentation entre États membres. Dans la pratique, la NIS2 transfère la cybersécurité du département informatique au conseil d'administration : la direction devient formellement responsable d'approuver et de superviser les mesures, avec des conséquences personnelles en cas de manquement.
À quelles entreprises la NIS2 s'applique-t-elle ? Entités essentielles et importantes
La NIS2 s'applique aux entités de 18 secteurs stratégiques, répartis en deux annexes, ainsi qu'aux organisations dépassant le seuil de moyenne entreprise : au moins 50 employés ou 10 millions d'euros de chiffre d'affaires annuel, avec des exceptions incluant certaines PME dans des secteurs particulièrement critiques.
La directive classe les organisations couvertes en deux catégories :
| Catégorie | Secteurs | Supervision |
|---|---|---|
| Entités essentielles (EE) | 11 secteurs de l'Annexe I (énergie, transport, banque, santé, eau, infrastructure numérique, administration publique…) | Plus stricte : supervision proactive |
| Entités importantes (IE) | 7 secteurs de l'Annexe II (services postaux, gestion des déchets, fabrication, alimentation, fournisseurs numériques…) | Supervision réactive, en cas d'indices de manquement |
La différence pratique est significative : les entités essentielles sont soumises à un contrôle de conformité plus strict et proactif, tandis que les importantes sont supervisées principalement lorsqu'il y a des indices de manquement. Un point clé que beaucoup d'entreprises ignorent : même si votre organisation n'est pas directement dans l'un de ces secteurs, vous pouvez être obligées de facto si vous faites partie de la chaîne d'approvisionnement d'une entité qui l'est.
Obligations clés : gestion des risques et notification des incidents
La NIS2 s'articule autour de deux grands blocs d'obligations. Le premier est la gestion des risques de cybersécurité : les entités doivent réaliser une analyse périodique et documentée des risques et mettre en place des mesures techniques et organisationnelles proportionnées. Ces mesures comprennent, entre autres, des politiques de sécurité, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, le chiffrement et le contrôle des accès.
Le second bloc est la notification des incidents significatifs à l'autorité compétente — en Espagne, via l'INCIBE-CERT — dans des délais échelonnés :
| Délai | Ce qu'il faut communiquer |
|---|---|
| 24 heures (alerte précoce) | Alerte initiale minimale : si l'incident est suspecté d'être malveillant et s'il peut avoir un impact transfrontalier |
| 72 heures (notification) | Analyse préliminaire : cause probable, étendue confirmée, données compromises et actions correctives en cours |
| 1 mois (rapport final) | Analyse forensique complète, cause profonde, mesures mises en place et enseignements tirés |
À cela s'ajoute une troisième obligation transversale : la sécurité de la chaîne d'approvisionnement, qui oblige à évaluer et à exiger des garanties de cybersécurité auprès des fournisseurs et sous-traitants.
Sanctions et responsabilité de la direction
C'est là que la NIS2 se distingue des réglementations précédentes. Les sanctions financières sont significatives et graduées selon le type d'entité :
- Entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel total à l'échelle mondiale, le montant le plus élevé étant retenu.
- Entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
Mais les amendes ne sont pas le seul risque. Les autorités peuvent suspendre temporairement des certifications ou autorisations, interdire l'exercice de fonctions dirigeantes aux personnes responsables du manquement (mise en cause personnelle), publier la sanction de manière nominative — avec l'impact réputationnel qui en découle — et imposer des astreintes journalières jusqu'à l'obtention de la conformité.
La grande nouveauté de la NIS2 est la responsabilité personnelle des dirigeants : il ne suffit plus de déléguer la cybersécurité à l'équipe technique. Le conseil doit approuver les mesures, les superviser et se former en la matière, car c'est lui qui en répond.
Il convient également de regarder au-delà de l'amende. Le coût réel d'un manquement — ou d'un incident mal géré — se limite rarement à la sanction financière : il comprend l'interruption d'activité, la perte de contrats avec des clients exigeant des garanties de sécurité, le préjudice réputationnel d'une sanction publiée nominativement et, de plus en plus, la difficulté d'accéder à des assurances cyber dans des conditions raisonnables. Vu sous cet angle, investir dans la conformité NIS2 n'est pas une dépense réglementaire, mais une manière de protéger la continuité et la réputation de l'activité. Les organisations qui le comprennent comme une amélioration de leur résilience — et non comme une case à cocher — sont celles qui obtiennent un retour réel sur l'effort consenti.
La NIS2 en Espagne : état de la transposition en 2026
Il convient d'être précis, car il existe beaucoup de confusion à ce sujet. La date limite pour transposer la NIS2 dans l'ordre juridique national était le 17 octobre 2024, et l'Espagne ne l'a pas respectée. La Commission européenne a ouvert une procédure d'infraction et, en 2025, a porté l'affaire devant la Cour de justice de l'UE, aux côtés d'autres États membres également en retard.
À la date de 2026, la situation est celle d'une transposition partielle et en cours : l'Espagne a progressé grâce au Real Decreto-ley 7/2025 et a en cours d'examen l'Avant-projet de loi de coordination et de gouvernance de la cybersécurité, approuvé par le Conseil des ministres en janvier 2025 et encore en attente de débat parlementaire. Cet avant-projet crée un Centre national de cybersécurité (CNC) comme organe de direction et de coordination de la politique nationale et point de contact unique auprès de l'UE et de l'ENISA.
La conclusion pratique pour les entreprises est claire : bien que le cadre juridique national ne soit pas encore arrêté, la NIS2 opère déjà comme référence de facto. Régulateurs, opérateurs d'infrastructures critiques et grandes entreprises industrielles prennent des décisions fondées sur ses principes, et attendre la loi définitive pour commencer à se préparer est une erreur de calcul. Vérifiez toujours l'état actualisé de la réglementation, car le calendrier législatif peut évoluer.
NIS2 face à l'ancienne Directive NIS : ce qui change
Comprendre ce qu'apporte la NIS2 par rapport à son prédécesseur aide à dimensionner l'effort. La NIS originale de 2016 a été la première tentative d'harmoniser la cybersécurité européenne, mais elle s'est révélée insuffisante : elle couvrait peu de secteurs, laissait une grande marge d'interprétation à chaque État et disposait d'une capacité sanctionnatrice très limitée. La NIS2 corrige ces lacunes sur quatre fronts :
- Un champ plus large. Elle passe d'une poignée d'opérateurs de services essentiels à 18 secteurs et des milliers d'entités, incluant des entreprises de taille intermédiaire qui en étaient précédemment exclues.
- Des exigences plus concrètes. Elle définit un ensemble minimal de mesures de gestion des risques, plutôt que des principes génériques.
- Des sanctions réelles. Elle introduit des amendes comparables à celles du RGPD et, surtout, la responsabilité personnelle de la direction.
- Chaîne d'approvisionnement. Elle oblige à prendre en compte la sécurité des fournisseurs, une dimension pratiquement absente de la norme précédente.
En résumé, la NIS2 transforme des recommandations en obligations exigibles, avec des conséquences tangibles pour ceux qui ne s'y conforment pas.
Comment se préparer à la NIS2 étape par étape
S'adapter à la NIS2 est un projet structuré, non une course de dernière minute. Une feuille de route réaliste suit ces étapes :
- Déterminez si vous êtes assujettis. Analysez votre secteur, votre taille et votre position dans la chaîne d'approvisionnement des entités concernées. Un doute raisonnable est déjà une raison suffisante pour commencer à se préparer, car le champ d'application est plus large que ce que beaucoup d'entreprises supposent.
- Réalisez une analyse des écarts. Comparez vos mesures actuelles avec les exigences de la directive et identifiez les lacunes.
- Mettez en place des mesures techniques et organisationnelles proportionnées au risque : gestion des incidents, continuité d'activité, contrôle des accès, chiffrement et sécurité des fournisseurs.
- Établissez le processus de notification des incidents avec les délais de 24 et 72 heures, et désignez des responsables clairement identifiés.
- Impliquez la direction. Formez le conseil d'administration et définissez son rôle dans l'approbation et la supervision des mesures, car la responsabilité lui incombe.
Chez Technova Partners, nous accompagnons les entreprises dans cette démarche avec méthode, en articulant la conformité avec une stratégie de cybersécurité durable. Vous pouvez commencer par notre guide de cybersécurité pour entreprises et, si votre organisation utilise également l'IA, par la réglementation de l'IA et l'AI Act en Espagne, une réglementation complémentaire.
Questions fréquentes sur la Directive NIS2
Mon entreprise est-elle tenue de se conformer à la NIS2 ? Cela dépend de votre secteur et de votre taille. Elle s'applique aux entités de 18 secteurs stratégiques dépassant le seuil de moyenne entreprise (50 employés ou 10 millions d'euros de chiffre d'affaires), avec des exceptions pour les PME dans les secteurs critiques. Par ailleurs, vous pouvez être indirectement concernés si vous êtes fournisseur d'une entité assujettie.
Que se passe-t-il si l'Espagne n'a pas encore achevé la transposition ? Bien que la loi nationale ne soit pas encore arrêtée, la directive fixe déjà le standard et les grands opérateurs l'appliquent de facto. Se préparer maintenant réduit le risque et le coût d'une adaptation dans l'urgence lorsque la norme entrera pleinement en vigueur.
Quel est le délai pour notifier un incident ? Trois jalons : une alerte précoce dans les 24 heures, une notification détaillée dans les 72 heures et un rapport final dans le mois suivant la détection de l'incident significatif.
Qui est responsable de la conformité au sein de l'entreprise ? La direction générale. La NIS2 établit que les organes de direction doivent approuver et superviser les mesures de cybersécurité, et peuvent être mis en cause personnellement en cas de manquement grave. La cybersécurité ne relève plus uniquement du département technique.
Quelle relation existe-t-il entre la NIS2 et la norme ISO 27001 ? Elles sont complémentaires. La norme ISO 27001 est un standard de gestion de la sécurité de l'information qui, correctement mis en œuvre, couvre une grande partie des mesures techniques et organisationnelles exigées par la NIS2. Disposer d'un système de management fondé sur l'ISO 27001 facilite considérablement la démonstration de la conformité à la directive, bien qu'il ne s'y substitue pas automatiquement.
La NIS2 affecte-t-elle mon entreprise si je suis uniquement fournisseur d'une entité assujettie ? Oui, indirectement. La NIS2 accorde une grande importance à la sécurité de la chaîne d'approvisionnement, de sorte que les entités assujetties transfèrent des exigences de cybersécurité à leurs fournisseurs par voie contractuelle. Même si votre entreprise n'est pas directement dans le champ de la norme, elle peut se trouver dans l'obligation de respecter des exigences équivalentes pour maintenir ses relations clients.
Conclusion
La Directive NIS2 redéfinit la cybersécurité comme une obligation de gouvernance aux conséquences bien réelles. En résumé :
- Elle s'applique à 18 secteurs stratégiques et aux entreprises dépassant le seuil de moyenne entreprise, ainsi qu'à leur chaîne d'approvisionnement.
- Elle impose une gestion des risques et une notification des incidents dans des délais de 24 heures, 72 heures et un mois.
- Les sanctions atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial, avec responsabilité personnelle de la direction.
- En Espagne, la transposition est en cours en 2026, mais la NIS2 opère déjà comme référence de facto : attendre n'est pas une option.
Le moment de commencer n'est pas la publication de la loi définitive ni l'arrivée d'une première exigence client, mais bien avant : une cybersécurité solide se construit dans la durée, pas dans l'urgence. Vous souhaitez savoir si votre entreprise est assujettie à la NIS2 et préparer un plan de conformité réaliste ? Parlez à notre équipe et nous vous aiderons à transformer cette obligation en une cybersécurité renforcée et en un avantage concurrentiel.
