NIS2 : ce que la directive change pour les DSI et leurs prestataires
La directive NIS2 élargit les obligations de cybersécurité à de nombreuses entités. Repères concrets sur ses exigences et leurs impacts pour une DSI.

La directive NIS2 marque une étape importante dans le renforcement de la cybersécurité en Europe. Elle élargit sensiblement le périmètre des organisations concernées, relève le niveau d'exigence et responsabilise davantage les directions. Pour une DSI et ses prestataires, NIS2 n'est pas qu'un sujet juridique : c'est une grille de lecture des chantiers de sécurité à mener. Cet article propose des repères factuels sur l'esprit du texte et ses implications concrètes, sans se substituer à une analyse de conformité menée avec les fonctions compétentes.
Une directive au périmètre élargi
NIS2 succède à une première directive en étendant son champ d'application. Là où le texte initial visait un nombre restreint d'acteurs, NIS2 concerne un éventail beaucoup plus large de secteurs et d'entités, y compris des organisations de taille intermédiaire qui ne se considéraient pas jusqu'ici comme régulées sur le plan cyber.
Cette extension change la donne. Beaucoup d'organisations découvrent qu'elles entrent dans le périmètre et doivent structurer une démarche de sécurité qu'elles abordaient jusque-là de façon informelle. La première étape consiste donc à déterminer si l'on est concerné, et à quel niveau.
Des exigences de fond, pas seulement formelles
L'esprit de NIS2 rejoint celui d'autres textes comme DORA dans la finance : passer d'une sécurité subie à une sécurité pilotée. Les exigences portent sur plusieurs domaines complémentaires, présentés ici de façon générale.
- La gouvernance du risque : la sécurité devient une responsabilité de la direction, pas seulement de la DSI.
- La gestion des risques cyber : identifier, évaluer et traiter les risques de façon structurée et documentée.
- La gestion des incidents : détecter, traiter et notifier les incidents significatifs selon des modalités définies.
- La continuité d'activité : préparer la résilience et la reprise en cas d'incident majeur.
- La sécurité de la chaîne d'approvisionnement : maîtriser les risques liés aux fournisseurs et prestataires.
Ces domaines se renforcent mutuellement. On retrouve une logique proche de celle décrite dans notre article sur DORA et la résilience opérationnelle : la conformité n'est pas une case à cocher, mais une manière d'organiser durablement la sécurité.
La responsabilité des dirigeants
Un apport marquant de NIS2 est la responsabilisation des instances de direction. La cybersécurité ne peut plus être déléguée entièrement à la technique. Les dirigeants doivent comprendre les risques, approuver les mesures et s'assurer de leur mise en oeuvre.
Concrètement, cela impose de faire remonter le sujet au bon niveau, de disposer d'indicateurs lisibles par une direction non technique et de tracer les décisions prises. La sécurité devient un sujet de gouvernance d'entreprise.
La chaîne d'approvisionnement sous surveillance
NIS2 insiste sur les risques liés aux tiers. Une organisation peut être parfaitement sécurisée en interne et rester exposée par un prestataire mal maîtrisé. Le texte invite donc à considérer la chaîne d'approvisionnement comme une composante du risque.
Pour les prestataires intervenant dans ces environnements, l'exigence monte d'un cran. La capacité à démontrer ses propres pratiques de sécurité, à documenter ses interventions et à respecter les contraintes du client devient un critère de choix déterminant. Cette vigilance sur les tiers prolonge la démarche de cartographie des risques, qui inclut désormais les dépendances externes.
Par où commencer
Face à NIS2, la tentation est de se précipiter sur des outils. L'approche raisonnée est inverse : commencer par comprendre son exposition, puis structurer méthodiquement.
- Déterminer si l'on est concerné et à quel niveau d'exigence.
- Cartographier les risques et les actifs critiques, en incluant les prestataires.
- Évaluer l'écart entre les pratiques actuelles et les attentes du texte.
- Prioriser les chantiers selon le risque réel et les contraintes.
- Documenter et tracer les mesures, pour pouvoir en démontrer la maîtrise.
Pour beaucoup d'organisations, ces chantiers ne partent pas de zéro. Il s'agit surtout de rendre cohérent, formalisé et vérifiable ce qui existait déjà de façon dispersée.
Une exigence durable
NIS2 confirme une tendance de fond : la cybersécurité n'est plus optionnelle, et elle se pilote au niveau de la gouvernance. L'esprit du texte importe autant que sa lettre. Le détail précis des obligations relève d'une analyse au cas par cas, à mener avec les fonctions conformité et juridiques concernées.
Chez RB Conseil IT, nous accompagnons les équipes IT sur la cybersécurité et la gouvernance avec des profils qui relient sécurité, exploitation, traçabilité et contraintes métier. Pour faire le point sur votre exposition et vos chantiers prioritaires, contactez-nous.

