What is the NIS2 Directive?

NIS2 (Directive 2022/2555) is the EU's updated cybersecurity regulation. It replaces the original NIS Directive and significantly expands the scope of organisations that must comply with cybersecurity requirements. It covers essential and important entities across 18 sectors.

When is the NIS2 deadline?

NIS2 entered into force on January 16, 2023. Member states had until October 17, 2024 to transpose it into national law. Many countries missed this deadline — Germany's NIS2UmsuCG entered into force on December 6, 2025. Affected entities must comply from the date their national law takes effect.

Who is affected by NIS2?

NIS2 applies to essential entities (energy, transport, banking, health, water, digital infrastructure, ICT service management, public administration, space) and important entities (postal services, waste management, chemicals, food, manufacturing, digital providers, research). Generally: organisations with 50+ employees or €10M+ annual turnover in these sectors.

What are the penalties for NIS2 non-compliance?

Essential entities face fines up to €10 million or 2% of global annual turnover (whichever is higher). Important entities face fines up to €7 million or 1.4% of global annual turnover. Management can be held personally liable.

What does NIS2 require for websites and digital services?

NIS2 Art. 21 requires risk-based security measures including: encryption in transit (HTTPS/TLS), access control, incident detection and reporting (24h early warning, 72h notification), supply chain security, business continuity, and regular security assessments. SiteGuardian monitors these technical requirements continuously.

Directive UE 2022/2555

Conformité NIS2.
Surveillance continue, preuves documentées.

La directive NIS2 oblige les organisations de 18 secteurs à mettre en œuvre des mesures de cybersécurité — sous peine d'amendes jusqu'à 10 M€. Les lois nationales entrent désormais en vigueur dans toute l'UE.

Directive UE

En vigueur

Depuis le 16 janvier 2023

Transposition nationale

En cours

Date limite : 17 octobre 2024

Allemagne (NIS2UmsuCG)

En vigueur

Depuis le 6 décembre 2025

Les entités concernées doivent se conformer à partir de la date d'entrée en vigueur de leur loi nationale. Vérifiez l'état de transposition de votre pays.

Scannez votre site maintenant Vérifiez quelles règles s'appliquent

La NIS2 s'applique-t-elle à vous ?

NIS2 s'applique aux entités essentielles et importantes dans 18 secteurs. Si votre organisation compte plus de 50 employés ou un chiffre d'affaires supérieur à 10 M€ dans l'un de ces secteurs, vous êtes probablement concerné.

Énergie

Essentiel

Transport

Essentiel

Banques

Essentiel

Santé

Essentiel

Infrastructure numérique

Essentiel

Services TIC

Essentiel

Chimie

Important

Industrie manufacturière

Important

Services postaux

Important

Cloud / SaaS

Important

Alimentation

Important

Recherche

Important

Le coût de la non-conformité

Entités essentielles

€10M

ou 2 % du chiffre d'affaires annuel mondial

le montant le plus élevé étant retenu

Entités importantes

€7M

ou 1,4 % du chiffre d'affaires annuel mondial

le montant le plus élevé étant retenu

La direction peut être tenue personnellement responsable en vertu de l'Art. 20 de la NIS2.

Ce que NIS2 exige — et ce que SiteGuardian surveille

L'Art. 21 de NIS2 définit 10 mesures de gestion des risques en cybersécurité. SiteGuardian surveille en continu les mesures techniques.

Art. 21(2)(a)

Analyse des risques et politiques de sécurité

Surveillé

SiteGuardian fournit un scoring continu de la posture de sécurité, la validation DNSSEC, la vérification de la divulgation des vulnérabilités (security.txt), la dissimulation de version serveur et un journal d'audit immuable avec détection de falsification par chaîne de hachage.

Art. 21(2)(b)

Gestion des incidents

Surveillé

SiteGuardian détecte les incidents en temps réel, prend en charge les workflows de signalement conformes au NIS2 (alerte précoce 24h, notification 72h, rapport final 30 jours) et génère des rapports d'incident pré-remplis pour votre CSIRT national.

Art. 21(2)(c)

Continuité d'activité

SiteGuardian surveille la disponibilité depuis plusieurs régions et alerte en cas de panne. La gestion des sauvegardes, les plans de reprise après sinistre et la gestion de crise nécessitent des mesures organisationnelles.

Art. 21(2)(d)

Sécurité de la chaîne d'approvisionnement

Surveillé

SiteGuardian classifie les moniteurs en infrastructure propre, fournisseurs et partenaires. Il évalue la posture de sécurité des fournisseurs, vérifie l'application de DMARC/SPF/DKIM et suit le risque de concentration dans la chaîne d'approvisionnement sur 5 niveaux de maturité.

Art. 21(2)(e)

Développement sécurisé

SiteGuardian surveille la qualité de la Content Security Policy, détecte les directives unsafe-inline/unsafe-eval et vérifie les en-têtes de sécurité contre les attaques par injection. Les processus SDLC sécurisés nécessitent des mesures organisationnelles.

Art. 21(2)(f)

Évaluation de l'efficacité

Surveillé

SiteGuardian suit votre score de conformité dans le temps, génère des rapports de tendance sur 90 jours et fournit des comparaisons avant/après pour mesurer l'efficacité de vos améliorations de sécurité.

Art. 21(2)(g)

Cyber-hygiène et formation

Surveillé

SiteGuardian surveille en continu l'hygiène cyber technique : application du HTTPS, HSTS, en-têtes de sécurité, MFA et durcissement DNS. Les programmes de formation et de sensibilisation nécessitent des mesures organisationnelles au-delà du monitoring automatisé.

Art. 21(2)(h)

Cryptographie et chiffrement

Surveillé

SiteGuardian valide l'application de TLS 1.2+, détecte les protocoles obsolètes et les suites de chiffrement faibles, vérifie la confidentialité persistante (PFS), surveille la validité des certificats SSL et vérifie la disponibilité au préchargement HSTS.

Art. 21(2)(i)

Contrôle d'accès et gestion des actifs

SiteGuardian impose le MFA (TOTP/SSO) sur tous les comptes, fournit un contrôle d'accès basé sur les rôles et maintient un inventaire des actifs de tous les services surveillés. Les politiques de sécurité RH nécessitent des mesures organisationnelles.

Art. 21(2)(j)

Authentification multifacteur

Surveillé

SiteGuardian exige TOTP ou Google SSO pour l'accès à la plateforme, surveille le statut MFA de tous les membres de l'équipe et vérifie les canaux de communication chiffrés (TLS, DANE, MTA-STS) pour le transport des e-mails.

Commencez à vous préparer dès aujourd'hui

Scannez votre site web pour voir où vous en êtes. SiteGuardian associe chaque résultat aux articles NIS2 — pour que vous sachiez exactement quoi corriger.

Scan de sécurité gratuit Voir les offres de conformité

Gratuit pour toujours pour 1 moniteur. Aucune carte bancaire requise.

Questions fréquentes

Qu'est-ce que la directive NIS2 ?

NIS2 (Directive 2022/2555) est la réglementation européenne actualisée en matière de cybersécurité, remplaçant la directive NIS originale. Elle élargit considérablement le champ d'application à 18 secteurs et introduit des exigences plus strictes en matière de signalement d'incidents, de gestion des risques et de sécurité de la chaîne d'approvisionnement.

Quand NIS2 entre-t-elle en vigueur ?

NIS2 est entrée en vigueur le 16 janvier 2023. Les États membres avaient jusqu'au 17 octobre 2024 pour la transposer en droit national. De nombreux pays ont manqué ce délai — le NIS2UmsuCG allemand est entré en vigueur le 6 décembre 2025. Les entités concernées doivent se conformer à partir de l'entrée en vigueur de leur loi nationale.

La directive NIS2 s'applique-t-elle à mon entreprise ?

Si votre organisation compte plus de 50 employés ou un chiffre d'affaires annuel supérieur à 10 M€ et opère dans l'un des 18 secteurs listés (énergie, transports, banques, santé, infrastructure numérique, TIC, industrie, etc.), vous êtes probablement concerné. Utilisez notre outil de vérification pour le savoir.

Quels sont les délais de signalement ?

Selon l'Art. 23 de NIS2 : 24 heures pour une alerte précoce, 72 heures pour la notification formelle de l'incident et 1 mois pour le rapport final. SiteGuardian suit automatiquement ces délais lorsqu'un incident est ouvert.

Comment SiteGuardian aide-t-il avec NIS2 ?

SiteGuardian surveille en continu la posture de sécurité de votre site web (chiffrement, en-têtes, DNS, authentification email) et associe les résultats aux articles NIS2. En cas d'incident, il classifie l'impact réglementaire et suit les délais de notification. Les rapports de conformité documentent vos mesures pour les auditeurs.

Conformité NIS2. Surveillance continue, preuves documentées.

La NIS2 s'applique-t-elle à vous ?

Le coût de la non-conformité

Ce que NIS2 exige — et ce que SiteGuardian surveille

Analyse des risques et politiques de sécurité

Gestion des incidents

Continuité d'activité

Sécurité de la chaîne d'approvisionnement

Développement sécurisé

Évaluation de l'efficacité

Cyber-hygiène et formation

Cryptographie et chiffrement

Contrôle d'accès et gestion des actifs

Authentification multifacteur

Commencez à vous préparer dès aujourd'hui

Questions fréquentes

Êtes-vous sûr ?

Conformité NIS2.
Surveillance continue, preuves documentées.