Logo Complikey
Accueil
Produits
Normes
Consultants
Tarifs
Blog
Contact
Planifier une démo

NIS2 : le règlement d’exécution est déjà applicable (n’attendez pas la loi nationale)

Par AlexV
Le 19/01/2026

NIS2 n’attend pas votre loi nationale : le règlement d’exécution est déjà applicable

En 2025, une confusion persiste encore dans de nombreuses organisations européennes :

👉 assimiler la directive NIS2 à l’ensemble des obligations applicables.

C’est une erreur de gouvernance.

Car si la directive NIS2 doit bien être transposée dans le droit national, son règlement d’exécution européen est, lui, déjà applicable, sans attendre aucune loi française, belge ou autre.


Directive NIS2 vs règlement d’exécution : deux textes, deux logiques juridiques

📜 La directive NIS2 (UE 2022/2555)

  1. fixe un cadre général,
  2. doit être transposée par chaque État membre,
  3. laisse une marge d’interprétation nationale.

👉 Tant que la transposition n’est pas finalisée, certaines obligations peuvent sembler “en attente”.

⚖️ Le règlement d’exécution NIS2

Depuis l’automne 2024, la Commission européenne a adopté un règlement d’exécution précisant :

  1. les mesures techniques et organisationnelles minimales de gestion des risques cyber,
  2. les critères définissant un incident significatif devant être notifié.

📌 Juridiquement, un règlement européen est :

  1. d’application directe,
  2. obligatoire dans tous les États membres,
  3. sans transposition nationale.

👉 Attendre une loi nationale pour agir revient donc à ignorer un texte déjà opposable.


Ce que le règlement d’exécution change concrètement

Le règlement d’exécution vient combler l’un des angles morts de la directive :

le niveau de précision opérationnelle.

Il apporte notamment :

  1. une définition plus claire des attendus techniques (gestion des accès, sauvegardes, journalisation, continuité, gestion des vulnérabilités),
  2. une lecture homogène européenne des incidents “significatifs” à notifier,
  3. une base commune pour les contrôles futurs des autorités compétentes.

📎 Source : Commission européenne – règlement d’exécution NIS2, 2024


À qui s’applique ce règlement en priorité ?

Le texte cible explicitement plusieurs catégories dès maintenant, indépendamment du calendrier national :

  1. fournisseurs cloud,
  2. data centers,
  3. MSP / MSSP,
  4. opérateurs DNS,
  5. prestataires de services numériques critiques,
  6. prestataires de confiance.

👉 Si vous êtes dans ce périmètre, ce règlement constitue déjà votre socle technique européen minimal.

Il ne remplace pas la directive NIS2 :

il en précise l’exécution concrète.


Ce que ce règlement n’est pas (et c’est essentiel)

Le règlement d’exécution NIS2 n’est pas :

  1. un guide théorique,
  2. une recommandation optionnelle,
  3. une annexe “à lire plus tard”.

C’est une exigence normative européenne, avec :

  1. des critères techniques opposables,
  2. une logique de preuve,
  3. une vocation à servir de référence lors des contrôles.

Selon l’ENISA (Threat Landscape 2024–2025), l’un des principaux échecs des organisations face aux réglementations cyber reste l’absence de traduction opérationnelle des exigences européennes .


Le vrai sujet pour les directions et RSSI

La mauvaise question est encore trop souvent :

« Sommes-nous conformes à NIS2 ? »

La bonne question est désormais :

👉 Sommes-nous capables de démontrer, aujourd’hui, que nos mesures et notre gestion des incidents répondent déjà au règlement d’exécution européen ?

Cela implique :

  1. des mesures réellement en place,
  2. une documentation à jour,
  3. des responsabilités identifiées,
  4. un suivi dans le temps.

👉 C’est un sujet de pilotage, pas de déclaration.


Pourquoi le règlement d’exécution impose un changement de posture

Le texte pousse clairement vers :

  1. une approche fondée sur les risques,
  2. une traçabilité continue,
  3. une capacité de reporting rapide et fiable,
  4. une gouvernance cyber assumée au niveau direction.

📊 Le WEF Cyber Outlook 2025 souligne que les organisations capables de démontrer leur posture cyber en continu sont celles qui résistent le mieux aux contrôles et aux crises .


CompliKey : piloter NIS2 comme un sujet européen, pas national

CompliKey permet précisément de traiter NIS2 au bon niveau :

  1. 📋 intégration des exigences issues du règlement d’exécution,
  2. 📊 tableaux de bord de conformité et d’écarts,
  3. 📁 centralisation des preuves et procédures,
  4. 🔄 suivi des incidents et obligations de notification,
  5. 🧾 livrables prêts pour contrôle ou audit.

👉 CompliKey aide les organisations à se conformer au texte applicable aujourd’hui, pas à attendre celui de demain.

COMPLIKEY
La méthode de supervision cyber incarnée
dans un logiciel
  • Tableau de conformité centralisé
  • Plan de traitement des risques & analyse
  • Tableaux de bord & KPIs en temps réel
  • Guidage et automatisation des revues/documentation
Plus d'informations
Logo complikey
COMPLIKEY
LinkedIn
Copyright 2026 CompliKey - Tous droits réservés.
Liens Utiles
Produits
Normes
Consultants
Contact
À propos de nous
Mentions légales
CGU
CGV
Politique de confidentialité
Politique de cookies