règlement d’exécution NIS2 (UE) 2024/2690 : à qui s’applique-t-il et que change-t-il en France ?

🛡️ Pourquoi ce texte est un “vrai” déclencheur (même en France)

Beaucoup d’organisations attendent la loi française de transposition de NIS2 pour agir. Problème : le règlement d’exécution (UE) 2024/2690 est un règlement européen, donc d’application directe dans tous les États membres, y compris en France. Il précise (1) des exigences techniques et méthodologiques de mesures de gestion des risques cyber et (2) des critères pour qualifier un incident de “significatif” pour certaines catégories d’acteurs du numérique.

En parallèle, la France finalise la transposition via un projet de loi dédié (résilience des infrastructures critiques / cybersécurité), déjà passé au Sénat et examiné côté Assemblée nationale.

🚨 ce que le règlement d’exécution NIS2 est (et n’est pas)

📌 Ce que c’est

Le règlement d’exécution 2024/2690 “met à plat” des attendus concrets (mesures et méthode) pour un périmètre précis d’acteurs numériques, et harmonise le niveau minimal attendu au niveau UE.

🚫 Ce que ce n’est pas

Ce n’est pas une simple annexe optionnelle ni un guide. C’est un texte contraignant, publié au Journal officiel de l’UE.

🎯 pour qui : les catégories explicitement visées

Le règlement cible en priorité des prestataires “socle” du numérique (et certaines plateformes), notamment :

1. fournisseurs DNS et registres TLD,
2. cloud computing, data centers, CDN,
3. managed service providers (MSP) et managed security service providers (MSSP),
4. marketplaces, moteurs de recherche, réseaux sociaux,
5. prestataires de services de confiance (trust services).

👉 Concrètement : si vous êtes hébergeur / cloud / infogéreur / MSP-MSSP / DNS / datacenter, ce règlement vous concerne directement dans votre rôle d’acteur critique de la chaîne numérique.

Comment ça s’applique en France (et pourquoi ce n’est pas “théorique”)

⚖️ 1) application directe du règlement

Un règlement européen s’applique tel quel, sans transposition nationale. La loi française sert surtout à organiser (désignation des autorités, contrôles, sanctions nationales, procédures), pas à “rendre applicable” le règlement.

🏛️ 2) la transposition NIS2 en France structure le contrôle

La France avance via le projet de loi “résilience des infrastructures critiques et renforcement de la cybersécurité”. C’est ce cadre qui rendra l’écosystème plus lisible sur : “qui est entité essentielle/importante”, “qui contrôle quoi”, “comment se passent les audits”.

🧾 3) signal faible devenu fort : pré-enregistrement ANSSI

L’ANSSI met à disposition un pré-enregistrement pour préparer l’enregistrement futur des entités concernées, signe clair d’accélération opérationnelle côté France.

🧩 ce que le règlement exige vraiment : l’esprit “preuve + méthode” (pas juste des intentions)

🧭 mesures de gestion des risques : attendus techniques + approche proportionnée

Le règlement encadre des exigences “techniques et méthodologiques” et insiste sur une mise en œuvre proportionnée (exposition au risque, taille, impact).

Ce que cela implique sur le terrain (exemples typiques) :

1. formaliser une politique de gestion des risques cyber et son cycle de revue,
2. sécuriser contrôles d’accès, comptes à privilèges, MFA là où pertinent,
3. gérer vulnérabilités (collecte, priorisation, remédiation, preuves),
4. renforcer journalisation / détection / réponse,
5. maîtriser la supply-chain (contrats, exigences, contrôle),
6. garantir continuité (sauvegardes, tests, PRA/PCA),
7. produire de la documentation défendable (qui fait quoi, quand, comment on prouve).

🔎 incidents “significatifs” : critères plus cadrés pour les acteurs visés

Le règlement “précise plus en détail les cas” où un incident est considéré comme significatif pour ces catégories. Autrement dit : moins de flou, plus de critères opposables.

✅ comment vous mettre en ordre de marche en 30 jours (sans attendre la loi française)

🔍 1) qualifier votre appartenance au périmètre

Votre activité correspond-elle à une catégorie explicitement listée (cloud, MSP/MSSP, datacenter, DNS, etc.) ? Si oui, partez du principe que vous devez déjà vous aligner sur ce socle UE.

🧱 2) transformer le règlement en “plan de contrôle” interne

L’erreur classique : “on lit le texte, on se dit qu’on verra plus tard”. La bonne approche : mapper les exigences du règlement en domaines de contrôle (accès, vulnérabilités, logs, continuité, tiers…) et assigner un propriétaire + un rythme de revue.

📁 3) construire les preuves au fil de l’eau

En audit, ce n’est pas votre intention qui compte : c’est votre capacité à montrer des éléments datés et cohérents (revues, journaux, CR, tickets de remédiation, comptes rendus de tests PRA, validations de politiques).

🧭 4) anticiper la relation à l’ANSSI

Si vous êtes dans le scope, surveillez les communications officielles NIS2 et les démarches de pré-enregistrement : cela structure l’entrée en conformité côté France.

🌟 ce que CompliKey change (concret, sans blabla)

CompliKey est pensé comme un centre de pilotage : vous y structurez vos exigences (NIS2 + règlement d’exécution), vos mesures, vos responsables, vos revues et vos preuves dans un référentiel unique, pour passer de “on pense être conformes” à “on peut le démontrer” — sans dépendre d’un tableur ou de dossiers dispersés.

Si tu me dis ton type d’activité (cloud, MSP/MSSP, SaaS, hébergeur, etc.) et ton pays d’établissement, je te fais une lecture “périmètre → obligations du règlement → preuves minimales attendues” en mode opérationnel.