Ce que « proportionné » signifie réellement dans l'art. 21(1) NIS 2
Le mot le plus utile de NIS 2 est « proportionné ». C'est la ligne qui sépare une mise en œuvre qu'un Mittelstand de 60 personnes peut soutenir d'un coût de théâtre d'audit qu'aucune Geschäftsführung n'approuvera.
Pourquoi la proportionnalité est le mot porteur
La plupart des équipes abordent l'art. 21 NIS 2 comme une liste de contrôle de dix mesures de cybersécurité. La directive ne dit pas cela. Elle dit que les entités doivent prendre des mesures appropriées et proportionnées, et l'art. 21(1) énumère six facteurs qui déterminent ce que proportionné signifie dans votre cas précis.
Cela compte dans deux directions. Vers le haut : cela permet à un Stadtwerk de 60 personnes d'opérer sans la pile GRC d'une banque de 5000 personnes. Vers le bas : cela vous oblige à écrire pourquoi votre niveau est suffisant. La proportionnalité n'est pas une clause échappatoire, c'est un choix documenté.
Les lecteurs novices passent souvent à côté parce que le mot sonne comme une couverture. C'est l'inverse. La proportionnalité est le seul ancrage juridique pour adapter NIS 2 à un budget Mittelstand, et c'est la seule défense face à un auditeur qui suggère que vous auriez dû en faire davantage.
Art. 21(1) NIS 2 (opératoire)
Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services.
Le même paragraphe énumère six facteurs qui déterminent la proportionnalité : le degré d'exposition de l'entité aux risques, la taille de l'entité, la probabilité de survenance des incidents et leur gravité, y compris leur impact sociétal et économique, l'état de l'art et le coût de mise en œuvre. Les six sont des éléments de décision, aucun n'est facultatif.
Considérant 79 NIS 2
Cybersecurity risk-management measures should be commensurate with the degree of exposure to risks of the entity concerned and the societal and economic impact that an incident would have.
Le considérant 79 est le cadre interprétatif. Il indique aux juges et aux auditeurs qu'une petite entité à faible empreinte transfrontalière n'est pas tenue d'égaler un grand opérateur paneuropéen.
CIR 2024/2690, art. 1
This Regulation lays down the technical and the methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555 with regard to the entities listed in the Annex.
Le règlement d'exécution ne quantifie les mesures que pour un ensemble restreint de fournisseurs d'infrastructure numérique (DNS, TLD, cloud, centre de données, CDN, MSP, MSSP, place de marché, moteur de recherche, plateforme sociale, services de confiance). Tous les autres appliquent la proportionnalité sans ces seuils quantitatifs.
Degré d'exposition aux risques
Quelle est la surface de menace réelle ? Un service d'eau potable doté uniquement d'un segment SCADA se trouve dans une position différente d'un hôpital ayant des dossiers de patients sur l'internet ouvert.
Taille de l'entité
Effectif, chiffre d'affaires, portée de marché. La directive attend des contrôles différents de 60 salariés et de 6000 salariés. Les deux peuvent être conformes.
Probabilité et gravité des incidents
Taux d'incidents historique, intérêt des acteurs de la menace pour le secteur, gravité si cela survient. Un fabricant pharmaceutique est confronté à des probabilités différentes d'un courtier en logistique.
Impact sociétal et économique
Qui est lésé lorsque vous défaillez. Un exploitant de réseau électrique a une densité d'impact par défaillance plus élevée qu'une entreprise SaaS B2B. Ce facteur tire vers des mesures plus lourdes même dans de petites entités.
État de l'art
Quelle est la base technique qu'un pair raisonnable déploierait. La MFA en 2026 est l'état de l'art pour l'accès administrateur ; le stockage de mots de passe en SHA-1 ne l'est pas.
Coût de mise en œuvre
Documenté explicitement à l'art. 21(1). Vous ne pouvez pas omettre une mesure parce qu'elle est coûteuse, mais vous pouvez choisir une voie moins coûteuse si elle atteint l'objectif de sécurité.
Stadtwerk, 80 salariés, distribution d'énergie
Secteur de l'annexe I, dans le champ d'application quelle que soit sa taille s'il fournit des services essentiels. Pile proportionnée : MFA sur l'accès administrateur et OT, réseau OT segmenté, clauses contractuelles écrites avec les fournisseurs, exercice d'incident annuel, registre des risques documenté. Pas de SOC, pas de SIEM en service géré. Défendable parce que l'exposition est sectorielle mais l'effectif est faible.
Hôpital, 200 salariés, clinique régionale
Secteur de la santé de l'annexe I. La pile proportionnée ajoute : chiffrement au repos des données de patients, audit des fournisseurs d'informatique clinique, astreinte 24/7 pour la réponse à incident, politique formelle de classification des incidents. Plus lourde que le Stadtwerk parce que l'impact sociétal par défaillance est plus élevé et que la surface de menace est plus large.
Une analyse de proportionnalité écrite
Parcourez les six facteurs, énoncez votre position sur chacun, justifiez pourquoi la profondeur de mesure obtenue est suffisante. Une page suffit pour une entité de 60 personnes.
Un relevé coûts-bénéfices par étape omise
Si une entité pair fait X et que vous ne le faites pas, documentez pourquoi. L'état de l'art (Stand der Technik) plus le coût est une raison légitime. Le silence ne l'est pas.
Une revue annuelle
Les décisions de proportionnalité se périment. Le paysage de la menace évolue, votre taille change, la pratique des pairs se déplace. Réénoncez votre position au moins une fois par an.
- Directive (UE) 2022/2555 (NIS 2), art. 21(1) et considérant 79, www.eur-lex.europa.eu
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), art. 1, www.eur-lex.europa.eu
- Loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG), § 30 (transposition nationale de l'art. 21), www.gesetze-im-internet.de
- ENISA Technical Implementation Guidance v1.0 (juin 2025) sur l'évaluation de la proportionnalité
Cette page fournit une orientation structurée fondée sur des sources accessibles au public (directive NIS 2, CIR 2024/2690, BSIG, ENISA TIG). Elle ne constitue pas un conseil juridique au sens du § 2 RDG. Pour des cas particuliers, consultez un avocat inscrit. À jour au 2026-06-04.