Blog
Réglementations

Directive NIS2 : impact concret sur vos processus KYC

NIS2 transposée en France : obligations cybersécurité pour les acteurs de la chaîne KYC, gestion des tiers, déclaration d'incidents, sanctions et plan d'action.
Gaël
May 25, 2026
Directive NIS2 : impact concret sur vos processus KYC

En bref — La directive NIS2 (UE) 2022/2555, transposée en France en 2024-2025, élargit le périmètre des entités soumises à des obligations de cybersécurité et durcit les sanctions (jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles). Pour la chaîne KYC, NIS2 se traduit par trois exigences clés : gouvernance cyber au niveau du conseil, gestion documentée des risques fournisseurs (le KYC est souvent sous-traité), et déclaration d'incident sous 24 h. Le contrôle est exercé par l'ANSSI.

NIS2 vs NIS1 : qui est concerné et à quel niveau ?

Critère NIS1 (2016) NIS2 (2022, applicable depuis 2024) Conséquence pour le KYC
Secteurs couverts 7 (énergie, transport, banque, santé, eau, marchés financiers, infrastructures numériques) 18 secteurs, dont fournisseurs de services numériques, gestion B2B IT, fournisseurs cloud, banque (élargie aux établissements de paiement et de monnaie électronique) Beaucoup d'éditeurs KYC/AML basculent en "entité importante"
Catégorisation OSE (opérateurs essentiels) Entités essentielles (EE) vs entités importantes (EI) selon la taille et le secteur EE = banques, EI = la plupart des éditeurs KYC > 50 personnes ou > 10 M€ CA
Sanctions max Variables 10 M€ ou 2 % du CA mondial (EE) / 7 M€ ou 1,4 % (EI) Niveau RGPD
Responsabilité dirigeants Indirecte Directe et personnelle (interdiction d'exercer possible) Le sujet remonte au COMEX
Notification incident Délais variés 24 h alerte précoce, 72 h rapport, 1 mois rapport final Process incident à industrialiser

Suis-je entité essentielle ou entité importante ?

Deux critères se combinent : secteur et taille.

  • Entités essentielles (EE) : grandes entreprises dans 11 secteurs critiques (énergie, banque, infrastructures financières, santé, eau potable, eau usée, infrastructures numériques, gestion services TIC B2B, administrations publiques, espace, transport).
  • Entités importantes (EI) : grandes entreprises dans 7 secteurs additionnels + moyennes entreprises dans tous les secteurs NIS2.

Seuils de taille : - Grande entreprise : ≥ 250 salariés OU CA > 50 M€ ET bilan > 43 M€. - Moyenne entreprise : ≥ 50 salariés ou CA > 10 M€ et bilan > 10 M€.

Concrètement, un éditeur KYC français de 80 salariés bascule en EI. Une banque française est EE quasi-systématiquement.

Pourquoi NIS2 vous concerne même si vous n'êtes pas directement couvert

Même si votre entité passe sous les seuils, NIS2 vous touche par effet de cascade fournisseur :

  • Vos clients EE/EI doivent évaluer le risque cyber de leur chaîne d'approvisionnement (article 21 NIS2).
  • Ils intégreront des clauses contractuelles cyber dans vos contrats : droit d'audit, obligations de patch, gestion des vulnérabilités, plan de continuité.
  • Une certification ISO 27001 ou équivalent devient un standard de marché.

Pour un fournisseur KYC, ne pas être prêt = perdre des appels d'offres.

Quelles sont les 10 mesures techniques NIS2 ?

L'article 21 de la directive impose dix mesures techniques minimales :

  1. Politiques d'analyse des risques et de sécurité des systèmes d'information.
  2. Gestion des incidents : détection, qualification, réponse, post-mortem.
  3. Continuité d'activité : sauvegardes, plan de reprise, gestion de crise.
  4. Sécurité de la chaîne d'approvisionnement (fournisseurs et sous-traitants).
  5. Sécurité dans l'acquisition, le développement et la maintenance des SI.
  6. Politiques et procédures d'évaluation de l'efficacité des mesures cyber.
  7. Pratiques d'hygiène cyber de base et formation.
  8. Politiques et procédures sur la cryptographie et le chiffrement.
  9. Sécurité des ressources humaines, gestion des accès, des actifs.
  10. Authentification multi-facteurs ou continue, communications sécurisées, communications d'urgence sécurisées.

Comment NIS2 impacte concrètement le KYC ?

Cinq impacts directs sur la chaîne KYC :

1. Authentification forte interne. Tous les agents qui consultent ou modifient des dossiers KYC doivent passer en MFA. Comptes à privilèges (administrateurs SI, conformité) en accès renforcé.

2. Chiffrement des données KYC en transit et au repos. Les pièces d'identité, justificatifs, données biométriques, screening AML doivent être chiffrés. Les clés doivent être gérées de manière séparée (KMS, HSM).

3. Gestion fournisseur formalisée. Si vous sous-traitez la vérification d'identité, le screening AML ou la lecture NFC, vous devez documenter le risque associé, négocier des SLA cyber, exiger des certifications.

4. Déclaration d'incident en 24 h. Si une fuite touche un dossier KYC, l'horloge réglementaire NIS2 démarre dès la prise de connaissance — pas dès l'incident lui-même. La cellule SOC doit savoir qualifier vite.

5. Tests d'intrusion réguliers sur les APIs et interfaces KYC, traçabilité des accès aux dossiers, journalisation immuable.

Qui contrôle et quelles sanctions ?

En France, l'ANSSI est désignée autorité compétente pour la majorité des secteurs (le superviseur sectoriel reste compétent pour le secteur bancaire — ACPR).

Le barème de sanctions :

  • Entités essentielles : jusqu'à 10 M€ ou 2 % du chiffre d'affaires consolidé mondial (le plus élevé des deux).
  • Entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial.
  • Responsabilité personnelle des dirigeants : interdiction temporaire d'exercer, sanctions individuelles.
  • Mesures administratives : ordres d'exécution, mises en demeure, suspension de certifications.

Plan d'action NIS2 en 6 étapes

  1. Qualifier : votre entité est-elle EE, EI ou hors champ ? Réaliser l'auto-évaluation officielle.
  2. Cartographier : SI, données KYC, fournisseurs critiques, processus métier exposés.
  3. Combler : déployer les 10 mesures techniques minimales, en priorité MFA + chiffrement + sauvegardes hors-ligne + journalisation.
  4. Contractualiser : insérer des clauses cyber dans tous les contrats fournisseurs KYC/AML, demander des certifications.
  5. Industrialiser la réponse à incident : runbooks, astreintes, simulations, canal direct vers ANSSI.
  6. Former : COMEX (responsabilité directe), équipes IT, équipes métier KYC.

FAQ

À partir de quand la directive NIS2 s'applique-t-elle en France ? NIS2 a été transposée en droit français en 2024-2025. Les obligations s'appliquent depuis l'entrée en vigueur de la transposition. L'ANSSI a publié des décrets d'application et des FAQ progressivement en 2024-2026 pour préciser le périmètre et les modalités.

Mon entreprise KYC est-elle entité essentielle ou importante ? Un éditeur de logiciels KYC répond généralement à la qualification "entité importante" dès lors qu'il dépasse 50 salariés ou 10 M€ de CA, au titre du secteur "fournisseurs de services numériques" ou "gestion B2B des services TIC". Les banques utilisatrices sont quasi-systématiquement entités essentielles.

Quelles données KYC dois-je obligatoirement chiffrer ? Toutes les données à caractère personnel — pièces d'identité, justificatifs, biométrie, screening — doivent être chiffrées en transit (TLS 1.2 minimum) et au repos (AES-256 ou équivalent). Les clés doivent être gérées via un KMS/HSM séparé de la base de données.

Que se passe-t-il si je détecte une fuite de dossiers KYC ? Sous NIS2, vous avez 24 h pour une alerte précoce à l'ANSSI (description sommaire), 72 h pour un rapport d'incident (causes probables, mesures prises), et 1 mois pour un rapport final. Le RGPD ajoute en parallèle l'obligation de notifier la CNIL sous 72 h si données personnelles.

Quelles sanctions risque le dirigeant d'une entité non conforme ? NIS2 prévoit la responsabilité personnelle des dirigeants : sanctions administratives individuelles et interdiction temporaire d'exercer des fonctions de direction en cas de manquement caractérisé.

Quels fournisseurs KYC sont déjà conformes NIS2 ? Aucune "conformité NIS2" formelle n'existe — il s'agit d'un faisceau de mesures. Les fournisseurs sérieux affichent ISO 27001, SOC 2 Type II, hébergement souverain (France/UE), MFA généralisé, journalisation immuable et SLA d'incident. Datakeen documente l'ensemble de ces mesures dans son dossier sécurité.

Pour aller plus loin

Partager cet article
Réglementations
KYC
Tech
Gaël
Articles

Continuer la lecture

Réglementations

Réglementation DSP2: Définition et Implications

La 2ème directive sur les Services de Paiement ou réglementation DSP2 est une mesure de l'Union Européenne. Elle a été adoptée pour moderniser et sécuriser les transactions financières. C'est un jalon significatif dans l'évolution du paysage des paiements en ligne. Entrée en vigueur en 2019, la DSP2 impose des normes strictes qui visent à
Lire plus
KYC et gestion de patrimoine : guide pour CGP et family offices
KYC

KYC et gestion de patrimoine : guide pour CGP et family offices

KYC en gestion de patrimoine : obligations CGP et family offices (MIF II, AMLR, DDA), KYC produit + KYC client, source des fonds, automatisation.
Lire plus
KYC et SCPI : obligations de vérification pour les sociétés de gestion
KYC

KYC et SCPI : obligations de vérification pour les sociétés de gestion

KYC SCPI en 2026 : obligations LCB-FT pour les sociétés de gestion et les plateformes de distribution. Vérification associé, bénéficiaires effectifs, AML screening.
Lire plus
Voir tous

Prêt à en voir plus ?

Une nouvelle façon de gérer la vérification d’identité, plus simple et plus sûre.

Réserver une démo
Jeune femme bouclée portant une chemise blanche prenant un selfie de contrôle d'identité en ligne.