La directive NIS2 – directive (UE) 2022/2555 du 14 decembre 2022 – est le texte fondateur du cadre europeen de cybersecurite applicable aux organisations. Elle remplace la premiere directive NIS de 2016, dont les limites etaient devenues evidentes face a l’evolution du paysage des menaces. Ce guide complet analyse l’ensemble des obligations imposees par NIS2, de son champ d’application aux sanctions encourues, en passant par les mesures techniques et organisationnelles exigees.

I. De NIS1 a NIS2 : pourquoi une refonte etait necessaire

A. Les limites de la directive NIS1

La directive NIS1 (directive (UE) 2016/1148) avait ete adoptee comme premier texte europeen dedie a la cybersecurite des reseaux et systemes d’information. Son merite historique est indeniable : elle a pose les bases d’une approche coordonnee de la cybersecurite a l’echelle de l’Union. Mais la mise en oeuvre a revele des faiblesses structurelles majeures.

Premierement, le champ d’application etait trop restreint. Seuls les “operateurs de services essentiels” (OSE) et les “fournisseurs de services numeriques” (FSN) etaient vises, ce qui laissait d’enormes pans de l’economie sans obligation de cybersecurite. Deuxiemement, la directive laissait aux Etats membres une marge de manoeuvre considerable dans l’identification des entites concernees, ce qui a conduit a des disparites flagrantes : un meme operateur pouvait etre designe comme OSE dans un Etat membre et echapper a toute obligation dans un autre. Troisiemement, les exigences de securite et de notification d’incidents etaient formulees de maniere trop generale pour produire un effet harmonisateur reel.

B. Les objectifs de NIS2

La Commission europeenne a publie sa proposition de refonte en decembre 2020. Le texte definitif a ete adopte le 14 decembre 2022, avec une date limite de transposition fixee au 17 octobre 2024. NIS2 poursuit trois objectifs principaux : elargir considerablement le champ d’application, harmoniser les exigences de securite a travers l’Union, et renforcer les mecanismes de cooperation entre Etats membres.

Le changement d’echelle est considerable. La Commission estime que NIS2 concerne environ 160 000 entites a travers l’Union europeenne, contre quelques milliers sous NIS1.

II. Champ d’application : qui est concerne ?

A. Deux categories d’entites

NIS2 abandonne la distinction OSE/FSN au profit d’une classification en deux categories : les entites essentielles et les entites importantes. Cette distinction est determinante car elle conditionne le niveau de supervision et le plafond des sanctions.

Les entites essentielles sont soumises a un regime de supervision proactif (controles ex ante), tandis que les entites importantes relevent d’un regime reactif (controles ex post, typiquement apres un incident ou un signalement).

B. Les 18 secteurs concernes

NIS2 couvre 18 secteurs repartis en deux annexes.

Annexe I – Secteurs hautement critiques (11 secteurs) :

1. Energie (electricite, petrole, gaz, hydrogene, chauffage et refroidissement urbains)
2. Transports (aerien, ferroviaire, maritime, routier)
3. Banque
4. Infrastructures des marches financiers
5. Sante
6. Eau potable
7. Eaux usees
8. Infrastructures numeriques (points d’echange internet, DNS, TLD, cloud, centres de donnees, reseaux de diffusion de contenu, services de confiance, reseaux de communications electroniques publics)
9. Gestion des services TIC (B2B)
10. Administration publique (gouvernement central et regional)
11. Espace

Annexe II – Autres secteurs critiques (7 secteurs) :

1. Services postaux et d’expedition
2. Gestion des dechets
3. Fabrication, production et distribution de produits chimiques
4. Production, transformation et distribution de denrees alimentaires
5. Fabrication (dispositifs medicaux, produits informatiques/electroniques/optiques, equipements electriques, machines et equipements, vehicules a moteur, autres materiels de transport)
6. Fournisseurs numeriques (places de marche en ligne, moteurs de recherche, plateformes de reseaux sociaux)
7. Recherche

C. Les seuils de taille

NIS2 introduit un critere de taille objectif, fonde sur la recommandation 2003/361/CE relative aux PME. Sont concernees les entites qui operent dans l’un des 18 secteurs et qui depassent les seuils de la moyenne entreprise, c’est-a-dire :

• 250 salaries ou plus, ou
• chiffre d’affaires annuel superieur a 50 millions d’euros, ou
• total du bilan annuel superieur a 43 millions d’euros.

Toutefois, certaines entites sont concernees quelle que soit leur taille : les fournisseurs de reseaux de communications electroniques publics, les prestataires de services de confiance, les registres de noms de domaine de premier niveau, les fournisseurs de services DNS et certaines entites d’administration publique.

Les Etats membres conservent par ailleurs la possibilite de designer individuellement des entites de taille inferieure lorsque leur role est juge critique.

III. Les 10 mesures de securite obligatoires (article 21)

L’article 21 constitue le coeur operationnel de NIS2. Il impose aux entites concernees d’adopter des mesures techniques, operationnelles et organisationnelles appropriees et proportionnees pour gerer les risques pesant sur la securite des reseaux et des systemes d’information. La directive enumere dix categories de mesures minimales :

1. Politiques d’analyse des risques et de securite des systemes d’information – il s’agit de formaliser une approche methodique de la gestion des risques cyber, incluant une cartographie des actifs, une evaluation des menaces et une strategie de traitement des risques.

2. Gestion des incidents – mise en place de procedures de detection, d’analyse, de classification et de reponse aux incidents de securite, incluant la communication interne et externe.

3. Continuite des activites et gestion de crise – plans de continuite d’activite (PCA), plans de reprise d’activite (PRA), gestion des sauvegardes et procedures de gestion de crise.

4. Securite de la chaine d’approvisionnement – evaluation et gestion des risques lies aux relations avec les fournisseurs et prestataires directs (voir section V ci-dessous).

5. Securite dans l’acquisition, le developpement et la maintenance des reseaux et des systemes d’information – incluant la gestion et la divulgation des vulnerabilites. Ce point rejoint les exigences du Cyber Resilience Act pour les organisations qui sont egalement fabricants de produits numeriques.

6. Politiques et procedures d’evaluation de l’efficacite des mesures de gestion des risques – autrement dit, des audits et des tests reguliers, incluant des tests de penetration et des exercices de crise.

7. Pratiques de base en matiere de cyberhygiene et formation a la cybersecurite – sensibilisation des collaborateurs, gestion des mots de passe, mises a jour, segmentation reseau.

8. Politiques et procedures relatives a l’utilisation de la cryptographie et, le cas echeant, du chiffrement – protection de la confidentialite et de l’integrite des donnees en transit et au repos.

9. Securite des ressources humaines, politiques de controle d’acces et gestion des actifs – processus d’habilitation, revue des droits d’acces, gestion des departs.

10. Utilisation de solutions d’authentification multifacteur ou d’authentification continue – et de communications vocales, video et textuelles securisees, ainsi que de systemes de communication d’urgence securises.

L’approche est celle de la proportionnalite : les mesures doivent etre adaptees a la taille de l’entite, a son exposition aux risques, a la probabilite de survenance d’incidents et a leur gravite potentielle, y compris leur impact societaire et economique. Il est essentiel de documenter rigoureusement l’ensemble de ces mesures – un outil comme Legiscope peut s’averer utile pour structurer et maintenir cette documentation de conformite.

IV. Responsabilite des organes de direction

L’article 20 de NIS2 introduit une obligation particulierement significative : les organes de direction des entites concernees doivent approuver les mesures de gestion des risques de cybersecurite et superviser leur mise en oeuvre. Ils peuvent etre tenus responsables en cas de manquement.

Concretement, cela signifie que la cybersecurite n’est plus une question purement technique delegable a un RSSI ou a un prestataire. Les dirigeants doivent :

• Approuver formellement les politiques de gestion des risques cyber ;
• Suivre une formation afin d’acquerir des connaissances suffisantes pour identifier les risques et evaluer les pratiques de gestion ;
• Veiller a ce que les membres de leur personnel suivent egalement des formations regulieres.

Les Etats membres doivent veiller a ce que les personnes physiques responsables de l’entite ou agissant en qualite de representant legal puissent etre tenues personnellement responsables de la violation de ces obligations. C’est un changement de paradigme majeur : la cybersecurite devient une responsabilite de gouvernance au meme titre que la conformite financiere ou la protection des donnees.

V. Securite de la chaine d’approvisionnement

La directive NIS2 accorde une attention particuliere a la securite de la chaine d’approvisionnement (article 21, paragraphe 2, point d). Les entites concernees doivent prendre en compte les vulnerabilites propres a chaque fournisseur et prestataire de services direct, la qualite globale des produits et des pratiques de cybersecurite de leurs fournisseurs, y compris leurs procedures de developpement securise.

En pratique, cela impose :

• D’integrer des clauses de securite dans les contrats avec les fournisseurs ;
• De realiser des evaluations de risque regulieres sur les fournisseurs critiques ;
• De mettre en place des procedures de controle et d’audit des prestataires ;
• De disposer d’une cartographie des dependances vis-a-vis des fournisseurs.

Cette exigence est d’autant plus importante que les attaques par la chaine d’approvisionnement (supply chain attacks) se sont multipliees ces dernieres annees. L’incident SolarWinds en 2020 et la vulnerabilite Log4Shell en 2021 ont demontre l’effet systemique que peut avoir la compromission d’un fournisseur unique.

VI. Notification des incidents : le dispositif 24h / 72h / 1 mois

NIS2 impose un dispositif de notification en trois etapes pour les incidents de securite significatifs (article 23) :

1. Alerte initiale dans les 24 heures – des que l’entite a connaissance d’un incident significatif, elle doit transmettre une alerte precoce au CSIRT competent ou a l’autorite nationale. Cette alerte doit indiquer si l’incident est susceptible d’avoir ete cause par un acte malveillant ou d’avoir un impact transfrontalier.

2. Notification complete dans les 72 heures – une notification d’incident plus detaillee doit etre transmise, incluant une evaluation initiale de l’incident, sa gravite et son impact, ainsi que les indicateurs de compromission le cas echeant.

3. Rapport final dans un delai d’un mois – un rapport final doit etre soumis, comprenant une description detaillee de l’incident, le type de menace ou la cause profonde, les mesures d’attenuation appliquees et en cours, et l’impact transfrontalier le cas echeant.

Un incident est considere comme significatif lorsqu’il a cause ou est susceptible de causer une perturbation operationnelle grave des services ou des pertes financieres pour l’entite, ou lorsqu’il a affecte ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages materiels ou immateriels considerables.

Ce regime de notification est plus exigeant que celui de NIS1, qui ne prevoyait qu’une notification unique sans delai precis.

VII. Regime de sanctions

A. Des plafonds considerablement renforces

NIS2 prevoit des sanctions administratives dont les plafonds varient selon la categorie de l’entite :

Pour les entites essentielles :

• Amende pouvant atteindre 10 000 000 d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice precedent, le montant le plus eleve etant retenu.

Pour les entites importantes :

• Amende pouvant atteindre 7 000 000 d’euros ou 1,4 % du chiffre d’affaires annuel mondial total de l’exercice precedent, le montant le plus eleve etant retenu.

B. Mesures de supervision complementaires

Au-dela des amendes, les autorites competentes disposent de pouvoirs de supervision etendus. Pour les entites essentielles, il s’agit notamment de la possibilite d’ordonner des audits de securite, d’imposer des mesures correctives, d’emettre des avertissements publics, et dans les cas les plus graves, de suspendre temporairement les certifications ou autorisations de l’entite, voire d’interdire temporairement a une personne physique exercant des responsabilites dirigeantes d’exercer ses fonctions.

VIII. Transposition en droit francais

A. Etat de la transposition

La date limite de transposition de NIS2 etait fixee au 17 octobre 2024. A la date de redaction de cet article, la France n’a pas encore finalise la transposition integrale de la directive. Un projet de loi relatif a la resilience des infrastructures critiques et au renforcement de la cybersecurite a ete depose, mais le processus legislatif n’est pas encore acheve.

En France, l’ANSSI (Agence nationale de la securite des systemes d’information) est l’autorite nationale de reference en matiere de cybersecurite et sera l’autorite competente pour la mise en oeuvre de NIS2. L’ANSSI a deja publie des orientations preparatoires et recommande aux organisations de ne pas attendre la transposition formelle pour engager leur mise en conformite.

B. Le cadre existant

Il est important de noter que la France disposait deja d’un cadre de cybersecurite relativement avance avec la transposition de NIS1 et le regime des operateurs d’importance vitale (OIV) issu de la loi de programmation militaire de 2013. NIS2 elargira considerablement le perimetre des entites soumises a des obligations legales de cybersecurite, bien au-dela des seuls OIV et OSE actuels.

IX. Articulation avec le RGPD

La question de l’articulation entre NIS2 et le RGPD se pose systematiquement lorsqu’un incident de cybersecurite implique des donnees a caractere personnel – ce qui est le cas dans la grande majorite des incidents.

A. Double obligation de notification

En cas d’incident impliquant des donnees personnelles, l’entite est soumise a une double obligation de notification :

• Au titre de NIS2 : notification au CSIRT/autorite competente dans les delais de 24h/72h/1 mois decrits ci-dessus ;
• Au titre du RGPD (article 33) : notification a la CNIL dans un delai de 72 heures a compter de la prise de connaissance de la violation, et le cas echeant notification aux personnes concernees (article 34).

Ces deux procedures sont distinctes et complementaires. NIS2 le prevoit expressement : lorsque l’autorite competente au titre de NIS2 est informee d’un incident susceptible de constituer une violation de donnees au sens du RGPD, elle doit en informer l’autorite de controle competente (la CNIL en France) sans retard injustifie.

B. Coherence des mesures techniques

De nombreuses mesures techniques et organisationnelles se recoupent entre les deux textes. L’article 32 du RGPD impose au responsable de traitement de mettre en oeuvre des mesures de securite appropriees, ce qui rejoint directement les exigences de l’article 21 de NIS2. Un audit de conformite RGPD bien conduit couvrira naturellement une partie des exigences NIS2, et reciproquement. L’utilisation d’un outil de conformite tel que Legiscope permet de gerer ces deux cadres de maniere coordonnee.

X. Articulation avec le CRA et DORA

A. NIS2 et le Cyber Resilience Act

Le Cyber Resilience Act (CRA – reglement (UE) 2024/2847) reglemente la securite des produits numeriques mis sur le marche europeen. Son articulation avec NIS2 est complementaire : le CRA s’applique aux produits (securite by design, gestion des vulnerabilites, marquage CE), tandis que NIS2 s’applique aux organisations (securite operationnelle des reseaux et systemes d’information).

Une entite soumise a NIS2 qui est egalement fabricant de produits numeriques devra respecter les deux textes simultanement. Le CRA prevoit d’ailleurs que la notification d’une vulnerabilite activement exploitee au titre du CRA est transmise au CSIRT designe au titre de NIS2, assurant ainsi une circulation de l’information entre les deux regimes.

B. NIS2 et DORA

Le reglement DORA (Digital Operational Resilience Act – reglement (UE) 2022/2554) est le texte specifique a la resilience operationnelle numerique du secteur financier. Il est entre en application le 17 janvier 2025.

NIS2 prevoit un principe de lex specialis : lorsqu’un texte sectoriel de l’Union (comme DORA) impose des exigences de cybersecurite au moins equivalentes a celles de NIS2, les dispositions sectorielles priment. En consequence, les entites du secteur financier relevant de DORA (banques, assurances, societes de gestion, infrastructures de marche, prestataires TIC critiques) appliquent DORA en lieu et place de NIS2 pour les obligations qui se recoupent. Elles restent toutefois identifiees comme entites essentielles ou importantes au titre de NIS2 aux fins de la cooperation entre autorites.

XI. Que faire maintenant ?

La mise en conformite avec NIS2 est un chantier de gouvernance qui requiert une approche methodique. Voici les actions prioritaires a engager sans attendre la transposition formelle en droit francais.

1. Determiner si votre organisation est concernee. Verifiez si vous operez dans l’un des 18 secteurs couverts et si vous depassez les seuils de taille. En cas de doute, appliquez le principe de precaution : il est plus couteux de decouvrir tardivement que l’on releve de NIS2 que de s’y preparer en amont.

2. Realiser un audit de maturite cyber. Evaluez l’ecart entre vos pratiques actuelles et les 10 mesures de l’article 21. Cet exercice rejoint naturellement un audit RGPD puisque les exigences de securite se recoupent largement.

3. Impliquer la direction generale. Informez les organes de direction de leurs nouvelles responsabilites personnelles et organisez des formations adaptees. La cybersecurite doit figurer a l’ordre du jour du conseil d’administration ou du comite de direction.

4. Structurer la gestion des incidents. Mettez en place ou renforcez vos procedures de detection, de classification et de notification des incidents pour etre en mesure de respecter le delai de 24 heures pour l’alerte initiale.

5. Cartographier et securiser la chaine d’approvisionnement. Identifiez vos fournisseurs et prestataires critiques, evaluez leurs pratiques de securite et integrez des clauses contractuelles appropriees.

6. Documenter l’ensemble de vos mesures. NIS2, comme le RGPD, est un texte de responsabilisation (accountability). La capacite a demontrer la conformite est aussi importante que la conformite elle-meme. Un outil de gestion de la conformite comme Legiscope permet de centraliser cette documentation et de maintenir une vue d’ensemble sur les obligations croisees (NIS2, RGPD, CRA le cas echeant).

7. Preparer le volet notification RGPD. Pour les incidents impliquant des donnees personnelles, assurez-vous que vos procedures de notification NIS2 et RGPD sont coordonnees afin d’eviter les doublons et les oublis. La gestion des fuites de donnees est un processus qui doit etre formalise et teste en amont.

La directive NIS2 marque un tournant dans la regulation europeenne de la cybersecurite. Par l’ampleur de son champ d’application, la precision de ses exigences et la severite de ses sanctions, elle impose un changement d’echelle dans la gouvernance de la securite informatique. Les organisations qui s’y preparent des a present – meme en l’absence de transposition formelle – prennent une avance decisive sur un sujet qui ne cessera de gagner en importance dans les annees a venir.

FAQ

Comment savoir si mon entreprise est concernee par NIS2 ?

Votre entreprise est concernee si elle opere dans l’un des 18 secteurs couverts par la directive et depasse les seuils de la moyenne entreprise (250 salaries, ou 50 millions d’euros de CA, ou 43 millions de bilan). Certaines entites sont concernees quelle que soit leur taille (fournisseurs DNS, prestataires de services de confiance). En cas de doute, appliquez le principe de precaution.

Quelle est la difference entre entite essentielle et entite importante ?

Les entites essentielles sont soumises a un regime de supervision proactif (controles ex ante) avec des amendes pouvant atteindre 10 millions d’euros ou 2% du CA mondial. Les entites importantes relevent d’un regime reactif (controles ex post) avec un plafond de 7 millions d’euros ou 1,4% du CA. La classification depend du secteur et de la taille de l’organisation.

NIS2 remplace-t-elle le RGPD pour la securite des donnees ?

Non, NIS2 et le RGPD s’appliquent de maniere complementaire. NIS2 porte sur la securite des reseaux et systemes d’information, tandis que le RGPD impose des mesures de securite specifiques pour les donnees personnelles (article 32). Un incident impliquant des donnees personnelles declenchera une double obligation de notification.

Quel est le delai de notification d’un incident sous NIS2 ?

NIS2 impose un dispositif en trois etapes : alerte initiale dans les 24 heures, notification detaillee dans les 72 heures et rapport final dans un mois. Ce regime est plus exigeant que celui de NIS1 et se cumule avec l’obligation RGPD de notification a la CNIL sous 72 heures en cas de fuite de donnees personnelles.

La certification ISO 27001 suffit-elle pour etre conforme a NIS2 ?

La certification ISO 27001 constitue un socle solide qui couvre une grande partie des exigences de l’article 21 de NIS2, mais elle ne vaut pas presomption automatique de conformite. Des exigences specifiques de NIS2 (notification d’incidents, responsabilite des dirigeants, securite de la chaine d’approvisionnement) doivent etre traitees en complement.