Directive NIS2 : guide complet des nouvelles obligations de cybersécurité

La directive NIS2 – directive (UE) 2022/2555 du 14 décembre 2022 – est le texte fondateur du cadre européen de cybersécurité applicable aux organisations. Elle remplacé la première directive NIS de 2016, dont les limités étaient devenues évidentes face à l’évolution du paysage des menaces. Ce guide complet analyse l’ensemble des obligations imposées par NIS2, de son champ d’application aux sanctions encourues, en passant par les mesures techniques et organisationnelles exigées.

I. De NIS1 a NIS2 : pourquoi une refonte était nécessaire

A. Les limités de la directive NIS1

La directive NIS1 (directive (UE) 2016/1148) avait été adoptée comme premier texte européen dédié à la cybersécurité des réseaux et systèmes d’information. Son mérite historique est indeniable : elle a posé les bases d’une approche coordonnée de la cybersécurité à l’échelle de l’Union. Mais la mise en oeuvre a révèle des faiblesses structurelles majeures.

Premièrement, le champ d’application était trop restreint. Seuls les “opérateurs de services essentiels” (OSE) et les “fournisseurs de services numériques” (FSN) étaient visés, ce qui laissait d’énormes pans de l’économie sans obligation de cybersécurité. Deuxièmement, la directive laissait aux États membres une marge de manoeuvre considérable dans l’identification des entités concernées, ce qui a conduit à des disparités flagrantes : un même opérateur pouvait être désigné comme OSE dans un État membre et échapper à toute obligation dans un autre. Troisièmement, les exigences de sécurité et de notification d’incidents étaient formulées de manière trop générale pour produire un effet harmonisateur réel.

B. Les objectifs de NIS2

La Commission européenne a publié sa proposition de refonte en décembre 2020. Le texte définitif a été adopté le 14 décembre 2022, avec une date limite de transposition fixée au 17 octobre 2024. NIS2 poursuit trois objectifs principaux : élargir considérablement le champ d’application, harmoniser les exigences de sécurité à travers l’Union, et renforcer les mécanismes de coopération entre États membres.

Le changement d’échelle est considérable. La Commission estime que NIS2 concerne environ 160 000 entités à travers l’Union européenne, contre quelques milliers sous NIS1.

II. Champ d’application : qui est concerné ?

A. Deux catégories d’entités

NIS2 abandonne la distinction OSE/FSN au profit d’une classification en deux catégories : les entités essentielles et les entités importantes. Cette distinction est déterminante car elle conditionne le niveau de supervision et le plafond des sanctions.

Les entités essentielles sont soumises à un régime de supervision proactif (contrôles ex ante), tandis que les entités importantes relèvent d’un régime réactif (contrôles ex post, typiquement après un incident ou un signalement).

B. Les 18 secteurs concernés

NIS2 couvre 18 secteurs repartis en deux annexes.

Annexe I – Secteurs hautement critiques (11 secteurs) :

1. Energie (électricité, petrole, gaz, hydrogene, chauffage et refroidissement urbains)
2. Transports (aerien, ferroviaire, maritime, routier)
3. Banque
4. Infrastructures des marchés financiers
5. Sante
6. Eau potable
7. Eaux usees
8. Infrastructures numériques (points d’échange internet, DNS, TLD, cloud, centres de données, réseaux de diffusion de contenu, services de confiance, réseaux de communications électroniques publics)
9. Gestion des services TIC (B2B)
10. Administration publique (gouvernement central et regional)
11. Espace

Annexe II – Autres secteurs critiques (7 secteurs) :

1. Services postaux et d’expédition
2. Gestion des déchets
3. Fabrication, production et distribution de produits chimiques
4. Production, transformation et distribution de denrees alimentaires
5. Fabrication (dispositifs médicaux, produits informatiques/électroniques/optiques, équipements électriques, machines et équipements, véhicules a moteur, autres matériels de transport)
6. Fournisseurs numériques (places de marché en ligne, moteurs de recherché, plateformes de réseaux sociaux)
7. Recherche

C. Les seuils de taille

NIS2 introduit un critère de taille objectif, fondé sur la recommandation 2003/361/CE relative aux PME. Sont concernées les entités qui opèrent dans l’un des 18 secteurs et qui dépassent les seuils de la moyenne entreprise, c’est-à-dire :

• 250 salariés ou plus, ou
• chiffre d’affaires annuel supérieur à 50 millions d’euros, ou
• total du bilan annuel supérieur à 43 millions d’euros.

Toutefois, certaines entités sont concernées quelle que soit leur taille : les fournisseurs de réseaux de communications électroniques publics, les prestataires de services de confiance, les registres de noms de domaine de premier niveau, les fournisseurs de services DNS et certaines entités d’administration publique.

Les États membres conservent par ailleurs la possibilité de désigner individuellement des entités de taille inférieure lorsque leur rôle est jugé critique.

III. Les 10 mesures de sécurité obligatoires (article 21)

L’article 21 constitue le coeur opérationnel de NIS2. Il impose aux entités concernées d’adopter des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et des systèmes d’information. La directive énumère dix catégories de mesures minimales :

1. Politiques d’analyse des risques et de sécurité des systèmes d’information – il s’agit de formaliser une approche méthodique de la gestion des risques cyber, incluant une cartographie des actifs, une évaluation des menaces et une stratégie de traitement des risques.

2. Gestion des incidents – mise en place de procédures de détection, d’analyse, de classification et de réponse aux incidents de sécurité, incluant la communication interne et externe.

3. Continuité des activités et gestion de crise – plans de continuité d’activité (PCA), plans de reprise d’activité (PRA), gestion des sauvegardes et procédures de gestion de crise.

4. Sécurité de la chaîne d’approvisionnement – évaluation et gestion des risques lies aux relations avec les fournisseurs et prestataires directs (voir section V ci-dessous).

5. Sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information – incluant la gestion et la divulgation des vulnérabilités. Ce point rejoint les exigences du Cyber Résilience Act pour les organisations qui sont également fabricants de produits numériques.

6. Politiques et procédures d’évaluation de l’efficacité des mesures de gestion des risques – autrement dit, des audits et des tests réguliers, incluant des tests de pénétration et des exercices de crise.

7. Pratiques de base en matière de cyberhygiène et formation à la cybersécurité – sensibilisation des collaborateurs, gestion des mots de passe, mises à jour, segmentation réseau.

8. Politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement – protection de la confidentialité et de l’intégrité des données en transit et au repos.

9. Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs – processus d’habilitation, revue des droits d’accès, gestion des departs.

10. Utilisation de solutions d’authentification multifacteur ou d’authentification continue – et de communications vocales, vidéo et textuelles sécurisées, ainsi que de systèmes de communication d’urgence sécurisés.

L’approche est celle de la proportionnalité : les mesures doivent être adaptées à la taille de l’entité, à son exposition aux risques, à la probabilité de survenance d’incidents et à leur gravité potentielle, y compris leur impact societaire et économique. Il est essentiel de documenter rigoureusement l’ensemble de ces mesures – un outil comme Legiscope peut s’avérer utile pour structurer et maintenir cette documentation de conformité.

IV. Responsabilité des organes de direction

L’article 20 de NIS2 introduit une obligation particulièrement significative : les organes de direction des entités concernées doivent approuver les mesures de gestion des risques de cybersécurité et superviser leur mise en oeuvre. Ils peuvent être tenus responsables en cas de manquement.

Concrètement, cela signifie que la cybersécurité n’est plus une question purement technique délégable à un RSSI ou à un prestataire. Les dirigeants doivent :

• Approuver formellement les politiques de gestion des risques cyber ;
• Suivre une formation afin d’acquérir des connaissances suffisantes pour identifier les risques et évaluer les pratiques de gestion ;
• Veiller à ce que les membres de leur personnel suivent également des formations régulières.

Les États membres doivent veiller à ce que les personnes physiques responsables de l’entité ou agissant en qualité de représentant légal puissent être tenues personnellement responsables de la violation de ces obligations. C’est un changement de paradigme majeur : la cybersécurité devient une responsabilité de gouvernance au même titre que la conformité financière ou la protection des données.

V. Sécurité de la chaîne d’approvisionnement

La directive NIS2 accorde une attention particulière à la sécurité de la chaîne d’approvisionnement (article 21, paragraphe 2, point d). Les entités concernées doivent prendre en compte les vulnérabilités propres à chaque fournisseur et prestataire de services direct, la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs, y compris leurs procédures de développement sécurisé.

En pratique, cela impose :

• D’intégrer des clauses de sécurité dans les contrats avec les fournisseurs ;
• De réaliser des évaluations de risque régulières sur les fournisseurs critiques ;
• De mettre en place des procédures de contrôle et d’audit des prestataires ;
• De disposer d’une cartographie des dépendances vis-à-vis des fournisseurs.

Cette exigence est d’autant plus importante que les attaques par la chaîne d’approvisionnement (supply chain attacks) se sont multipliées ces dernières années. L’incident SolarWinds en 2020 et la vulnérabilité Log4Shell en 2021 ont démontre l’effet systémique que peut avoir la compromission d’un fournisseur unique.

VI. Notification des incidents : le dispositif 24h / 72h / 1 mois

NIS2 impose un dispositif de notification en trois étapes pour les incidents de sécurité significatifs (article 23) :

1. Alerte initiale dans les 24 heures – dès que l’entité a connaissance d’un incident significatif, elle doit transmettre une alerte précoce au CSIRT compétent ou à l’autorité nationale. Cette alerte doit indiquer si l’incident est susceptible d’avoir été causé par un acte malveillant ou d’avoir un impact transfrontalier.

2. Notification complète dans les 72 heures – une notification d’incident plus détaillée doit être transmise, incluant une évaluation initiale de l’incident, sa gravité et son impact, ainsi que les indicateurs de compromission le cas échéant.

3. Rapport final dans un délai d’un mois – un rapport final doit être soumis, comprenant une description détaillée de l’incident, le type de menace ou la cause profonde, les mesures d’attenuation appliquées et en cours, et l’impact transfrontalier le cas échéant.

Un incident est considéré comme significatif lorsqu’il a cause ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité, ou lorsqu’il a affecte ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables.

Ce régime de notification est plus exigeant que celui de NIS1, qui ne prévoyait qu’une notification unique sans délai précis.

VII. Régime de sanctions

A. Des plafonds considérablement renforcés

NIS2 prévoit des sanctions administratives dont les plafonds varient selon la catégorie de l’entité :

Pour les entités essentielles :

• Amende pouvant atteindre 10 000 000 d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Pour les entités importantes :

• Amende pouvant atteindre 7 000 000 d’euros ou 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

B. Mesures de supervision complémentaires

Au-delà des amendes, les autorités compétentes disposent de pouvoirs de supervision étendus. Pour les entités essentielles, il s’agit notamment de la possibilité d’ordonner des audits de sécurité, d’imposer des mesures correctives, d’émettre des avertissements publics, et dans les cas les plus gravés, de suspendre temporairement les certifications ou autorisations de l’entité, voire d’interdire temporairement à une personne physique exerçant des responsabilités dirigeantes d’exercer ses fonctions.

VIII. Transposition en droit français

A. État de la transposition

La date limite de transposition de NIS2 était fixée au 17 octobre 2024. À la date de rédaction de cet article, la France n’a pas encore finalise la transposition intégrale de la directive. Un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été déposé, mais le processus législatif n’est pas encore achevé.

En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’autorité nationale de référence en matière de cybersécurité et sera l’autorité compétente pour la mise en oeuvre de NIS2. L’ANSSI a déjà publié des orientations preparatoires et recommandé aux organisations de ne pas attendre la transposition formelle pour engager leur mise en conformité.

B. Le cadre existant

Il est important de noter que la France disposait déjà d’un cadre de cybersécurité relativement avance avec la transposition de NIS1 et le régime des opérateurs d’importance vitale (OIV) issu de la loi de programmation militaire de 2013. NIS2 elargira considérablement le périmètre des entités soumises à des obligations légales de cybersécurité, bien au-delà des seuls OIV et OSE actuels.

IX. Articulation avec le RGPD

La question de l’articulation entre NIS2 et le RGPD se posé systématiquement lorsqu’un incident de cybersécurité implique des données à caractère personnel – ce qui est le cas dans la grande majorité des incidents.

A. Double obligation de notification

En cas d’incident impliquant des données personnelles, l’entité est soumise à une double obligation de notification :

• Au titre de NIS2 : notification au CSIRT/autorité compétente dans les délais de 24h/72h/1 mois decrits ci-dessus ;
• Au titre du RGPD (article 33) : notification a la CNIL dans un délai de 72 heures à compter de la prise de connaissance de la violation, et le cas échéant notification aux personnes concernées (article 34).

Ces deux procédures sont distinctes et complémentaires. NIS2 le prévoit expressément : lorsque l’autorité compétente au titre de NIS2 est informée d’un incident susceptible de constituer une violation de données au sens du RGPD, elle doit en informer l’autorité de contrôle compétente (la CNIL en France) sans retard injustifié.

B. Coherence des mesures techniques

De nombreuses mesures techniques et organisationnelles se recoupent entre les deux textes. L’article 32 du RGPD impose au responsable de traitement de mettre en oeuvre des mesures de sécurité appropriées, ce qui rejoint directement les exigences de l’article 21 de NIS2. Les mesures de sécurité exigées par la CNIL au titre du RGPD constituent un socle de base qui couvre une partie significative des exigences NIS2. Un audit de conformité RGPD bien conduit couvrira naturellement une partie des exigences NIS2, et réciproquement. L’utilisation d’un outil de conformité tel que Legiscope permet de gérer ces deux cadres de manière coordonnée.

X. Articulation avec le CRA et DORA

A. NIS2 et le Cyber Résilience Act

Le Cyber Résilience Act (CRA – règlement (UE) 2024/2847) règlemente la sécurité des produits numériques mis sur le marché européen. Son articulation avec NIS2 est complémentaire : le CRA s’applique aux produits (sécurité by design, gestion des vulnérabilités, marquage CE), tandis que NIS2 s’applique aux organisations (sécurité opérationnelle des réseaux et systèmes d’information).

Une entité soumise à NIS2 qui est également fabricant de produits numériques devra respecter les deux textes simultanément. Le CRA prévoit d’ailleurs que la notification d’une vulnérabilité activement exploitée au titre du CRA est transmise au CSIRT désigné au titre de NIS2, assurant ainsi une circulation de l’information entre les deux régimes.

B. NIS2 et DORA

Le règlement DORA (Digital Operational Résilience Act – règlement (UE) 2022/2554) est le texte spécifique à la résilience opérationnelle numérique du secteur financier. Il est entre en application le 17 janvier 2025.

NIS2 prévoit un principe de lex specialis : lorsqu’un texte sectoriel de l’Union (comme DORA) impose des exigences de cybersécurité au moins équivalentes a celles de NIS2, les dispositions sectorielles priment. En conséquence, les entités du secteur financier relevant de DORA (banques, assurances, sociétés de gestion, infrastructures de marché, prestataires TIC critiques) appliquent DORA en lieu et place de NIS2 pour les obligations qui se recoupent. Elles restent toutefois identifiées comme entités essentielles ou importantes au titre de NIS2 aux fins de la coopération entre autorités.

XI. Que faire maintenant ?

La mise en conformité avec NIS2 est un chantier de gouvernance qui requiert une approche méthodique. Voici les actions prioritaires a engager sans attendre la transposition formelle en droit français.

1. Déterminer si votre organisation est concernée. Vérifiez si vous opérez dans l’un des 18 secteurs couverts et si vous depassez les seuils de taille. En cas de doute, appliquez le principe de précaution : il est plus coûteux de découvrir tardivement que l’on relève de NIS2 que de s’y préparer en amont.

2. Réaliser un audit de maturité cyber. Évaluez l’écart entre vos pratiques actuelles et les 10 mesures de l’article 21. Cet exercice rejoint naturellement un audit RGPD puisque les exigences de sécurité se recoupent largement.

3. Impliquer la direction générale. Informez les organes de direction de leurs nouvelles responsabilités personnelles et organisez des formations adaptées. La cybersécurité doit figurer à l’ordre du jour du conseil d’administration ou du comité de direction.

4. Structurer la gestion des incidents. Mettez en place ou renforcez vos procédures de détection, de classification et de notification des incidents pour être en mesure de respecter le délai de 24 heures pour l’alerte initiale.

5. Cartographier et sécuriser la chaîne d’approvisionnement. Identifiez vos fournisseurs et prestataires critiques, évaluez leurs pratiques de sécurité et integrez des clauses contractuelles appropriées.

6. Documenter l’ensemble de vos mesures. NIS2, comme le RGPD, est un texte de responsabilisation (accountability). La capacité à démontrer la conformité est aussi importante que la conformité elle-même. Un outil de gestion de la conformité comme Legiscope permet de centraliser cette documentation et de maintenir une vue d’ensemble sur les obligations croisées (NIS2, RGPD, CRA le cas échéant).

7. Préparer le volet notification RGPD. Pour les incidents impliquant des données personnelles, assurez-vous que vos procédures de notification NIS2 et RGPD sont coordonnées afin d’éviter les doublons et les oublis. La gestion des fuites de données est un processus qui doit être formalisé et testé en amont.

La directive NIS2 marque un tournant dans la régulation européenne de la cybersécurité. Par l’ampleur de son champ d’application, la précision de ses exigences et la sévérité de ses sanctions, elle impose un changement d’échelle dans la gouvernance de la sécurité informatique. Les organisations qui s’y preparent des a présent – même en l’absence de transposition formelle – prennent une avance décisive sur un sujet qui ne cessera de gagner en importance dans les années a venir.

FAQ

Comment savoir si mon entreprise est concernée par NIS2 ?

Votre entreprise est concernée si elle opère dans l’un des 18 secteurs couverts par la directive et dépasse les seuils de la moyenne entreprise (250 salariés, ou 50 millions d’euros de CA, ou 43 millions de bilan). Certaines entités sont concernées quelle que soit leur taille (fournisseurs DNS, prestataires de services de confiance). En cas de doute, appliquez le principe de précaution.

Quelle est la différence entre entité essentielle et entité importante ?

Les entités essentielles sont soumises à un régime de supervision proactif (contrôles ex ante) avec des amendes pouvant atteindre 10 millions d’euros ou 2% du CA mondial. Les entités importantes relèvent d’un régime réactif (contrôles ex post) avec un plafond de 7 millions d’euros ou 1,4% du CA. La classification dépend du secteur et de la taille de l’organisation.

NIS2 remplacé-t-elle le RGPD pour la sécurité des données ?

Non, NIS2 et le RGPD s’appliquent de manière complémentaire. NIS2 porte sur la sécurité des réseaux et systèmes d’information, tandis que le RGPD impose des mesures de sécurité spécifiques pour les données personnelles (article 32). Un incident impliquant des données personnelles déclenchera une double obligation de notification.

Quel est le délai de notification d’un incident sous NIS2 ?

NIS2 impose un dispositif en trois étapes : alerte initiale dans les 24 heures, notification détaillée dans les 72 heures et rapport final dans un mois. Ce régime est plus exigeant que celui de NIS1 et se cumulé avec l’obligation RGPD de notification à la CNIL sous 72 heures en cas de fuite de données personnelles.

La certification ISO 27001 suffit-elle pour être conforme à NIS2 ?

La certification ISO 27001 constitue un socle solide qui couvre une grande partie des exigences de l’article 21 de NIS2, mais elle ne vaut pas présomption automatique de conformité. Des exigences spécifiques de NIS2 (notification d’incidents, responsabilité des dirigeants, sécurité de la chaîne d’approvisionnement) doivent être traitées en complément.