Aller au contenu principal
ConformITly 12 min de lecture

Comprendre la directive NIS2 : guide complet pour les entreprises | ConformITly

NIS2

Comprendre la directive NIS2 : guide complet pour les entreprises

La directive NIS2 (Network and Information Security 2) représente une refonte majeure du cadre réglementaire européen en matière de cybersécurité. Adoptée par le Parlement européen en novembre 2022, elle remplace la directive NIS originale de 2016 et élargit considérablement le périmètre des organisations concernées ainsi que les obligations qui leur incombent.

Qu’est-ce que la directive NIS2 ?

La directive (UE) 2022/2555, dite NIS2, est le texte législatif européen le plus ambitieux en matière de cybersécurité à ce jour. Elle vise à établir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union européenne, en réponse à l’évolution rapide du paysage des menaces et à la numérisation croissante de nos sociétés.

NIS2 corrige les principales lacunes identifiées dans la directive NIS1 : un périmètre trop restreint, des disparités de transposition entre les États membres et un manque de mécanismes de coopération efficaces. Elle introduit des exigences plus strictes, harmonise les sanctions et renforce la coopération transfrontalière.

Les principaux objectifs de NIS2 sont :

  • Élargir le périmètre des entités concernées pour couvrir davantage de secteurs critiques
  • Harmoniser les exigences de cybersécurité à travers l’Union européenne
  • Renforcer la gouvernance en imposant la responsabilité des dirigeants
  • Améliorer la coopération entre les États membres via le réseau EU-CyCLONe

Qui est concerné : entités essentielles et entités importantes

L’un des changements majeurs de NIS2 est l’élargissement significatif de son périmètre d’application. La directive distingue deux catégories d’entités :

Entités essentielles

Les entités essentielles sont celles dont les activités sont jugées critiques pour le fonctionnement de la société et de l’économie. Elles sont soumises au régime de supervision le plus strict. Cette catégorie comprend :

  • Énergie : électricité, pétrole, gaz, hydrogène, chauffage et refroidissement urbains
  • Transports : aérien, ferroviaire, maritime, routier
  • Secteur bancaire et infrastructures des marchés financiers
  • Santé : hôpitaux, laboratoires, fabricants de dispositifs médicaux, industrie pharmaceutique
  • Eau potable et eaux usées
  • Infrastructures numériques : fournisseurs de points d’échange Internet, DNS, TLD, cloud, centres de données, CDN
  • Gestion des services TIC (B2B) : fournisseurs de services managés et de sécurité managés
  • Administration publique (au niveau central et régional)
  • Espace

Entités importantes

Les entités importantes bénéficient d’un régime de supervision allégé (contrôle ex post), mais restent soumises aux mêmes obligations de base. Cette catégorie inclut :

  • Services postaux et d’expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution de denrées alimentaires
  • Fabrication : dispositifs médicaux, produits informatiques, électroniques, optiques, équipements électriques, machines, véhicules à moteur
  • Fournisseurs numériques : places de marché en ligne, moteurs de recherche, réseaux sociaux
  • Recherche

Le critère de taille s’applique également : sont généralement concernées les entreprises de plus de 50 employés ou réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros. Cependant, certaines entités sont concernées quelle que soit leur taille (fournisseurs DNS, registres de noms de domaine, etc.).

Les obligations clés

Article 21 — Mesures de gestion des risques en matière de cybersécurité

L’article 21 constitue le coeur des obligations techniques et organisationnelles de NIS2. Les entités concernées doivent mettre en place des mesures de cybersécurité appropriées et proportionnées, couvrant au minimum :

  1. Politiques de sécurité des systèmes d’information et analyse des risques
  2. Gestion des incidents : procédures de détection, de réponse et de notification
  3. Continuité des activités : gestion des sauvegardes, reprise après sinistre, gestion de crise
  4. Sécurité de la chaîne d’approvisionnement : évaluation et gestion des risques liés aux fournisseurs
  5. Sécurité de l’acquisition, du développement et de la maintenance des réseaux et systèmes d’information
  6. Évaluation de l’efficacité des mesures de gestion des risques (audits, tests)
  7. Pratiques de base en matière de cyberhygiène et formation à la cybersécurité
  8. Politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement
  9. Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs
  10. Authentification multifacteur ou solutions d’authentification continue, communications sécurisées

Article 23 — Obligations de notification des incidents

La directive impose un processus de notification des incidents en plusieurs étapes auprès du CSIRT national ou de l’autorité compétente :

  • Alerte précoce : dans les 24 heures suivant la prise de connaissance d’un incident significatif, l’entité doit transmettre une première notification indiquant si l’incident est susceptible d’avoir été causé par un acte malveillant et s’il peut avoir un impact transfrontalier
  • Notification d’incident : dans les 72 heures, une notification plus détaillée incluant une évaluation initiale de l’incident, sa gravité, son impact et, le cas échéant, les indicateurs de compromission
  • Rapport final : dans un délai d’un mois après la notification d’incident, un rapport complet incluant une description détaillée de l’incident, le type de menace, les mesures d’atténuation appliquées et l’impact transfrontalier éventuel

Un incident est considéré comme significatif s’il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité, ou s’il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en leur causant des dommages matériels, corporels ou moraux considérables.

Calendrier et transposition

Le calendrier de mise en oeuvre de NIS2 est le suivant :

  • 16 janvier 2023 : entrée en vigueur de la directive
  • 17 octobre 2024 : date limite de transposition par les États membres en droit national
  • 17 avril 2025 : les États membres doivent établir la liste des entités essentielles et importantes
  • 17 octobre 2027 : première révision de la directive par la Commission européenne

En France, la transposition est portée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui a lancé des consultations publiques et travaille à l’élaboration du cadre réglementaire national. Les entreprises françaises doivent anticiper dès maintenant leur mise en conformité.

Sanctions en cas de non-conformité

NIS2 introduit un régime de sanctions harmonisé et significativement renforcé :

  • Entités essentielles : amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu
  • Entités importantes : amendes pouvant atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial
  • Responsabilité des dirigeants : les organes de direction peuvent être tenus personnellement responsables en cas de manquement, avec possibilité d’interdiction temporaire d’exercer des fonctions de direction

Ces sanctions sont comparables à celles du RGPD et témoignent de la volonté du législateur européen de faire de la cybersécurité une priorité absolue pour les entreprises.

Comment se préparer à NIS2

La mise en conformité NIS2 est un projet structurant qui nécessite une approche méthodique :

  1. Évaluer votre éligibilité : déterminez si votre organisation entre dans le périmètre de la directive et si vous êtes classé comme entité essentielle ou importante
  2. Réaliser un état des lieux : effectuez un audit de votre posture de cybersécurité actuelle par rapport aux exigences de l’article 21
  3. Identifier les écarts : comparez votre situation actuelle avec les obligations de NIS2 pour identifier les axes d’amélioration prioritaires
  4. Élaborer une feuille de route : définissez un plan d’action structuré avec des jalons clairs et des responsables identifiés
  5. Impliquer la direction : assurez-vous que les dirigeants comprennent leurs responsabilités et allouent les ressources nécessaires
  6. Mettre en place les processus de notification : préparez vos procédures de détection et de notification des incidents dans les délais impartis
  7. Former vos équipes : sensibilisez l’ensemble des collaborateurs et formez les équipes techniques

Comment ConformITly peut vous accompagner

ConformITly est une plateforme SaaS conçue pour simplifier et accélérer votre mise en conformité NIS2. Notre solution vous permet de :

  • Qualifier automatiquement votre organisation selon les critères NIS2 (entité essentielle ou importante)
  • Réaliser votre analyse d’écarts grâce à un questionnaire structuré couvrant l’ensemble des exigences de l’article 21
  • Générer un plan d’action priorisé avec des recommandations concrètes adaptées à votre contexte
  • Suivre votre progression en temps réel avec des tableaux de bord et des indicateurs de conformité
  • Gérer vos incidents avec un workflow intégré respectant les délais de notification de l’article 23
  • Documenter votre conformité pour les audits et les contrôles des autorités compétentes

Que vous débutiez votre démarche ou que vous souhaitiez structurer un programme existant, ConformITly vous offre les outils nécessaires pour aborder NIS2 avec confiance.

Demander une démonstration et découvrez comment ConformITly peut transformer votre approche de la conformité NIS2.