← Retour au blog
Conformité
NIS2 : les 160 000 entreprises françaises concernées et ce qu'elles doivent faire

NIS2 : les 160 000 entreprises françaises concernées et ce qu'elles doivent faire

8 min de lecture

La directive européenne NIS2 (Network and Information Security 2), officiellement désignée sous la référence 2022/2555, représente une refonte majeure du cadre réglementaire en matière de cybersécurité au sein de l'Union européenne. Publiée au Journal officiel de l'UE en décembre 2022, elle abroge et remplace la directive NIS1 de 2016. En France, elle a été transposée en droit national via la loi n° 2023-703 du 1er août 2023, avec l'ANSSI (Agence nationale de la sécurité des systèmes d'information) désignée comme autorité nationale compétente.

L'un des changements les plus significatifs de NIS2 est l'élargissement considérable de son champ d'application. Là où NIS1 ne concernait qu'un millier d'opérateurs en France, NIS2 devrait s'appliquer à environ 160 000 entités françaises. Cet élargissement découle de l'extension du nombre de secteurs couverts et de l'abaissement des seuils de taille.

Les 18 secteurs couverts par NIS2

La directive distingue deux catégories de secteurs. Les secteurs dits "hautement critiques" (annexe I) comprennent : l'énergie (électricité, pétrole, gaz, hydrogène), les transports (aérien, ferroviaire, maritime, routier), le secteur bancaire, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services ICT, les entités de l'administration publique, et l'espace.

Les secteurs "critiques" (annexe II) incluent : les services postaux et de messagerie, la gestion des déchets, la fabrication et distribution de produits chimiques, la production et distribution alimentaire, la fabrication industrielle (dispositifs médicaux, équipements électroniques, machines, véhicules à moteur), les fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), et la recherche.

Critères de taille : qui est concerné ?

Pour être soumise à NIS2, une entité doit en principe dépasser l'un des deux seuils suivants : employer au moins 50 personnes (équivalent temps plein), ou réaliser un chiffre d'affaires annuel et/ou un total de bilan supérieur à 10 millions d'euros. Ce double critère suit la définition européenne des petites et moyennes entreprises.

Cependant, certaines entités peuvent être soumises à NIS2 indépendamment de leur taille. C'est notamment le cas des opérateurs de réseaux de communications électroniques publics, des prestataires de services de confiance, des registres de noms de domaine de premier niveau, ainsi que des entités dont une perturbation pourrait avoir un impact critique sur la sécurité publique ou la sécurité nationale.

Entités essentielles vs entités importantes

NIS2 introduit une distinction entre deux catégories d'entités soumises à ses exigences. Les "entités essentielles" sont les grandes organisations (250 salariés et/ou 50 M€ de CA / 43 M€ de bilan) opérant dans les secteurs hautement critiques. Les "entités importantes" regroupent les entités de taille intermédiaire (entre 50 et 250 salariés) des secteurs hautement critiques, ainsi que toutes les entités — quelle que soit leur taille — des secteurs critiques.

Cette distinction a une incidence directe sur l'intensité de la supervision exercée par l'ANSSI : les entités essentielles font l'objet d'une surveillance proactive (audits, contrôles ex ante), tandis que les entités importantes sont plutôt soumises à une supervision réactive, déclenchée par des incidents ou des signalements.

Les premières obligations à mettre en place

La conformité à NIS2 repose sur quatre piliers principaux. Premièrement, la gouvernance de la cybersécurité : les dirigeants doivent approuver et superviser les mesures de cybersécurité. Ils peuvent désormais être tenus personnellement responsables en cas de manquement. Il est donc essentiel de nommer un responsable de la sécurité des systèmes d'information (RSSI) ou de formaliser ce rôle.

Deuxièmement, la gestion des risques : les entités doivent mettre en place une approche structurée d'identification et de traitement des risques cyber. Cela comprend la cartographie des actifs critiques, l'évaluation des vulnérabilités et la mise en place de mesures proportionnées.

Troisièmement, la sécurité de la chaîne d'approvisionnement : NIS2 exige d'évaluer les risques liés aux fournisseurs et prestataires, en particulier ceux ayant accès aux systèmes d'information. Des clauses contractuelles de cybersécurité doivent être intégrées dans les nouveaux contrats.

Quatrièmement, la notification des incidents : tout incident "significatif" doit être notifié à l'ANSSI dans des délais stricts — alerte initiale sous 24 heures, rapport intermédiaire sous 72 heures, rapport final dans le mois suivant. Un incident est considéré significatif s'il cause ou peut causer des perturbations opérationnelles graves ou des préjudices financiers importants.

Pour les entreprises qui débutent leur démarche de conformité, la priorité est d'abord d'identifier si elles entrent bien dans le champ d'application de NIS2, puis de réaliser un état des lieux de leur niveau de maturité en cybersécurité, avant d'élaborer un plan d'action structuré et progressif.

*Cet article est informatif et ne constitue pas un conseil juridique.*

Cet article est informatif et ne constitue pas un conseil juridique.