1. Qu'est-ce que NIS2 ?
La directive NIS (Network and Information Security), adoptée en 2016, constitue le premier cadre législatif européen dédié à la cybersécurité. Elle imposait aux États membres de désigner des autorités compétentes et d'établir des exigences minimales pour les opérateurs de services essentiels et les fournisseurs de services numériques. Si elle a posé les fondations d'une approche commune, son application inégale d'un pays à l'autre a révélé des lacunes importantes en termes d'harmonisation.
Face à une évolution rapide des menaces cyber et à la fragmentation persistante entre États membres, la Commission européenne a publié la directive NIS2 (2022/2555) le 27 décembre 2022. Ce texte refond entièrement le cadre précédent : il élargit considérablement le périmètre des entités concernées, renforce les obligations de sécurité, alourdit les sanctions et exige une coopération renforcée entre autorités nationales. La directive est entrée en vigueur le 17 octobre 2024, date à laquelle les États membres devaient avoir transposé ses dispositions dans leur droit national.
En France, la transposition de NIS2 est pilotée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), l'autorité nationale compétente. Le projet de loi de transposition prévoit une montée en charge progressive : l'ANSSI identifiera les entités assujetties et les notifiera individuellement. Les entreprises concernées disposent alors d'un délai pour engager leur démarche de conformité. Il est toutefois recommandé d'anticiper dès maintenant en réalisant un état des lieux de ses pratiques de cybersécurité.
2. Qui est concerné ?
NIS2 distingue deux catégories d'entités soumises à obligations : les entités essentielles (EE) et les entités importantes (EI). Cette distinction détermine le niveau de supervision exercé par l'ANSSI et l'intensité des sanctions applicables.
| Critère | Entité Essentielle (EE) | Entité Importante (EI) |
|---|---|---|
| Taille | Grande entreprise (>250 salariés ou >50 M€ CA) | Moyenne entreprise (>50 salariés ou >10 M€ CA) |
| Secteurs | Annexe I (secteurs hautement critiques) | Annexe I ou II selon la taille |
| Supervision | Proactive (contrôles réguliers) | Réactive (contrôles a posteriori) |
| Sanctions max. | 10 M€ ou 2 % CA mondial | 7 M€ ou 1,4 % CA mondial |
Les 18 secteurs concernés
Énergie
Électricité, gaz, pétrole, hydrogène
Transports
Aérien, ferroviaire, maritime, routier
Secteur bancaire
Établissements de crédit
Infrastructures financières
Marchés financiers, chambres de compensation
Santé
Hôpitaux, laboratoires, R&D pharmaceutique
Eau potable
Réseaux de distribution d'eau
Eaux usées
Collecte et traitement des eaux usées
Infrastructures numériques
IXP, DNS, TLD, cloud, CDN, datacenters
Gestion des TIC
Prestataires IT (MSP, MSSP)
Administrations publiques
État, collectivités territoriales
Espace
Opérateurs d'infrastructures spatiales
Services postaux
La Poste, opérateurs de colis
Gestion des déchets
Collecte, recyclage, traitement
Chimie
Production et distribution de substances
Alimentation
Production, transformation, distribution alimentaire
Industrie
Dispositifs médicaux, équipements électroniques
Fournisseurs numériques
Marketplaces, moteurs de recherche, réseaux sociaux
Recherche
Organismes de recherche scientifique
Sous-traitants et chaîne d'approvisionnement
Même si votre entreprise ne relève pas directement d'un secteur couvert, vous pouvez être concerné si vous fournissez des services ou des produits à une entité essentielle ou importante. NIS2 impose en effet aux entités assujetties de s'assurer que leurs fournisseurs critiques respectent eux aussi un niveau de sécurité adéquat. En pratique, cela se traduit par des clauses contractuelles, des audits et des questionnaires de sécurité transmis par vos clients.
Vous n'êtes pas sûr d'être concerné ? Vérifier avec notre outil →
3. Les obligations concrètes
L'article 21 de la directive NIS2 définit les mesures techniques, opérationnelles et organisationnelles que les entités assujetties doivent mettre en place. Ces mesures doivent être proportionnées au niveau de risque, à la taille de l'entité et aux conséquences potentielles des incidents.
Gouvernance et responsabilité de la direction
Les organes de direction (PDG, conseil d'administration) doivent approuver les mesures de cybersécurité, superviser leur mise en œuvre et répondre personnellement en cas de manquement. NIS2 introduit une responsabilité personnelle des dirigeants : ils peuvent être tenus responsables en cas de négligence avérée ayant conduit à un incident majeur.
Gestion des risques de cybersécurité
L'entité doit réaliser une analyse de risques régulière, identifier ses actifs critiques et mettre en place une politique de sécurité documentée. Cette démarche inclut la classification des informations, la définition des niveaux d'exposition acceptables et la mise à jour périodique du registre des risques.
Sécurité de la chaîne d'approvisionnement
Les entités doivent évaluer et encadrer la sécurité de leurs fournisseurs et prestataires qui accèdent à leurs systèmes ou données sensibles. Cela comprend des clauses contractuelles de sécurité, des questionnaires d'évaluation et, pour les fournisseurs les plus critiques, des audits réguliers.
Gestion et notification des incidents (72 h)
Tout incident significatif doit faire l'objet d'une alerte précoce à l'ANSSI dans les 24 heures suivant sa détection, puis d'une notification complète dans les 72 heures. Un rapport final est attendu dans le mois suivant la résolution. La directive définit précisément les critères de significativité d'un incident.
Continuité d'activité et gestion de crise
Un plan de continuité d'activité (PCA) et un plan de reprise d'activité (PRA) doivent être formalisés et testés régulièrement. L'entité doit être en mesure de maintenir ou rétablir rapidement ses services essentiels en cas d'incident majeur, de sinistre ou d'attaque cyber.
Sécurité des ressources humaines
Les politiques de recrutement, d'intégration et de départ doivent intégrer des procédures de sécurité. Cela implique notamment des vérifications des antécédents pour les postes sensibles, des formations à la cybersécurité, et la révocation immédiate des accès lors du départ d'un collaborateur.
Utilisation de la cryptographie
Les données sensibles doivent être protégées par chiffrement, tant en transit qu'au repos. Les entités doivent adopter des algorithmes et longueurs de clés à l'état de l'art, documenter leur politique cryptographique et prévoir des procédures de rotation des clés et de gestion des certificats.
Sécurité des accès et authentification
L'authentification multi-facteurs (MFA) est requise pour tous les accès aux systèmes critiques, en particulier les accès distants et les accès à privilèges. Une politique de gestion des identités et des accès (IAM) doit définir le principe du moindre privilège et les procédures de revue régulière des droits.
4. Sanctions et contrôles
NIS2 instaure un régime de sanctions significativement plus sévère que son prédécesseur. Les amendes sont calculées en prenant le montant le plus élevé entre un plafond fixe et un pourcentage du chiffre d'affaires annuel mondial, afin d'être dissuasives quelle que soit la taille de l'entité.
| Catégorie | Amende maximale | Critère alternatif |
|---|---|---|
| Entité Essentielle | 10 000 000 € | ou 2 % du CA annuel mondial (le plus élevé) |
| Entité Importante | 7 000 000 € | ou 1,4 % du CA annuel mondial (le plus élevé) |
Responsabilité personnelle des dirigeants
NIS2 introduit une innovation majeure par rapport à la directive NIS1 : la responsabilité personnelle des dirigeants en cas de manquement grave aux obligations de cybersécurité. Les États membres peuvent prévoir des sanctions individuelles à l'encontre des personnes physiques exerçant des fonctions dirigeantes au sein des entités essentielles, pouvant aller jusqu'à l'interdiction temporaire d'exercer des fonctions de direction. Cette disposition vise à inciter les organes de gouvernance à s'impliquer directement dans la politique de cybersécurité.
Pouvoirs de l'ANSSI
L'ANSSI dispose de pouvoirs étendus pour contrôler la conformité des entités assujetties : audits de sécurité sur pièces et sur place, demandes d'informations, accès aux systèmes d'information dans le cadre d'inspections, injonctions de mise en conformité avec délai, et publication des manquements (« name and shame »). Pour les entités essentielles, les contrôles peuvent être initiés proactivement sans qu'un incident ne soit préalablement survenu.
5. Comment se conformer
La mise en conformité NIS2 est un projet d'entreprise qui s'étale sur plusieurs mois. Voici un plan en 5 étapes, fondé sur les recommandations de l'ANSSI et les retours d'expérience de premières démarches de conformité.
Cartographie des actifs
Mois 1–2Identifiez l'ensemble de vos actifs numériques : serveurs, applications, équipements réseau, postes de travail, accès cloud. Classifiez-les selon leur criticité pour l'activité. Cette étape est la fondation de toute démarche de gestion des risques.
Évaluation des risques
Mois 2–3Sur la base de la cartographie, conduisez une analyse de risques en identifiant les menaces, les vulnérabilités et les impacts potentiels pour chaque actif critique. La méthode EBIOS Risk Manager, recommandée par l'ANSSI, est adaptée à cet exercice.
Mise en œuvre des mesures
Mois 3–6Déployez les mesures techniques et organisationnelles priorisées selon votre analyse de risques : MFA, chiffrement, segmentation réseau, politique de mots de passe, gestion des patches, sauvegardes, détection des incidents. Documentez chaque mesure mise en place.
Formation des équipes
Mois 6–9Sensibilisez l'ensemble des collaborateurs aux risques cyber et aux bonnes pratiques. Formez spécifiquement les équipes IT aux nouvelles procédures, notamment la détection et la notification d'incidents. Incluez la direction dans les formations sur la gouvernance et les responsabilités NIS2.
Audit et amélioration continue
En continuPlanifiez des audits internes et externes réguliers pour vérifier l'efficacité de vos mesures. Mettez à jour votre analyse de risques au moins annuellement ou après tout changement majeur. Testez votre plan de continuité via des exercices de crise. Maintenez une documentation à jour de toutes vos démarches.
6. Liens officiels
Texte officiel NIS2 — EUR-Lex
EUR-LexDirective (UE) 2022/2555 dans son intégralité sur le Journal officiel de l'UE.
ANSSI — NIS2 en France
ANSSIPublications, guides et informations pratiques de l'Agence Nationale de la Sécurité des Systèmes d'Information.
ENISA — Lignes directrices NIS2
ENISARecommandations de l'Agence de l'UE pour la cybersécurité sur l'implémentation de NIS2.
EBIOS Risk Manager — ANSSI
ANSSIMéthode officielle d'analyse de risques recommandée pour la mise en conformité NIS2.