NIS2 : c’est quoi ? Comprendre la directive européenne

Face à l’augmentation constante des cybermenaces, l’Union européenne a renforcé son arsenal réglementaire avec la directive NIS2, adoptée en décembre 2022 en U.E. Cette nouvelle version de la directive Network and Information Security vise à améliorer la sécurité des réseaux et des systèmes d’information dans les secteurs critiques de l’économie.

Mais NIS2, c’est quoi concrètement ? Quels sont ses objectifs, à qui s’adresse-t-elle, et surtout, quelles sont les obligations pour les entreprises concernées ? Cet article fait le point complet sur cette directive cybersécurité européenne, ses différences avec la première version (NIS1), et les étapes à suivre pour réussir sa mise en conformité NIS2.

C’est quoi NIS 2 ?

La directive Network and Information Security (NIS) est une initiative de l'Union Européenne adoptée en décembre 2022 dans le but de renforcer la cybersécurité des systèmes d'information au sein de ses États membres. Cette directive fait suite à la première NIS et cible principalement les opérateurs de services essentiels (OSE) ainsi que les fournisseurs de services numériques (FSN). 

Objectifs de la directive NIS 2

Les objectifs de la directive NIS2 sont multiples, mais convergent tous vers un renforcement global de la résilience cyber des États membres de l’Union européenne. 

• Harmoniser les exigences de cybersécurité à l’échelle européenne

• Améliorer la gestion des risques informatiques, 

• Assurer une réponse coordonnée face aux incidents majeurs

NIS2 impose également une gouvernance plus stricte de la sécurité des systèmes d'information, en exigeant des entreprises critiques qu’elles adoptent une approche proactive de la gestion des risques, renforcent leurs capacités de détection et de réaction, et collaborent plus efficacement avec les autorités nationales compétentes. 

L’objectif final est de mieux protéger les services essentiels au bon fonctionnement de la société et de l’économie contre les cybermenaces en constante évolution.

Pourquoi la NIS2 a-t-elle été mise en place?

Menaces et risques cyber croissants

Depuis plusieurs années, l'Europe est confrontée à une intensification des cybermenaces, tant en fréquence qu’en sophistication. Les attaques ciblent de plus en plus les infrastructures critiques, les entreprises stratégiques et les services publics, provoquant des interruptions majeures, des pertes financières considérables et des fuites massives de données.

Cette évolution alarmante du risque cyber a mis en lumière la nécessité d’un cadre réglementaire plus exigeant et plus harmonisé au niveau européen. Les États membres de l’UE ont donc reconnu l'urgence d'une stratégie commune pour renforcer la résilience numérique de leurs organisations essentielles, prévenir les incidents majeurs et assurer une réaction rapide et coordonnée à l’échelle du continent.

La directive NIS2, en tant que directive cybersécurité européenne, est ainsi née de cette volonté de faire face à un paysage numérique de plus en plus vulnérable et interdépendant.

Limites de la directive NIS1

Adoptée en 2016, la première directive NIS représentait un pas important dans la sécurisation des systèmes d'information à l’échelle européenne. Toutefois, elle a rapidement montré ses limites :

• Une application hétérogène d’un pays à l’autre, entraînant des écarts de protection entre États membres ;

• Un champ d’application trop restreint, excluant de nombreux secteurs pourtant critiques ;

• Des obligations peu contraignantes pour certaines entités, limitant leur impact réel sur la sécurité globale ;

• Une coordination insuffisante entre les autorités nationales compétentes et les entreprises concernées.

En réponse à ces failles, la directive NIS2 a été conçue pour renforcer la sécurité des réseaux et des systèmes d’information sur des bases plus strictes, avec des règles claires, étendues et mieux supervisées. Elle vise une mise en conformité NIS2 harmonisée et obligatoire pour un nombre plus large d’acteurs, dans le but de bâtir un écosystème numérique plus résilient à l’échelle de l’Union européenne.

À qui s’applique la directive NIS2 ? 

Les secteurs concernés par NIS 2 

La directive NIS2 s’applique à un total de 18 secteurs d’activité, répartis en deux grandes catégories d’entités : les entités essentielles (EE) et les entités importantes (EI).

Par rapport à la première version de la directive, NIS2 élargit considérablement son périmètre. Elle intègre cinq nouveaux secteurs et deux sous-secteurs supplémentaires pour les entités essentielles. 

Par ailleurs, les fournisseurs de services numériques, auparavant traités séparément, sont désormais classés parmi les entités importantes. 

NIS2 introduit également six nouveaux secteurs pour ces dernières, incluant les services postaux et d’expédition, la gestion des déchets, l’industrie chimique, la production alimentaire, la recherche et certaines activités de fabrication. Cette extension vise à mieux couvrir l’ensemble des infrastructures et services critiques à l’échelle européenne.

Entités essentielles (EE) vs entités importantes (EI)

La directive NIS2 distingue deux types d’entités en fonction de leur taille, de leur secteur d’activité et de leur impact potentiel sur la société : les entités essentielles (EE) et les entités importantes (EI).Selon les critères définis par l’ANSSI, une entité essentielle est une entreprise de taille moyenne à grande, opérant dans un secteur hautement critique.

Pour entrer dans cette catégorie, elle doit dépasser au moins un des seuils suivants : plus de 250 employés, un chiffre d’affaires égal ou supérieur à 50 millions d’euros, ou un bilan annuel supérieur ou égal à 43 millions d’euros. Certains acteurs stratégiques, comme les prestataires de services de confiance qualifiés, les fournisseurs de services DNS, les registres de noms de domaine ou les fournisseurs de réseaux publics, sont automatiquement classés comme entités essentielles, indépendamment de leur taille.

Les entités importantes, quant à elles, regroupent des structures de taille intermédiaire, avec un chiffre d’affaires compris entre 10 et 50 millions d’euros, ou un bilan annuel situé entre 10 et 43 millions d’euros. Bien qu’elles soient soumises à des obligations similaires, les sanctions et les niveaux de supervision sont adaptés à leur profil de risque.

En résumé, le schéma synthétique ci-dessous récapitule les secteurs concernés ainsi que les critères nécessaires pour identifier une entité comme essentielle ou importante :

Quelles sont les obligations imposées par NIS 2 ? 

Les exigences techniques de cybersécurité

Les entités essentielles (EE) et importantes (EI) sous la directive NIS2 doivent mettre en place des mesures techniques robustes pour renforcer la cybersécurité. Ces exigences incluent la mise en œuvre de solutions de prévention, détection et correction des cybermenaces, ainsi que l'intégration de processus de gestion des vulnérabilités. L’objectif est de garantir une résilience opérationnelle face aux cyberattaques, avec des dispositifs de sécurité adaptés aux risques spécifiques de chaque secteur.

La gouvernance et la gestion des incidents 

Les entreprises doivent définir une gouvernance claire en matière de cybersécurité, en désignant des responsables pour la gestion des incidents. Cela inclut la création de plans de réponse aux incidents de sécurité, l’identification des risques, et la mise en place de procédures pour minimiser l’impact des incidents. En plus de la gestion interne, une collaboration avec les autorités compétentes, telles que l’ANSSI, est indispensable pour assurer une gestion coordonnée des cyberattaques.

Renforcement de la résilience opérationnelle 

Les entreprises doivent déployer des stratégies de résilience permettant de maintenir leur fonctionnement même en cas d’attaque. Cela inclut la mise en œuvre de plans de continuité d’activité et de reprise après sinistre, afin de garantir que les services critiques restent opérationnels pendant et après une cyberattaque. Une attention particulière doit être portée à la gestion des risques liés à l'IT et aux infrastructures, ainsi qu’à la mise en place de tests réguliers pour évaluer la capacité de l'organisation à réagir face à un incident.

Approche par risque et gestion proactive des vulnérabilités

NIS2 impose aux entreprises d'adopter une approche par risque pour gérer la cybersécurité. Cela consiste à identifier, évaluer et traiter les risques de manière proactive. Les entités doivent mettre en œuvre des mesures préventives pour limiter l'impact des menaces potentielles et déployer une gestion continue des vulnérabilités. La cartographie des risques doit être mise à jour régulièrement pour suivre l’évolution des menaces et garantir la protection des systèmes d'information.

Notification des incidents à l’ANSSI

Dans le cadre de la directive NIS2, les entités essentielles et importantes sont tenues de signaler tout incident de sécurité majeur à l'ANSSI dans les 24 heures suivant sa découverte. Cette notification doit être accompagnée d'un rapport détaillé sur l’incident, notamment ses impacts et les mesures prises pour y remédier. Ce processus vise à garantir une réponse rapide et efficace aux cyberattaques et à éviter toute propagation des risques.

Notification à la CNIL en cas de violation des données 

En vertu du Règlement Général sur la Protection des Données (RGPD), les entreprises doivent notifier la CNIL en cas de violation de données personnelles. Cela inclut la perte, l'altération ou l'accès non autorisé aux données sensibles. La notification doit être effectuée dans les plus brefs délais pour permettre aux autorités compétentes d’agir rapidement et protéger les droits des individus concernés.

Désignation d’un point de contact cybersécurité

Afin de renforcer la coopération avec les autorités de cybersécurité, chaque entité doit désigner un interlocuteur spécifique chargé de la communication avec les autorités compétentes telles que l'ANSSI. Ce point de contact est responsable de la coordination en matière de cybersécurité, de la gestion des incidents et de la conformité aux exigences de la directive NIS2, en veillant à ce que l’organisation respecte les règles de sécurité et de notification.

Quelles sanctions en cas de non-conformité ?

Les entités essentielles (EI) sont soumises à des sanctions financières en cas de non-respect des obligations énoncées dans la directive NIS 2. Ces sanctions sont proportionnelles à la gravité de l'infraction et peuvent aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel de l'entreprise, selon le montant le plus élevé.

De manière similaire, les entités importantes sont également sujettes à des sanctions en cas de non-respect des exigences de la directive NIS 2. Les sanctions financières pour les entités importantes peuvent aller jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires annuel de l'entreprise, selon le montant le plus élevé.

Ces sanctions, bien que légèrement moins sévères que celles imposées aux entités essentielles, visent également à assurer la conformité et à promouvoir une culture de cybersécurité robuste au sein des entreprises opérant dans des secteurs stratégiques.

NIS2 vs NIS1 : quelles différences ?

Un champ d’application élargi

L’une des principales évolutions de la directive NIS2 par rapport à NIS1 réside dans l’élargissement de son champ d’application. Alors que NIS1 ne concernait qu’un nombre limité de secteurs, NIS2 étend sa portée à un total de 18 secteurs d’activité critiques, dont plusieurs étaient auparavant exclus ou faiblement réglementés.

Parmi les nouveaux secteurs couverts, on retrouve notamment la gestion des déchets, la production alimentaire, la recherche, ou encore les services postaux et d’expédition. En incluant ces domaines, NIS2 prend en compte les risques cyber liés à des chaînes de valeur plus vastes et interconnectées.

Cet élargissement vise à garantir une protection homogène des infrastructures critiques dans l’ensemble de l’Union européenne, en tenant compte des nouvelles vulnérabilités liées à la transformation numérique.

De nouvelles catégories pour les entités

NIS1 introduisait une distinction floue entre opérateurs de services essentiels et fournisseurs de services numériques. NIS2 clarifie et renforce cette catégorisation avec deux statuts bien définis :

• Entités essentielles (EE)
• Entités importantes (EI)

Cette différenciation permet une meilleure adaptation des obligations de cybersécurité selon le niveau de criticité et la taille des structures concernées. Elle permet aussi aux autorités compétentes, comme l’ANSSI en France, d’appliquer un niveau de supervision proportionné au risque associé à chaque entité.

Ce changement structurel facilite la mise en conformité NIS2, tout en améliorant l’efficacité des mécanismes de surveillance à l’échelle nationale et européenne.

Des règles de sécurité renforcées

Contrairement à NIS1, la directive NIS2 impose des exigences de cybersécurité plus strictes et détaillées, notamment en matière :

• de gestion des risques,
• de résilience numérique,
• de notification des incidents,
• de gouvernance,
• et de formation des équipes.

Les entreprises concernées doivent mettre en œuvre des mesures techniques et organisationnelles robustes, adapter leurs politiques internes, et se préparer à des contrôles accrus par les autorités compétentes.

La directive prévoit également des obligations de reporting plus précises : les cyberincidents majeurs doivent être notifiés dans un délai de 24 heures à l’autorité compétente, généralement l’ANSSI, avec un suivi détaillé.

En somme, NIS2 marque une rupture en instaurant une véritable culture de cybersécurité proactive, à travers une approche basée sur la gestion des vulnérabilités et la protection des systèmes critiques.

Comment se préparer à la mise en conformité avec NIS 2 ? 

Pour se conformer à la directive NIS 2, les entreprises doivent adopter une approche proactive et structurée. Cela implique d’évaluer leur niveau actuel de cybersécurité, de définir des priorités, et de mettre en œuvre les actions nécessaires pour répondre aux exigences spécifiques de la directive. Que ce soit pour les entités essentielles (EE) ou les entités importantes (EI), il est essentiel de suivre un processus en plusieurs étapes pour garantir la conformité dans les délais impartis.

CADRAGE

La première phase de mise en conformité NIS2 consiste à cadrer précisément le périmètre concerné. Elle débute par l’identification des systèmes d’information réglementés (SIR) au regard de la directive NIS2, en tenant compte des activités critiques et des dépendances numériques de l’organisation. Une cartographie complète des SIR, de leurs composants, de leurs interconnexions et de leurs flux est réalisée pour comprendre les zones d’exposition et de vulnérabilité. Cette cartographie permet également d’identifier les Prestataires Partenaires (PP) critiques, notamment les fournisseurs de services numériques ou de sous-traitance sensibles. Enfin, une analyse des risques est menée afin d’évaluer les menaces, impacts, et scénarios les plus plausibles, en posant les bases de la stratégie de traitement des risques.

AUDIT

La deuxième phase repose sur un audit organisationnel et technique visant à évaluer le niveau de conformité actuel de l’organisation face aux exigences de NIS2. Cet audit permet d’identifier les écarts réglementaires à combler. À partir de ces constats, une feuille de route de mise en conformité est élaborée, structurée autour des exigences prioritaires selon le niveau de criticité des risques identifiés et les ressources disponibles (humaines, financières, techniques). L’objectif est d’avoir une vision claire, pragmatique et priorisée des actions à engager, tout en assurant leur faisabilité opérationnelle.

Découvrez notre service d’audit de conformité NIS2

DEPLOIEMENT

La troisième phase consiste à mettre en œuvre les chantiers définis dans la roadmap. Cette phase comprend notamment la formalisation de la Politique de Sécurité des Systèmes d’Information (PSSI) et la rédaction des procédures associées (gestion des accès, incidents, sécurité physique, gestion des tiers,  sauvegardes, etc.), ainsi que le déploiement progressif des solutions techniques nécessaires. Des audits de sécurité transverses peuvent également être réalisés pour vérifier l’efficacité des dispositifs mis en place et ajuster les mesures si besoin.

HOMOLOGATION

La dernière phase vise à officialiser la conformité et à préparer l’organisation à une éventuelle inspection ou audit externe. Elle repose sur l’expertise du RSSI ou d’un expert cybersécurité en charge de préparer le dossier d’homologation, contenant les preuves de conformité, les indicateurs de performance (KPI) et les justificatifs des mesures de sécurité mises en œuvre. Un suivi des KPI permet de démontrer l’efficacité continue du système de sécurité et d’identifier les points d’amélioration. Un contre-audit peut être organisé en interne ou par un tiers pour valider le niveau de maturité et de conformité avant toute inspection formelle par les autorités compétentes.

Est-il indispensable de se faire accompagner pour la mise en conformité ? 

Se faire accompagner pour la mise en conformité avec la directive NIS 2 peut s’avérer crucial, notamment pour les entreprises qui n’ont pas les ressources internes suffisantes en cybersécurité. La complexité des exigences techniques et réglementaires de la directive, ainsi que le besoin d’assurer une sécurité optimale des infrastructures critiques, justifient le recours à des experts externes. Un accompagnement professionnel permet non seulement de respecter les délais de mise en conformité, mais aussi d’éviter les erreurs coûteuses et les risques de sanctions. De plus, les consultants spécialisés apportent leur expertise pour mettre en place des mesures adéquates et garantir une conformité durable face à des menaces toujours évolutives.

Découvrez comment Interdata a accompagné ses clients dans leur mise en conformité avec NIS 2