La directive NIS 2 est une ré­gle­men­ta­tion eu­ro­péenne qui renforce la ré­si­lience des États membres et des en­tre­prises eu­ro­péennes aux risques liés aux cy­be­rat­taques, et ce grâce à des règles plus strictes. Au sein de la directive, on trouve ainsi la mise en œuvre de mesures de sécurité pour une meilleure pro­tec­tion in­for­ma­tique, ainsi que des audits de sécurité et des voies de sig­na­le­ment rapide des cy­be­rin­ci­dents.

DNS gratuit
Réduisez le temps de char­ge­ment de vos pages Web
  • Ré­so­lu­tion de domaine rapide pour un site Web toujours dis­po­nible
  • Pro­tec­tion accrue contre les pannes et les temps d'arrêt
  • Pas de transfert de domaine né­ces­saire

Qu’est-ce que la directive NIS 2 ?

La directive NIS 2 de l’Union eu­ro­péenne vise à améliorer la ré­si­lience contre les cy­ber­me­naces dans les in­fras­truc­tures es­sen­tielles et vitales des États membres. L’acronyme NIS 2 signifie « Network and In­for­ma­tion Security 2 » (sécurité des réseaux et de l’in­for­ma­tion). Entrée en vigueur le 16 janvier 2023, elle remplace la directive NIS 1, qui avait déjà permis un chan­ge­ment de mentalité en matière de sécurité in­for­ma­tique.

Afin d’assurer une pro­tec­tion maximale des États membres de l’UE tant dans le secteur privé que dans le secteur public, cette nouvelle ré­gle­men­ta­tion NIS 2 introduit des règles plus complètes et plus strictes destinées à un public plus large. Le cadre ré­gle­men­taire vise ainsi à renforcer la cyber-ré­si­lience et à lutter plus ef­fi­ca­ce­ment contre les cy­ber­me­naces et les failles de sécurité. La NIS 2 vise également à garantir que les ins­tal­la­tions critiques qui four­nis­sent des biens ou des services vitaux à la po­pu­la­tion soient protégées contre les pannes et les per­tur­ba­tions, même en cas de crise.

Le principal objectif de la NIS 2 est de mieux préparer les en­tre­prises à prévenir les cy­be­rat­taques et à réagir ef­fi­ca­ce­ment et ra­pi­de­ment aux per­tur­ba­tions in­for­ma­tiques. Une stratégie de sécurité plus cohérente dans les pays de l’UE doit ainsi permettre d’atteindre le plus haut niveau possible de cy­ber­sé­cu­rité, tant au niveau national qu’in­ter­na­tio­nal. Tous les Etats membres doivent trans­po­ser la directive, dont les obli­ga­tions con­cer­nent aussi bien les petites, moyennes et grandes en­tre­prises, dans leur droit national.

Quels sont les chan­ge­ments apportés par la directive NIS 2 ?

L’obli­ga­tion de trans­po­si­tion de la directive NIS 2 apporte de profondes nou­veau­tés dans 18 secteurs dif­fé­rents. Deux fois plus de secteurs sont con­si­dé­rés comme critiques par rapport à la ré­gle­men­ta­tion préalable, et la liste des amendes en cas de non-con­for­mité est renforcée. De plus, les di­ri­geants d’en­tre­prise sont mis à con­tri­bu­tion. En France, plus de 10 000 entités réparties dans les 18 secteurs sont con­cer­nées : des en­tre­prises, mais aussi des col­lec­ti­vi­tés ter­ri­to­riales et des ad­mi­nis­tra­tions.

Voici un aperçu des chan­ge­ments apportés par la directive NIS 2 :

  • Extension du cercle des secteurs critiques et des entités con­cer­nées : NIS 2 classe encore plus de secteurs comme critiques.
  • Sanctions plus sévères : la ré­gle­men­ta­tion augmente con­si­dé­ra­ble­ment les amendes pour les in­frac­tions.
  • Res­pon­sa­bi­lité des di­ri­geants : les cadres su­pé­rieurs sont désormais di­rec­te­ment res­pon­sables de la con­for­mité aux po­li­tiques de cy­ber­sé­cu­rité.
  • Champs d’ap­pli­ca­tion étendus : la directive NIS 2 s’applique aux en­tre­prises de plus de 50 employés ou dont le chiffre d’affaires est supérieur à 10 millions d’euros, ainsi qu’à certaines en­tre­prises, quelle que soit leur taille.
  • Nécessité d’analyses de risques ap­pro­fon­dies : les en­tre­prises ont l’obli­ga­tion d’effectuer des analyses de risques ap­pro­fon­dies.
  • Exigence de gestion des risques et de la sécurité : des exigences strictes s’ap­pli­quent à la gestion des risques et aux mesures de sécurité. Diverses mesures de pro­tec­tion telles que des tests d’intrusion, des pare-feux matériels, et des stra­té­gies de sau­ve­garde sont obli­ga­toires.
  • Gestion de crise obli­ga­toire : en cas d’incident de sécurité, des stra­té­gies de gestion de crise, des voies de com­mu­ni­ca­tion et des systèmes de no­ti­fi­ca­tion rapides et efficaces sont né­ces­saires.
  • Uti­li­sa­tion des pro­to­coles de sécurité existants : les en­tre­prises peuvent utiliser les normes de sécurité exis­tantes des secteurs ré­gle­men­tés comme référence.
My­De­fen­der
Cy­ber­sé­cu­rité complète
  • Analyses antivirus ré­gu­lières
  • Sau­ve­gardes au­to­ma­tiques et res­tau­ra­tions faciles

Qui est concerné par la directive NIS 2 ?

NIS 2 distingue les en­tre­prises de la catégorie élargie « entités es­sen­tielles » (EE) et de la catégorie « entités im­por­tantes » (EI), qui est en­tiè­re­ment nouvelle. Les en­tre­prises di­rec­te­ment con­cer­nées sont celles qui emploient plus de 50 personnes ou dont le chiffre d’affaires annuel est supérieur ou égal à 10 millions d’euros. De plus, certaines en­tre­prises, quelle que soit leur taille, peuvent être con­cer­nées par la NIS 2 si leur dé­fail­lance entraîne des risques sys­té­miques. La catégorie « es­sen­tielle » comprend les en­tre­prises de onze secteurs, notamment les en­tre­prises con­si­dé­rées comme in­fras­truc­tures critiques, qui ont un impact essentiel sur le fonc­tion­ne­ment de la société. La catégorie « im­por­tante » s’applique à sept secteurs d’im­por­tance sys­té­mique.

Secteurs et en­tre­prises es­sen­tiels (EE)

Les entités es­sen­tielles englobent les secteurs critiques dont le bon fonc­tion­ne­ment est vital pour la société. Ces secteurs incluent notamment :

  • L’énergie
  • L’eau potable
  • Les trans­ports
  • Le secteur bancaire
  • Les in­fras­truc­tures des marchés fi­nan­ciers
  • La santé
  • Le secteur spatial
  • La gestion des eaux usées
  • Les ad­mi­nis­tra­tions publiques
  • Les in­fras­truc­tures nu­mé­riques
  • La gestion des services TIC (B2B)

Secteurs et en­tre­prises im­por­tants (EI)

Les entités im­por­tantes, bien que moins critiques pour la société, jouent un rôle clé dans le maintien de la sécurité et de l’économie. Ces secteurs com­pren­nent :

  • Les services postaux et d’ex­pé­di­tion
  • La gestion des déchets
  • La fa­bri­ca­tion, pro­duc­tion et dis­tri­bu­tion de produits chimiques
  • La pro­duc­tion, trans­for­ma­tion et dis­tri­bu­tion des denrées ali­men­taires
  • Les four­nis­seurs nu­mé­riques
  • L’industrie ma­nu­fac­tu­rière
  • La recherche

Quelles sont les obli­ga­tions des en­tre­prises ?

Dans le cadre de la NIS 2, les en­tre­prises sont soumises à des obli­ga­tions strictes et à des chan­ge­ments sig­ni­fi­ca­tifs. Il s’agit notamment de :

Domaines de con­for­mité Mesures
Gestion des risques et gestion de la con­ti­nuité des activités (§30, 31) Le chif­fre­ment, l’au­then­ti­fi­ca­tion multi-facteurs, la cyber-hygiène, l’at­tri­bu­tion des rôles et le contrôle des accès, la gestion des sau­ve­gardes et la res­tau­ra­tion des systèmes, la sécurité de la chaîne d’ap­pro­vi­sion­ne­ment et l’analyse des risques font partie des mesures obli­ga­toires. Les exigences minimales varient en fonction de la taille de l’en­tre­prise, grâce à la règle du « size cap ».
Obli­ga­tions de no­ti­fi­ca­tion et d’in­for­ma­tion (§32, 35) Les incidents de sécurité im­por­tants doivent être notifiés à l’ANSSI dans les 24 heures. Les éva­lua­tions initiales doivent être dis­po­nibles dans les 72 heures. Un rapport final détaillé doit être fourni dans un délai d’un mois.
Obli­ga­tions d’en­re­gis­tre­ment (§33, 34) Les entités con­cer­nées et les four­nis­seurs de services de registre de noms de domaine doivent fournir des in­for­ma­tions au plus tard trois mois après l’entrée en vigueur de la NIS 2 par le biais d’une option d’en­re­gis­tre­ment ap­pro­priée. Si l’obli­ga­tion d’en­re­gis­tre­ment n’est pas remplie, elle peut l’être par l’ANSSI.
Obli­ga­tions d’ap­pro­ba­tion, de sur­veil­lance et de formation pour les di­rec­teurs (§38) Une dé­lé­ga­tion des mesures de sécurité de la part de la direction ne suffit plus. La direction doit approuver ac­ti­ve­ment les mesures né­ces­saires et est parfois tenue de dispenser une formation.
Mesures de sur­veil­lance et d’ap­pli­ca­tion (§61, 62) L’ANSSI agira vrai­sem­bla­ble­ment en tant qu’autorité de sur­veil­lance du respect des mesures requises. Au plus tôt trois ans après l’entrée en vigueur de la NIS 2, l’autorité de contrôle a la pos­si­bi­lité de demander des preuves du respect des obli­ga­tions. En cas de danger imminent, des mesures peuvent être ordonnées.

Comment faciliter l’ap­pli­ca­tion de la NIS 2 ?

Pour vous conformer ra­pi­de­ment à vos obli­ga­tions en tant qu’en­tre­prise concernée, vous devriez prendre les mesures suivantes :

  • Analyse de l’état actuel et de l’état souhaité : vérifiez si vous êtes concerné par les obli­ga­tions NIS 2 et dé­ter­mi­nez le statu quo et le potentiel d’amé­lio­ra­tion de la cyber-ré­si­lience de votre en­tre­prise.
  • Mise en œuvre : une analyse des risques et des mesures de sécurité doit être ap­pli­quées à tous les systèmes d’in­for­ma­tion
  • Éva­lua­tion régulière : l’ef­fi­ca­cité de vos propres méthodes de gestion des risques doit être évaluée ré­gu­liè­re­ment.
  • Création : il est obli­ga­toire de dé­ve­lop­per un concept de gestion des incidents de sécurité.
  • Gestion des sau­ve­gardes et des crises : des mesures de sau­ve­garde des données et de gestion de crise doivent être mises en œuvre.
  • Système de no­ti­fi­ca­tion : un système efficace de no­ti­fi­ca­tion des incidents de sécurité doit être mis en place.
  • Formation : les employés doivent être formés ré­gu­liè­re­ment.
  • Sécurité de la chaîne d’ap­pro­vi­sion­ne­ment : la sécurité de la chaîne d’ap­pro­vi­sion­ne­ment doit être assurée.

Que se passe-t-il si la NIS 2 n’est pas mise en œuvre ?

Les en­tre­prises qui ne mettent pas en œuvre les mesures pres­crites s’exposent à de lourdes amendes (§65). En vertu de la NIS 2, les autorités de contrôle se voient confier des pouvoirs étendus de su­per­vi­sion, de contrôle et d’ins­truc­tion, y compris l’ap­pli­ca­tion des délais. Les chefs d’en­tre­prise doivent désormais assumer une plus grande res­pon­sa­bi­lité en matière de mesures de pro­tec­tion et de sécurité et peuvent être tenus per­son­nel­le­ment res­pon­sables en cas d’in­frac­tion ou de né­gli­gence (§38, §61).

Quand la directive NIS 2 entrera-t-elle en vigueur ?

Le 14 décembre 2022, le Parlement européen et le Conseil ont adopté la directive (UE) 2022/2555, connue sous le nom de « NIS 2 ». Rem­pla­çant la directive NIS, elle est of­fi­ciel­le­ment entrée en vigueur le 16 janvier 2023. Elle doit être trans­po­sée dans le droit national de tous les États membres de l’UE avant le 17 octobre 2024. Elle introduit des mo­di­fi­ca­tions im­por­tantes au règlement eIDAS (UE) n° 910/2014 et à la directive EECC (UE) 2018/1972.

En France, plus de 10 000 en­tre­prises et ins­ti­tu­tions sont con­cer­nées par l’obli­ga­tion d’ap­pli­ca­tion de la NIS 2. C’est l’ANSSI, l’Agence nationale de la sécurité des systèmes d’in­for­ma­tion, qui pilote la trans­po­si­tion de cette ré­gle­men­ta­tion eu­ro­péenne au niveau national. Des réunions de con­cer­ta­tion ont été mises en place à partir de l’automne 2023 pour échanger avec les re­pré­sen­tants des entités con­cer­nées. L’ANSSI a également créé « Mon Espace NIS 2 », un service numérique dont l’objectif est d’ac­com­pag­ner les entités dans la mise en œuvre de la directive.

Aller au menu principal