Points clés
La directive NIS2 (UE 2022/2555) est la réglementation européenne en matière de cybersécurité la plus importante à ce jour. Elle élargit le champ d'application de 7 à 18 secteurs et impose au moins 10 mesures de gestion des risques au titre de l'article 21. Les organisations classées comme essentielles ou importantes doivent respecter des délais stricts de notification d'incident — alerte précoce sous 24 heures, notification complète sous 72 heures et rapport final sous un mois — sous peine de sanctions atteignant 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les organes de direction encourent une responsabilité personnelle en cas de défaillance de supervision. Les groupes multi-entités doivent évaluer leur conformité filiale par filiale dans tous les États membres de l'UE concernés.
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (directive (UE) 2022/2555) est le cadre révisé de l'Union européenne pour un niveau commun élevé de cybersécurité. Elle est entrée en vigueur le 16.01.2023 et imposait une transposition par les États membres au plus tard le 17.10.2024. NIS2 remplace la directive NIS initiale (2016/1148) par un champ d'application plus large, des obligations plus strictes et une application harmonisée. Texte intégral de la directive (UE) 2022/2555 — EUR-Lex
Quelle est la différence entre entités essentielles et entités importantes au sens de NIS2 ?
Les entités essentielles opèrent dans les secteurs énumérés à l'annexe I de NIS2 (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique et espace). Les entités importantes opèrent dans les secteurs énumérés à l'annexe II (services postaux, gestion des déchets, produits chimiques, alimentation, fabrication, fournisseurs de services numériques et recherche). La classification détermine le régime de surveillance et les seuils de sanction. Selon la présentation de la directive NIS par l'ENISA, NIS2 couvre environ 160'000 entités dans l'UE — une extension considérable par rapport aux quelque 10'000 opérateurs couverts par la directive NIS initiale.
Quels sont les délais de notification d'incident prévus par NIS2 ?
L'article 23 de NIS2 établit un cadre de notification d'incident en trois étapes pour les incidents importants :
- Alerte précoce : dans les 24 heures suivant la prise de connaissance d'un incident important
- Notification d'incident : dans les 72 heures, incluant une évaluation initiale de la gravité et de l'impact
- Rapport final : dans un délai d'un mois, comprenant une description détaillée, une analyse des causes profondes et les mesures d'atténuation appliquées
Ces délais sont obligatoires tant pour les entités essentielles que pour les entités importantes. Directive NIS2, article 23 — EUR-Lex
Quelles sont les sanctions prévues par NIS2 ?
En vertu des articles 34 à 36 de NIS2, les sanctions sont structurées selon la classification de l'entité :
| Type d'entité | Amende maximale | Plafond fondé sur le chiffre d'affaires |
|---|
| Entité essentielle | 10'000'000 € | 2 % du chiffre d'affaires annuel mondial |
| Entité importante | 7'000'000 € | 1,4 % du chiffre d'affaires annuel mondial |
Au-delà des sanctions financières, l'article 20 de NIS2 introduit une responsabilité personnelle pour les membres des organes de direction qui ne supervisent pas la gestion des risques de cybersécurité. Directive NIS2, articles 20 et 34 à 36 — EUR-Lex
Comment NIS2 se compare-t-elle à la directive NIS initiale ?
| Aspect | Directive NIS (2016/1148) | Directive NIS2 (2022/2555) |
|---|
| Secteurs couverts | 7 secteurs | 18 secteurs |
| Périmètre des entités | ~10'000 opérateurs (estimation ENISA) | ~160'000 entités (estimation ENISA) |
| Mesures de gestion des risques | Obligation générale | 10 mesures minimales (article 21) |
| Notification d'incident | Variable selon l'État membre | Harmonisée : 24h / 72h / 1 mois |
| Responsabilité de la direction | Non précisée | Responsabilité personnelle (article 20) |
| Sanctions (essentielles) | Fixées par les États membres | Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial |
| Sécurité de la chaîne d'approvisionnement | Non explicitement requise | Obligatoire (article 21, paragraphe 2, point d) |
| Mécanisme d'examen par les pairs | Non établi | Établi (article 19) |
Quelles sont les 10 mesures minimales de gestion des risques prévues à l'article 21 de NIS2 ?
L'article 21, paragraphe 2, de NIS2 impose aux entités essentielles et importantes de mettre en œuvre au moins les mesures suivantes, selon une approche tous risques :
- Analyse des risques et politiques de sécurité des systèmes d'information
- Procédures de gestion des incidents
- Continuité des activités et gestion de crise
- Sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations avec les fournisseurs directs et les prestataires de services
- Sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information, y compris le traitement et la divulgation des vulnérabilités
- Politiques et procédures d'évaluation de l'efficacité des mesures de gestion des risques de cybersécurité
- Pratiques de base en matière de cyberhygiène et formation à la cybersécurité
- Politiques et procédures relatives à l'usage de la cryptographie et du chiffrement
- Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs
- Recours à l'authentification multifacteur, à des communications voix/vidéo/texte sécurisées et à des systèmes de communication d'urgence sécurisés
Directive NIS2, article 21, paragraphe 2, points a) à j) — EUR-Lex
NIS2 s'applique-t-elle aux entreprises hors UE ?
Oui. En vertu de l'article 26 de NIS2, les entités non établies dans l'UE mais fournissant des services au sein de l'Union qui relèvent du champ d'application de la directive doivent désigner un représentant dans l'un des États membres où elles fournissent leurs services. Cette portée extraterritoriale reflète l'approche adoptée par le RGPD. Directive NIS2, article 26 — EUR-Lex
Statistiques et contexte
Selon le rapport ENISA Threat Landscape 2024, les rançongiciels et les attaques de la chaîne d'approvisionnement demeurent les principales menaces pour les infrastructures critiques de l'UE, ce qui renforce la nécessité des mesures de sécurité de la chaîne d'approvisionnement imposées par l'article 21, paragraphe 2, point d), de NIS2. L'IAPP observe que la gouvernance de la protection des données et de la cybersécurité converge de plus en plus, les organisations gérant à la fois leurs obligations RGPD et NIS2 au moyen de plateformes GRC intégrées. Comme l'indique le considérant 1 de la directive NIS2 : « Les réseaux et systèmes d'information, et en particulier l'internet, jouent un rôle essentiel pour faciliter la circulation transfrontière des biens, des services et des personnes. La nature transnationale de ces systèmes signifie que toute perturbation importante, qu'elle soit intentionnelle ou non, dans un État membre peut affecter d'autres États membres et l'Union dans son ensemble. »