Directive NIS2 : les informations essentielles
- xdpo
- 1 oct.
- 7 min de lecture
Dernière mise à jour : 14 nov.
Qu'est-ce que la Directive NIS 2 ?
La directive NIS 2 (Network and Information Security) est une directive européenne visant à renforcer le niveau de cybersécurité à travers l'Union européenne. Elle a pour objectif principal d'harmoniser les mesures de sécurité et les obligations de notification des incidents pour un large éventail d'organisations.
NIS 2 est une refonte de la première directive NIS, adoptée en 2016. La première version a montré certaines limites, notamment une mise en œuvre inégale dans les différents pays de l'UE et un champ d'application jugé trop restreint face à l'évolution des cybermenaces.
La Directive NIS 2 vise à :
Élargir le champ d'application : Elle inclut de nombreux nouveaux secteurs d'activité, des transports à l'alimentation, en passant par la gestion des déchets et les fournisseurs de services numériques. Elle concerne les entreprises "essentielles" et "importantes", en fonction de leur taille et de leur rôle critique dans l'économie et la société. Là ou la directive NIS1 concernait environ 300 entreprises, la Directive NIS2 concernera environ 10 000 entreprises en France
Améliorer la gouvernance : La directive met l'accent sur la responsabilité des dirigeants d'entreprise, qui doivent prendre part à la gestion des risques cyber et s'assurer que leur organisation met en place les mesures nécessaires.
Renforcer les sanctions : En cas de non-conformité, les sanctions peuvent être sévères, avec des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le cas. Les dirigeants d'entreprises peuvent aussi être tenus personnellement responsables et se voir prononcer des interdictions de gestion.
Qui est concerné par la directive NIS2 ?
La directive NIS2 concerne un large éventail d'entités, tant du secteur public que privé, qui sont considérées comme essentielles ou importantes pour l'économie et la société de l'Union européenne. Elle vise à renforcer la cyber-résilience et à harmoniser les mesures de cybersécurité à travers les pays membres de l'UE.
Votre organisation est concernée si:
son activité est dans un secteur d'activité critique ou hautement critique
elle fait partir d'une entité essentielle (EE) ou importante (EI)
vos clients vous le demande, au titre de la sécurisation de leur chaîne d'approvisionnement.
En résumé, les entités concernées devront dépasser les seuils de 10M€ de chiffre d'affaires et de 50 employés : les petites entreprises ne sont pas concernées.
Par ailleurs, les collectivités de moins de 30 000 habitants ne seront pas concernées non plus.
Nous y revenons en détails dans notre article Directive NIS 2 : qui est concerné? disponible en cliquant ici
Quelle différence entre NIS 2 et le RGPD?
Bien que la directive NIS2 et le RGPD (Règlement Général sur la Protection des Données) visent tous deux à améliorer la sécurité numérique, leurs objectifs, leur portée et leurs domaines d'application diffèrent fondamentalement. Ils sont complémentaires et non interchangeables.
Voici les principales différences, présentées sous forme de tableau comparatif pour plus de clarté :
Critère | Directive NIS2 | RGPD |
Objectif principal | Vise à renforcer la cybersécurité des réseaux et systèmes d'information afin de garantir la continuité et la résilience des services essentiels et importants pour la société et l'économie. | Vise à protéger les données personnelles des individus et à leur donner le contrôle sur leur utilisation. |
Objet de la protection | Les infrastructures critiques et les systèmes d'information qui soutiennent les services essentiels (énergie, transport, santé, etc.). | Les données à caractère personnel (nom, adresse, numéro de téléphone, données de santé, etc.). |
Champ d'application | S'applique aux entités essentielles (EE) et aux entités importantes (EI) de 18 secteurs jugés critiques, en fonction de leur taille et de leur chiffre d'affaires. | S'applique à toutes les organisations qui traitent des données personnelles de citoyens de l'UE, quelle que soit leur taille ou leur secteur d'activité. |
Obligations clés | Mettre en place des mesures de gestion des risques (gouvernance, sécurité des systèmes, etc.), signaler les incidents significatifs dans des délais stricts (24h, 72h, 1 mois) et impliquer la direction. | Mettre en place des mesures de sécurité pour les données personnelles, obtenir le consentement explicite, tenir un registre des traitements, et signaler les violations de données personnelles à l'autorité de contrôle (CNIL en France) sous 72h. |
Sanctions | Amendes pouvant aller jusqu'à 10 M€ ou 2% du CA mondial pour les EE et 7 M€ ou 1,4% du CA mondial pour les EI. Les sanctions peuvent aussi être non financières (interdiction d'exercer pour les dirigeants). | Amendes pouvant atteindre 20 M€ ou 4% du CA mondial. |
Autorités de contrôle | L'ANSSI (Agence nationale de la sécurité des systèmes d'information) en France. | La CNIL (Commission Nationale de l'Informatique et des Libertés) en France. |
Quelle différence entre NIS 2 et DORA ?
Bien que la directive NIS2 et le règlement DORA partagent l'objectif commun de renforcer la cyber-résilience en Europe, ils diffèrent significativement dans leur portée, leur cadre juridique et leurs exigences spécifiques.
Voici les principales différences :
1. Les organisations concernées
NIS2 a une portée horizontale et large. Elle s'applique à un vaste éventail de secteurs critiques (énergie, transport, santé, infrastructures numériques, eau, etc.), à la fois dans le secteur public et privé. Elle couvre les "entités essentielles" et les "entités importantes".
DORA a une portée verticale et sectorielle. Il cible spécifiquement et exclusivement le secteur financier (banques, assurances, fonds d'investissement, infrastructures de marché, etc.) et leurs fournisseurs de services TIC critiques .
2. La nature juridique du texte
NIS2 est une directive. Cela signifie que chaque État membre de l'UE doit la transposer dans sa propre législation nationale, ce qui peut entraîner de légères variations d'application entre les pays .
DORA est un règlement. Il est directement applicable dans tous les États membres de l'UE dès son entrée en vigueur, sans besoin de transposition. Cela garantit une uniformité et une harmonisation complètes des règles pour le secteur financier à travers l'Europe .
3. La nature des exigences spécifiques
NIS2 se concentre sur les mesures de gestion des risques de cybersécurité. Elle impose des obligations de sécurité de base, de notification des incidents majeurs, de gestion de la chaîne d'approvisionnement et de gouvernance pour les entités concernées .
DORA va plus loin pour le secteur financier. En plus des mesures de sécurité, il insiste fortement sur la résilience opérationnelle numérique. Ses exigences sont plus détaillées, notamment :
Des tests de résilience numérique rigoureux, incluant des tests d'intrusion basés sur la menace (TLPT - Threat-Led Penetration Testing).
Une gestion très stricte des risques liés aux tiers, avec des exigences contractuelles spécifiques pour les fournisseurs de services TIC critiques .
Un cadre de notification d'incident et de partage d'informations .
Quelle est l'obligation clé de la directive NIS 2 ?
L'obligation clé de la directive NIS2 est la mise en place de mesures de gestion des risques de cybersécurité.
Cette obligation est au cœur du texte et impose aux entités concernées de prendre des actions concrètes pour protéger leurs systèmes d'information, qu'elles soient techniques, organisationnelles ou opérationnelles .
La directive NIS2 ne se contente pas de recommander, elle liste un ensemble de mesures minimales que les entités doivent appliquer pour démontrer leur conformité. Celles-ci incluent :
Politiques d'analyse des risques et de sécurité des systèmes d'information : Une approche structurée pour identifier, évaluer et traiter les menaces.
Gestion des incidents : Mise en place de procédures pour la détection, la gestion et la réponse aux incidents de sécurité .
Continuité des activités et gestion de crise : Des plans de reprise d'activité pour garantir la résilience en cas de cyberattaque majeure .
Sécurité de la chaîne d'approvisionnement : Intégration des exigences de cybersécurité pour les fournisseurs et sous-traitants .
Sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information .
Politiques et procédures de contrôle d'accès et de gestion des identités.
Utilisation de l'authentification à plusieurs facteurs (MFA) et de solutions de cryptographie .
Devoir de notification
Une autre obligation cruciale, étroitement liée à la gestion des risques, est le devoir de notification. Les entités doivent notifier aux autorités compétentes (comme l'ANSSI en France) les incidents qui ont un impact significatif sur la continuité de leurs services .
Alerte précoce : Dans les 24 heures suivant la détection d'un incident .
Notification complète : Dans les 72 heures avec une évaluation de la gravité et de l'impact .
Rapport final : Dans un délai d'un mois, détaillant l'incident et les mesures correctives .
Quelles sont les sanctions liés à la directive NIS 2 ?
La directive NIS2 prévoit des sanctions importantes et dissuasives en cas de non-respect de ses obligations, en particulier les mesures de gestion des risques et la notification des incidents. Ces sanctions sont conçues pour inciter les entités à prendre la cybersécurité très au sérieux .
Les sanctions ne sont pas les mêmes pour les deux catégories d'entités définies par la directive :
1. Sanctions financières
Le montant des amendes est proportionnel à la gravité des manquements et à la taille de l'entité .
Pour les entités essentielles (EE) : L'amende peut atteindre jusqu'à 10 millions d'euros ou 2% de leur chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu .
Pour les entités importantes (EI) : L'amende peut s'élever jusqu'à 7 millions d'euros ou 1,4% de leur chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu .
2. Sanctions non financières
Au-delà des amendes, la directive confère aux autorités nationales de contrôle (comme l'ANSSI en France) des pouvoirs d'exécution stricts :
Sanctions à l'encontre des dirigeants : Dans les cas de non-conformité graves et répétés, les dirigeants d'entreprise peuvent se voir temporairement interdire d'occuper des fonctions de direction .
Injonctions de conformité : Les autorités peuvent ordonner aux entités de prendre des mesures spécifiques pour se mettre en conformité dans un délai imparti .
Audits de sécurité obligatoires : Elles peuvent exiger la réalisation d'audits de sécurité par une entité externe .
Obligation de publication : Les autorités peuvent exiger qu'une entité rende public un manquement majeur à la directive, ce qui peut avoir un impact significatif sur la réputation et la crédibilité de l'entreprise .
3. Conséquences indirectes
Au-delà des sanctions directes, une non-conformité à la directive NIS2 peut entraîner d'autres conséquences préjudiciables :
Perte de confiance des clients et partenaires : Un incident de sécurité qui résulte d'une non-conformité peut ternir la réputation et entraîner une perte de confiance irréversible .
Litiges et poursuites judiciaires : Les partenaires ou clients affectés par un incident peuvent intenter des actions en justice pour les dommages subis .
Coûts indirects : Les coûts de remédiation d'une cyberattaque, la perte de revenus pendant une interruption de service et les frais de conseil juridique et d'audit peuvent largement dépasser le montant des amendes .
Quand est-ce que NIS 2 sera effective ?
La directive NIS2 est entrée en vigueur pour les États membres de l'Union européenne le 17 octobre 2024 .
Cependant, il est important de noter que cette date correspond à la date limite de transposition de la directive dans le droit national de chaque pays .
En ce qui concerne la France, on sait que le projet de loi " Relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité" a été enregistré à la Présidence de l'Assemblée Nationale le 10 septembre 2025 .
Malgré un paysage politique français instable, on peut imaginer que la Loi de transposition sera votée d'ici la fin de l'année .
