NIS2

Définition de NIS2

NIS2 est l'acronyme de Network and Information Security 2, le numéro 2 indiquant qu'il s'agit de la deuxième version d'une directive européenne (la première datant de 2016). Adoptée le 14 décembre 2022 sous la référence Directive (UE) 2022/2555, NIS2 a été transposée en droit français le 30 octobre 2024 par la loi n° 2024-983.

L'objectif est d'élever uniformément le niveau de cybersécurité dans l'Union européenne en imposant aux organisations critiques un socle d'exigences techniques, organisationnelles et procédurales. Là où la directive NIS1 ne couvrait qu'environ 500 entités en France, NIS2 en couvre désormais près de 35 000.

Qui est concerné par NIS2 ?

Le périmètre de NIS2 repose sur deux critères cumulatifs : le secteur d'activité et la taille de l'entreprise.

Sur le plan sectoriel, dix-huit secteurs sont couverts, répartis en deux catégories. Les secteurs « hautement critiques » incluent l'énergie, les transports, la banque, les infrastructures de marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC, l'administration publique et le spatial. Les secteurs « critiques » couvrent les services postaux, la gestion des déchets, la production chimique, la production alimentaire, l'industrie manufacturière, les fournisseurs numériques et la recherche.

Sur le plan de la taille, deux seuils déclenchent l'application de la directive : les entités essentielles (plus de 250 salariés ou 50 M€ de chiffre d'affaires) et les entités importantes (de 50 à 250 salariés ou de 10 à 50 M€ de CA). Certaines organisations sont automatiquement essentielles indépendamment de leur taille, notamment les administrations publiques centrales et les opérateurs d'infrastructures critiques.

Quelles obligations impose NIS2 ?

La directive structure ses exigences autour de quatre piliers : gouvernance, gestion des risques, gestion des incidents et continuité.

La gouvernance impose que les organes de direction approuvent les mesures de gestion des risques cyber, suivent leur mise en œuvre et soient formés régulièrement. La responsabilité personnelle des dirigeants peut être engagée en cas de manquement, point particulièrement structurant.

La gestion des risques exige une analyse documentée par système d'information critique, des politiques de sécurité approuvées au plus haut niveau, une maîtrise de l'écosystème (fournisseurs, prestataires, accès tiers), une politique de cryptographie et une politique d'authentification et de contrôle d'accès, dont l'authentification multifacteur pour les comptes sensibles.

La gestion des incidents impose un dispositif de détection, des procédures de qualification, et surtout une obligation de notification au CSIRT (en France l'ANSSI) selon des délais stricts : alerte précoce sous 24 heures après la détection, notification d'incident sous 72 heures avec une première évaluation d'impact, rapport final sous un mois.

La continuité d'activité demande l'identification des systèmes critiques, la documentation des dépendances et des tests réguliers des plans de continuité (PCA) et de reprise (PRA).

Quelles sanctions en cas de non-conformité ?

NIS2 introduit un régime de sanctions financières harmonisé à l'échelle européenne, calqué sur le RGPD. Les entités essentielles s'exposent à une amende administrative pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du CA mondial.

Au-delà des sanctions financières, la directive prévoit la possibilité pour l'autorité compétente d'interdire temporairement à un dirigeant d'exercer des fonctions de direction. Cette responsabilité individuelle des dirigeants constitue un changement de paradigme par rapport à NIS1 et explique l'attention croissante portée par les comités d'audit et les conseils d'administration au sujet cyber.

La transposition française précise par ailleurs le rôle de l'ANSSI, désignée autorité nationale de sécurité des systèmes d'information, et lui confère un pouvoir de contrôle sur pièces et sur place, ainsi qu'un pouvoir de sanction administrative.

Comment se mettre en conformité NIS2 ?

La conformité NIS2 ne se résume pas à un projet d'audit ponctuel. Elle suppose une démarche continue qui repose sur trois socles.

Le premier socle est la connaissance précise de son SI : recensement des activités essentielles, des systèmes les supportant, des dépendances et des flux de données. Sans cartographie à jour, il est mécaniquement impossible de répondre dans les 24-72 heures requises en cas d'incident.

Le deuxième socle est la formalisation des pratiques : politique de sécurité des systèmes d'information, plan de gestion des risques par actif critique, procédure de notification d'incident, plan de continuité testé. La directive ne prescrit pas un référentiel unique mais en France l'ANSSI a publié le Référentiel Cybersécurité France (ReCyF), désormais référence pour démontrer la conformité.

Le troisième socle est la preuve. NIS2 introduit la notion d'audit, et la capacité à démontrer la conformité sur pièces devient déterminante. Cela suppose un référentiel d'architecture vivant, des traces d'analyses de risques, des comptes-rendus de comité de sécurité, et des historiques d'incidents traités.