Qu’est-ce que NIS2 ? Tout ce que votre entreprise doit savoir

La directive NIS2 (Directive (UE) 2022/2555) est à ce jour la législation la plus complète de l’Union européenne en matière de cybersécurité. Elle remplace la directive NIS originale (2016) et étend considérablement à la fois le champ d’application et les obligations pour les organisations qui fournissent des services essentiels ou importants.

En bref : NIS2 établit des exigences de base en matière de cybersécurité et de notification d’incidents pour un large éventail de secteurs — de l’énergie et la santé à la finance, l’industrie manufacturière et l’infrastructure numérique. La conformité n’est pas facultative ; les sanctions pour violation peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

1. Contexte : Pourquoi NIS2 existe

La directive NIS originale de 2016 était la première tentative de l’UE pour harmoniser les exigences en matière de cybersécurité entre les États membres. Bien qu’elle ait amélioré la coordination, elle présentait des faiblesses majeures :

  • Portée limitée – Trop peu de secteurs étaient couverts, laissant de nombreuses industries critiques hors de son champ d’application.
  • Application incohérente – Les exigences variaient considérablement d’un État membre à l’autre.
  • Évolution des menaces – Les rançongiciels, les attaques de la chaîne d’approvisionnement et les cyberopérations parrainées par des États sont devenus plus sophistiqués.

Des incidents très médiatisés tels que l’attaque du Colonial Pipeline aux États-Unis, les rançongiciels contre des hôpitaux allemands et les violations de la chaîne d’approvisionnement comme SolarWinds ont clairement montré que les secteurs critiques avaient besoin d’une protection plus forte et uniforme à travers l’Europe.

2. Qui doit se conformer à NIS2 ?

Dans le cadre de NIS2, les organisations sont classées comme suit :

CatégorieExemplesApproche de supervisionPlafond des sanctions
Entités EssentiellesOpérateurs de réseaux électriques, grands hôpitaux, grands hubs de transport, banques centralesAudits proactifs, surveillance stricte10 M€ ou 2 % du chiffre d’affaires mondial
Entités ImportantesFournisseurs d’hébergement cloud, fabricants de dispositifs médicaux, usines de production alimentaire, fournisseurs industrielsSurveillance réactive (après incidents ou plaintes)7 M€ ou 1,4 % du chiffre d’affaires mondial

Seuil de taille : S’applique aux moyennes et grandes entreprises (+50 employés ou +10 M€ de chiffre d’affaires), mais les micro-entreprises peuvent tout de même être incluses si leurs services sont critiques — par exemple, un fournisseur de traitement de l’eau de 20 personnes dans une région rurale.

3. Secteurs couverts

NIS2 s’applique à 18 secteurs, répartis en secteurs de haute criticité et autres secteurs critiques.

Les secteurs de haute criticité comprennent :

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Banque & Infrastructure des marchés financiers
  • Santé (hôpitaux, cliniques privées, laboratoires)
  • Eau potable et eaux usées
  • Infrastructure numérique (DNS, registres TLD, centres de données, cloud computing)

Les autres secteurs critiques comprennent :

  • Services postaux et de messagerie
  • Gestion des déchets
  • Fabrication de produits chimiques
  • Production, transformation et distribution de denrées alimentaires
  • Fabrication de produits critiques (dispositifs médicaux, électronique, machines)

Exemple : Une entreprise néerlandaise produisant de l’oxygène de qualité médicale serait couverte à la fois par les règles relatives à la fabrication et à la chaîne d’approvisionnement de la santé.

4. Exigences clés de NIS2

Toute entité couverte doit :

  1. Mettre en œuvre des mesures de gestion des risques robustes
    Exemples : segmenter les réseaux opérationnels de l’informatique d’entreprise, appliquer des politiques strictes de rotation des mots de passe, chiffrer les données au repos et adopter des principes de confiance zéro (zero-trust).
  2. Signaler rapidement les incidents significatifs
    • Notification initiale dans les 24 heures suivant la prise de connaissance
    • Mise à jour sur l’incident dans les 72 heures
    • Rapport final dans un délai d’un mois
      Exemple : Si une attaque par rançongiciel paralyse les opérations d’un hub logistique, le premier rapport doit être envoyé à l’autorité nationale avant même que la reprise soit terminée.
  3. Gérer les risques de la chaîne d’approvisionnement
    • Vérifier les fournisseurs et les sous-traitants
    • Inclure des clauses de cybersécurité dans les contrats
    • Exiger des attestations de conformité régulières
  4. Assurer une surveillance au niveau de la direction
    La direction générale doit approuver les mesures de cybersécurité et peut être tenue personnellement responsable en cas de négligence.
  5. Être prêt pour les audits
    Les autorités de surveillance peuvent exiger à tout moment les journaux d’accès, les politiques de sécurité et la documentation des incidents.

5. Flux de travail détaillé pour la notification d’incidents

Pour respecter les délais de notification stricts, les entreprises doivent suivre un processus structuré :

Étape 1 – Détection : Incident détecté par les outils de surveillance ou le personnel.
Étape 2 – Évaluation initiale : Confirmer la portée, l’impact et si l’incident atteint le seuil d'”incident significatif”.
Étape 3 – Première notification : Dans les 24 heures, envoyer un rapport initial à l’autorité nationale compétente (par ex., BSI en Allemagne, ANSSI en France).
Étape 4 – Confinement & Reprise : Isoler les systèmes affectés, commencer la restauration.
Étape 5 – Rapport de mise à jour : Dans les 72 heures, fournir des détails sur la cause, les mesures d’atténuation et l’impact transfrontalier potentiel.
Étape 6 – Rapport final : Dans un délai d’un mois, soumettre les conclusions forensiques complètes et les mesures d’amélioration.

Conseil de pro : Les modèles d’incidents automatisés, comme ceux de GetNistra, réduisent considérablement le temps de notification.

6. Calendriers de conformité par pays

Bien que la date limite au niveau de l’UE pour la transposition soit le 17 octobre 2024, chaque pays a son propre cadre d’application :

  • Allemagne – Mis en œuvre via l’IT-Sicherheitsgesetz 3.0 (IT-SiG 3.0) ; supervisé par le BSI ; premiers audits prévus début 2025.
  • France – Décrets nationaux sous l’égide de l’ANSSI ; orientations sectorielles publiées en 2024 ; inspections à partir du T4 2025.
  • Italie – Décret législatif n° 138/2024 ; supervisé par l’ACN ; mise en œuvre progressive, évaluations des risques prévues pour mi-2025.
  • Pays-Bas – Loi sur la sécurité des réseaux et des systèmes d’information mise à jour ; appliquée par le NCSC-NL ; examens de conformité à partir de fin 2025.

7. Défis courants de la conformité

  • Sensibilisation de la direction – De nombreux dirigeants considèrent encore la cybersécurité comme un problème purement informatique.
  • Complexité de la chaîne d’approvisionnement – Les PME peuvent dépendre de dizaines de petits fournisseurs.
  • Préparation aux incidents – Sans automatisation, la notification en 24 heures est difficile.
  • Opérations transfrontalières – Différentes autorités de surveillance peuvent exiger des formats différents.

8. NIS2 vs. ISO 27001 : Leurs relations

Exigence NIS2Équivalent ISO 27001
Mesures de gestion des risquesContrôles de l’Annexe A
Notification d’incidentsA.16 (Gestion des incidents)
Sécurité de la chaîne d’approvisionnementA.15 (Relations avec les fournisseurs)
Responsabilité de la directionClauses sur le leadership
Préparation à l’auditSurveillance & revue du SMSI

Point clé : La certification ISO 27001 est une base solide mais ne garantit pas la conformité à NIS2.

9. Idées fausses sur NIS2

  1. “Seules les grandes entreprises sont concernées” – Faux. Les petites entités dans les chaînes d’approvisionnement critiques peuvent être incluses.
  2. “C’est juste un projet informatique” – Faux. C’est une exigence de gouvernance à l’échelle de l’organisation.
  3. “Si nous avons la certification ISO 27001, nous sommes déjà conformes” – Pas nécessairement ; NIS2 ajoute des exigences de notification d’incidents et de responsabilité de la direction.
  4. “Nous pouvons attendre que l’application commence” – Dangereux ; certaines mesures nécessitent des mois pour être mises en œuvre.

10. Intégration avec d’autres réglementations de l’UE

NIS2 recoupe plusieurs autres réglementations :

  • RGPD – Les obligations de notification d’incidents peuvent se chevaucher, mais NIS2 se concentre sur la sécurité des systèmes, pas sur les données personnelles.
  • DORA – S’applique au secteur financier, avec des règles complémentaires sur la résilience des TIC.
  • Directive CER – Couvre la résilience physique des entités critiques, souvent parallèlement aux mesures NIS2.

Une approche intégrée de la conformité réduit la duplication des efforts.

11. Sanctions en cas de non-conformité

  • Entités Essentielles – jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial
  • Entités Importantes – jusqu’à 7 M€ ou 1,4 % du chiffre d’affaires mondial
  • Interdictions possibles pour les dirigeants, divulgation publique des violations et exclusion contractuelle des marchés publics.

12. Contexte mondial

NIS2 s’inscrit dans une tendance mondiale vers une réglementation plus stricte en matière de cybersécurité :

  • États-Unis – Les directives de la CISA exigent une notification pour les infrastructures critiques dans les 72 heures.
  • Royaume-Uni – Le NCSC supervise des règles similaires pour les Opérateurs de Services Essentiels.

Cela fait de la conformité à NIS2 non seulement une obligation légale, mais aussi un avantage pour la compétitivité internationale.

13. Étapes pratiques pour commencer dès aujourd’hui

  1. Déterminez si votre organisation est classée comme Essentielle ou Importante.
  2. Comparez vos contrôles actuels avec les exigences de NIS2.
  3. Établissez un processus de réponse aux incidents capable de respecter le délai de 24 heures.
  4. Examinez les contrats pour les obligations de cybersécurité des fournisseurs.
  5. Planifiez des réunions d’information pour la direction sur la responsabilité personnelle.

14. Foire aux questions (FAQ)

Q : NIS2 s’applique-t-elle aux petites entreprises ?
Oui, si elles fournissent des services ou des produits critiques dans une chaîne d’approvisionnement couverte.

Q : Quand devrions-nous commencer à nous préparer ?
Immédiatement — les audits peuvent avoir lieu avec peu de préavis une fois la directive appliquée.

Q : Pouvons-nous externaliser la conformité ?
Vous pouvez externaliser les processus, mais pas la responsabilité.

15. Comment GetNistra vous aide à vous conformer plus rapidement

La conformité manuelle est coûteuse et prend du temps. La plateforme basée sur l’IA de GetNistra automatise jusqu’à 70 % du processus :

  • Analyse des écarts par rapport aux contrôles NIS2 et ISO 27001.
  • Génération automatisée de politiques adaptées à votre secteur et à votre taille.
  • Modèles de notification d’incidents alignés sur les directives de l’ENISA.
  • Suivi des risques des fournisseurs sur l’ensemble de votre chaîne d’approvisionnement.

→ Demandez dès aujourd’hui votre feuille de route NIS2 gratuite générée par l’IA et découvrez à quelle vitesse vous pouvez combler les lacunes de conformité.

Références :
Directive (UE) 2022/2555 – Texte officiel
ENISA – Lignes directrices NIS2
BSI – Loi allemande sur la sécurité informatique
ANSSI – Mise en œuvre de NIS2 en France
ACN – Agenzia per la Cybersicurezza Nazionale
NCSC-NL – Orientations NIS2