Connexion

Rechercher

NIS 2 : Une nouvelle ère pour la cybersécurité en Europe

Publications Publié le 28 février 2025

Comment capitaliser sur la transposition de la Directive NIS 2 en loi française qui vous contraint à relever votre niveau de cybersécurité ?

Dans le contexte international actuel, la cybersécurité est au cœur de toutes les attentions : le conflit en Ukraine et la situation régionale en sont la parfaite illustration.
Mais vous êtes-vous intéressé aux sabotages de câbles sous-marins reliant les pays scandinaves au reste de l’Europe ?

Avez-vous déjà songé à l’incidence d’une entreprise américaine comme Starlink sur un pays en conflit  ?

C’est précisément pour répondre à ces défis que l’Union européenne a introduit la Directive NIS 2, dont l’objectif est de promouvoir la souveraineté des systèmes d’information au sein de l’Union européenne, en renforçant la sécurité et la résilience des infrastructures critiques.

Dans cet article nous verrons ce qu’est concrètement la Directive NIS 2, nous ferons ensuite un point sur l’état de son implémentation en Europe, nous étudierons son champ d’application pour vous permettre de savoir si votre entreprise est concernée, avant de nous concentrer sur les exigences de la Directive et comment s’y conformer.

Comprendre la directive NIS 2

NIS 2 : la capitalisation sur une réussite de l’UE

NIS 2, pour « Network and Information Systems Directive 2 » est une directive européenne qui se concentre sur la sécurisation des acteurs, publics et privés, critiques pour les états membres.

Cette directive est l’extension de la Directive NIS 1, introduite en 2016. NIS 2 reprend les bases posées par NIS 1 et les développe davantage en élargissant le champ d’application, en incluant davantage de secteurs d’activité, et en renforçant les exigences de sécurité et les obligations de notification des incidents.

Une directive qui précise des jalons de sécurité

NIS 2 introduit deux catégories d’entités : les entités essentielles (EE) et les entités importantes (EI). Elles se distinguent selon le degré de criticité lié à leur secteur d’activité, selon leur taille ainsi que leur chiffre d’affaires.

Chaque entité régulée, privée ou publique, doit se signaler au régulateur (l’ANSSI en France), lui fournir des informations, mettre en place des mesures de gestion des risques qui pourraient affecter le système d’information et déclarer tout incident de sécurité. Vous retrouverez le détail des mesures dans le chapitre « Exigences de la Directive NIS 2 ».

En cas de non-respect des dispositions, les entités peuvent recevoir des sanctions financières pouvant représenter jusqu’à 2% du chiffre d’affaires mondial ou 10 millions d’euros (le montant le plus élevé étant retenu) pour les entités essentielles et 1,4% ou 7 millions d’euros pour les entités importantes.

Un calendrier avec des jalons immédiats

Le 27 décembre 2022, la Directive NIS 2 a été publiée au Journal officiel de l’UE, avec les échéances suivantes :

  • Le 17 octobre 2024, tous les États membres ont terminé leur transposition nationale de la Directive NIS 2
  • Le 17 janvier 2025, les États membres informent la Commission européenne des règles et mesures adoptées
  • Le 17 avril 2025, chaque États membre établit la liste des Entités Essentielles et Entités Importantes

La France n’a pas encore, au moment de la rédaction de cet article, de loi de transposition à proprement parler, mais le projet de loi a été construit et soumis à délibération du Conseil des Ministres et à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), l’entité régulatrice en France, a partagé pour consultation un référentiel de cybersécurité à destination des acteurs économiques assujettis à NIS 2.

Bien que ces éléments soient retardés par rapport au calendrier initial et qu’il est probable qu’ils soient mis en œuvre progressivement, comme cela a été fait pour le RGPD, un ensemble tangible se dessine pour encadrer les activités de nos entités essentielles et importantes.

Enfin, il est notable que cette transition fixera définitivement le calendrier d’applicabilité de ces mesures pour la France.

Etat de l’implémentation de la directive en France et en Europe

Etat des lieux de la transposition en Europe

La France n’est pas le seul État membre à avoir du retard dans la transposition de la Directive. Seuls la Belgique 1, la Croatie, la Hongrie 2, l’Italie 3, la Lettonie 4 et la Lituanie ont achevé cette démarche sur les 27 pays membres de l’UE.

Le graphique à trois couleurs ci-dessous permet d’identifier les pionniers en vert, d’identifier les pays ayant proposé la législation mais pas encore adoptée, et enfin en rouge, les pays pour lesquels aucune proposition n’a été publiée, et pour lesquels les délais d’implémentation ne sont pas complètement figés à la date de rédaction de l’article.

Il est tout particulièrement notable que l’Islande, le Liechtenstein, la Suède et la Norvège sont intégrés à cette carte, car bien que n’étant pas membres de l’Union européenne, ces États ont choisi de transposer cette directive dans leur corpus législatif national.

Figure 1 – État de la transposition de la NIS 2 en Europe en novembre 2024

Champ d’application de la directive NIS 2

Il est important pour les dirigeants d’entreprise de savoir que NIS 2 exige que les entreprises soient autonomes sur leurs déclarations. Il revient à chaque entreprise de savoir si elle est, oui ou non, concernée par la Directive NIS 2 et, le cas échéant, de se déclarer auprès de l’ANSSI.

L’ANSSI met à disposition sur son site un questionnaire5 permettant de savoir si une entité est concernée par NIS 2.

Situation géographique de NIS 2

Application aux entreprises européennes et extra européennes

NIS 2 s’applique aux entreprises établies dans au moins un état membre de l’union européenne.

La Directive NIS 2 s’applique également aux entreprises situées hors de l’Union européenne si elles fournissent des services ou produits à des clients situés dans l’UE et opèrent dans des secteurs critiques définis (par exemple, énergie, santé, transport, infrastructures numériques). Ces entreprises doivent garantir que leurs services respectent les normes de cybersécurité imposées par la Directive et sont tenues de désigner un représentant légal dans l’UE chargé d’agir comme point de contact avec les autorités européennes. Ce représentant est responsable de la conformité de l’entreprise, notamment en ce qui concerne la mise en œuvre de mesures de gestion des risques et la notification d’incidents graves affectant leurs clients européens. En cas de non-respect, des sanctions importantes peuvent être imposées, ce qui oblige les entreprises à s’aligner sur les exigences européennes pour gérer leurs activités sur le marché de l’UE.

Application aux entreprises présentes dans plusieurs états membres

Lorsqu’une entité est présente au sein de plusieurs états membres de l’Union européenne, la Directive établit un cadre pour harmoniser son application et éviter les doublons ou incohérences dans les exigences.

Si une entreprise opère dans plusieurs états membres, l’autorité compétente de l’État membre où se trouve son siège social est généralement désignée comme autorité de supervision principale. Les autorités des autres états membres collaborent avec l’autorité principale pour superviser les activités locales de l’entreprise.

L’entreprise doit se conformer aux mêmes exigences de cybersécurité (gestion des risques et notification des incidents) dans tous les états membres où elle exerce des activités, selon les normes minimales définies par NIS 2.

Les sanctions en cas de non-conformité sont appliquées par l’autorité compétente de l’État membre concerné, en fonction de l’impact local ou transfrontalier de la violation.

Types d’entités et secteurs concernées

NIS 2 concerne des entités variées qui vont de la collectivité territoriale à la grande entreprise, en passant par les administrations publiques et les entreprises de taille moyenne.

Les secteurs concernés sont découpés en trois catégories : les secteurs hautement critiques, les secteurs critiques, et les acteurs choisis en inclusion ou exclusion par l’autorité administrative compétente, à sa discrétion.

Les deux premiers secteurs sont définis dans l’annexe 1 de la Directive. Le schéma ci-dessous présente les onze secteurs d’activités hautement critiques et les sous-secteurs définis pour les transports et l’énergie.

Figure 2 – Secteurs et sous-secteurs d’activités hautement critiques au sens de l’annexe 1

La Directive NIS 2 introduit également dans une seconde annexe, les « autres secteurs d’activités critiques » qui sont représentés ci-dessous.

Figure 3 – Autres secteurs d’activités critiques au sens de l’annexe 2

Pour les entités opérantes dans ces secteurs d’activités, la taille de l’entreprise permet de définir la catégorie d’entité :

  • Les micros et petites entreprises ne sont pas concernées par NIS 2.
  • Les entreprises de tailles moyennes ayant un des secteurs d’activité décris par l’annexe 1 ou l’annexe 2 sont considérées comme Entités Importantes (EI).
  • Les entreprises de tailles intermédiaires et grandes ayant un secteur d’activité hautement critique par l’annexe 1 sont considérées comme Entités Essentielles (EE) et celles ayant un secteur d’activité critique au sens de l’annexe 2 sont considérées comme Entités Importantes (EI).

Le tableau ci-dessous récapitule ces éléments.

Taille de l’entrepriseNombre d’employésChiffre d’Affaires (millions d’€)Bilan Annuel (millions d’€)Annexe 1Annexe 2
Intermédiaires et grandesX ≥ 250 ouY ≥ 50 ouZ ≥ 43Entités essentiellesEntités importantes
Moyennes250 ≥ X ≥ 50 ou50 ≥ Y ≥ 10 ou43 ≥ Z ≥ 10Entités importantesEntités importantes
Micro et petitesX < 50 etY < 10 etZ < 10Non concernéesNon concernées

Sont enfin, et par exception, considérées comme entités essentielles :

  • Les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau ainsi que les fournisseurs de services DNS, et ce, quelle que soit leur taille.
  • Les fournisseurs de réseaux publics de communications électroniques publiques ou de services de communications électroniques accessibles au public qui constituent des entreprises de taille moyenne.
  • Toute entité soumise à la Directive Résilience des Entités Critiques (REC).
  • Toute entité désignée Opérateur de service essentiel au titre de NIS 1.

Régime spécifique pour les acteurs numériques

Les acteurs numériques ne sont pas soumis aux exigences relatives aux mesures de sécurité transposées à l’échelle nationale.

Ils sont soumis à un acte d’exécution publié le 17 octobre 2024 par la Commission européenne6 qui précise les mesures à appliquer.

Périmètre d’application pour les entités concernées

La Directive NIS 2 et sa transposition visent l’ensemble des systèmes d’information d’une entité, que ces systèmes participent ou non aux activités et services pour lesquels l’entité est considérée comme EE ou EI.

Par ailleurs, il est possible d’exempter certains sous périmètres de l’application des mesures de sécurité lorsque ces SI ne sont pas exposés à des risques pouvant impacter l’activité ou les services fournis par l’entité. Néanmoins cette exemption doit être justifiée par une analyse de risque complète et approfondie.

Les critères permettant à l’entité d’exempter un SI sont précisés avec les objectifs de sécurité dans le référentiel des mesures NIS 2.

Exigences de la Directive NIS 2

Les exigences pour les entités concernées par la Directive NIS 2 se divisent en trois catégories :

  1. Le partage d’information
  2. La gestion des risques cyber
  3. La déclaration d’incident

Nous pouvons également citer la coopération avec les autorités compétentes en cas de contrôle de conformité.

Partage d’information des entités vers l’autorité

Il est de la responsabilité des entités soumises à NIS 2 de se déclarer auprès de l’ANSSI.

Les entités doivent identifier et mettre à jour la liste de leurs systèmes d’information critiques, en spécifiant les services essentiels qui en dépendent et en analysant les interdépendances avec d’autres entités.

Elles doivent également réaliser des analyses de risque pour identifier les menaces potentielles et mettre en œuvre des mesures techniques, organisationnelles et opérationnelles pour assurer la continuité des activités, incluant un plan de résilience global.

Une évaluation des dépendances vis-à-vis des fournisseurs et partenaires, y compris les vulnérabilités dans les chaînes d’approvisionnement, est nécessaire.

Les entités essentielles et importantes doivent déclarer l’identification et la localisation de leurs infrastructures critiques, la nature des services fournis, et tout changement significatif.

Elles doivent démontrer la conformité aux exigences de sécurité prescrites par l’autorité nationale, y compris l’utilisation de produits certifiés et la réalisation d’audits externes.

Enfin, elles doivent documenter leurs procédures internes, incluant la formation des membres de direction et des personnels exposés aux risques de sécurité et simplifier les démarches de contrôles menés par les autorités compétentes.

La déclaration d’incidents

La Directive demande aux entités essentielles et importantes de déclarer tout incident ayant un « impact important » sur la fourniture de leurs services et activités.

Un incident est un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services des entités essentielles ou importantes que les réseaux et systèmes d’information offrent ou rendent accessibles.

Il est ensuite qualifié d’important s’il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ou s’il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels, ou moraux considérables.

La déclaration d’incident s’effectuera en plusieurs étapes : La notification, le rapport d’avancement et le rapport final :

  • Dans les 24h suivant l’incident, l’entité doit transmettre une alerte à l’ANSSI.
  • Dans les 72h une notification d’incident, mettant à jour la notification précédente, indique une évaluation initiale de la gravité de l’incident et de son impact, et les indicateurs de compromission le cas échéant (notons alors que cela correspond au délai réglementaire pour signifier un incident à la CNIL).
  • A la demande de l’ANSSI ou du Computer Security Incident Response Team (CSIRT) un rapport immédiat mis à jour avec les statuts de l’incident et des processus correctifs en cours.
  • Après un mois, les entités doivent soumettre un rapport final détaillé en cas d’incident critique, incluant au moins une action corrective. Ce rapport doit contenir une description précise de l’incident, identifier le type de menace ou la cause à l’origine de l’incident, et décrire les mesures appliquées ainsi que celles en cours d’implémentation. Si au bout de 30 jours l’incident est encore en cours, un rapport de progression doit être fourni.
  • Enfin, un rapport final détaillant la gestion de l’incident doit être soumis dans un délai de 60 jours, offrant une vue complète des actions entreprises pour résoudre et prévenir de futurs incidents similaires.

Cas des systèmes d’information gérés par des prestataires

En cas d’incident impactant un système d’information géré par un prestataire, et même si celui-ci est régulé par la directive NIS 2, c’est à l’entité propriétaire du Système d’information, c’est-à-dire l’entité régulée victime, d’assurer ces déclarations.

De plus, les entités essentielles et importantes doivent également informer sans délai tous les destinataires de leurs services potentiellement affectés par l’incident, en leur communiquant les mesures correctives à appliquer. Si le prestataire de services informatiques est lui-même victime de l’incident et régulé par la Directive, il doit notifier l’incident à l’autorité nationale compétente et à ses clients.

Mesures de sécurité imposées par NIS 2

Bien que la transposition dans la loi française ne soit pas encore complète à l’heure de la rédaction de cet article, de nombreux éléments et communications ont déjà été effectués par l’ANSSI. Aussi, nous anticipons que les mesures de sécurité finalement retenues dans la loi française seront proches des éléments décrits ci-après.

La liste actuellement étudiée est constituée de 20 objectifs de sécurité à l’intention des entités concernées7 :

  1. L’entité recense ses systèmes d’information.
  2. L’entité dispose d’un cadre de gouvernance de la sécurité numérique.
  3. L’entité essentielle met en place une approche par les risques.
  4. L’entité maitrise son écosystème.
  5. L’entité essentielle audite la sécurité de ses systèmes d’information.
  6. L’entité prend en compte la sécurité numérique dans la gestion de ses ressources humaines.
  7. L’entité maîtrise ses systèmes d’information réglementés.
  8. L’entité maîtrise les accès physiques à ses locaux.
  9. L’entité sécurise l’architecture de ses systèmes d’information réglementés.
  10. L’entité sécurise les accès distants à ses systèmes d’information réglementés.
  11. L’entité protège ses systèmes d’information réglementés contre les codes malveillants.
  12. L’entité essentielle sécurise la configuration des ressources de ses systèmes d’information réglementés.
  13. L’entité gère les identités et les accès des utilisateurs à ses systèmes d’information réglementés.
  14. L’entité maitrise l’administration de ses systèmes d’information réglementés.
  15. L’entité essentielle réalise les actions d’administration depuis des ressources dédiées.
  16. L’entité essentielle supervise la sécurité de ses systèmes d’information réglementés.
  17. L’entité a la capacité de réagir aux incidents de sécurité.
  18. L’entité dispose de capacité de continuité et de reprise d’activité.
  19. L’entité a la capacité de réagir aux crises d’origine cyber.
  20. L’entité dispose de moyens pour vérifier le fonctionnement de ses capacités opérationnelles.

Chacun de ces objectifs se décline en multiples moyens acceptables de conformité et mesures de sécurité associées.

Mise en œuvre des exigences de la Directive NIS 2

La Directive contraint les entités à la considérer comme un cadre de travail et non comme un chantier temporaire de mise en conformité.

La mise en conformité avec la Directive NIS 2 nécessite un engagement stratégique et une approche systématique. En mobilisant les ressources humaines, techniques et financières appropriées, les entreprises peuvent non seulement répondre aux exigences réglementaires mais aussi transformer la cybersécurité en un avantage compétitif.

De plus, la Directive NIS 2 exige que les entreprises effectuent des audits réguliers et des tests de pénétration pour évaluer l’efficacité de leurs mesures de sécurité et identifier les domaines nécessitant des améliorations. En adoptant une approche proactive et en intégrant la cybersécurité dans leur culture organisationnelle, les entreprises peuvent non seulement se conformer aux exigences de la directive NIS 2, mais aussi renforcer leur résilience face aux cybermenaces croissantes.

La question se pose alors des premières étapes à initier pour mettre sous contrôle son système d’information et se conformer à la réglementation.

Établir les fondations de la gouvernance de la cybersécurité

La mise en conformité débute par une gouvernance solide. Il s’agit de nommer un Responsable de la Sécurité des Systèmes d’Information (RSSI), chargé de conseiller la direction et de superviser la stratégie de cybersécurité.

La création d’un comité dédié permet de piloter la mise en œuvre des mesures et d’assurer un suivi régulier. Enfin, une Politique de Sécurité des Systèmes d’Information (PSSI) doit être adoptée et mise à jour annuellement pour garantir une gouvernance claire et adaptée.

Possibilité de s’appuyer par exemple sur des normes ou référentiels externes tels que ISO, SOC, COBIT, TOGAF….

Cartographier et prioriser

Une vision précise des actifs numériques et de l’écosystème est essentielle pour prioriser les efforts. Il s’agit de recenser tous les systèmes d’information, en identifiant ceux qui supportent des activités critiques. Parallèlement, une cartographie des fournisseurs et prestataires IT permet de repérer les flux sensibles et les dépendances.

Un audit de l’état de conformité actuel permet de révéler les écarts et vulnérabilités, posant alors les bases d’une stratégie d’amélioration.

Mettre en place une gestion des risques

L’analyse des risques permet de comprendre les menaces pesant sur les systèmes critiques et d’élaborer des scénarios de cyberattaques susceptibles d’impacter ses activités. Cet exercice doit être récurrent dans la méthodologie.

Cette démarche, complétée par une hiérarchisation des risques en fonction de leur gravité et probabilité, aide à définir les priorités de traitement. Un plan d’action structuré, validé par la direction, garantit que les mesures de mitigation sont cohérentes avec les objectifs de l’entreprise.

Malgré la présence de nombreuses ressources, notamment la méthodologie EBIOS poussée par l’ANSSI, cette étape est trop souvent sous-évaluée. Elle est pourtant essentielle pour communiquer avec tous les acteurs et prendre conscience des défaillances parfois systémiques de son organisation.

Mettre en œuvre des mesures techniques et organisationnelles

La mise en place de mesures techniques et organisationnelles permet de répondre aux enjeux de NIS 2. En effet la réglementation s’accompagne de la liste des mesures à mettre en place ainsi que des éléments acceptables pour les implémenter.

Bien que la traduction opérationnelle de ces éléments soit à la discrétion de l’entité concernée, les jalons sont clairs et posés par NIS 2.

Développer une capacité de réponse aux incidents

Une organisation doit être prête à gérer efficacement les incidents de cybersécurité. Cela passe par l’élaboration d’un plan de gestion des incidents, testé régulièrement via des exercices, et par la mise en place de solutions de continuité et de reprise d’activité pour minimiser les interruptions.

Piloter la conformité et l’amélioration continue

Des formations régulières sensibilisent les collaborateurs aux bonnes pratiques. Une revue annuelle garantit que les mesures de sécurité restent adaptées aux évolutions technologiques et réglementaires, tout en intégrant les leçons tirées des incidents passés.

Une démarche d’amélioration continue permet de faire évoluer le référentiel interne qui s’adapte aux évolutions et aux besoins de l’entreprise.

La Directive NIS 2 représente une avancée significative dans le renforcement de la cybersécurité au sein de l’Union européenne, en étendant et en approfondissant les mesures instaurées par la Directive NIS 1. Face à des menaces de plus en plus sophistiquées et omniprésentes, cette directive impose aux entités essentielles et importantes, qu’elles soient publiques ou privées, de se conformer à des exigences rigoureuses en matière de gestion des risques, de partage d’informations et de déclaration d’incidents.

La mise en œuvre de la Directive NIS 2 requiert un engagement stratégique de la part des entreprises, incluant la désignation de responsables dédiés, la réalisation d’analyses de risque régulières, et l’adoption de mesures techniques et organisationnelles robustes. Bien que la transposition de la directive dans les législations nationales puisse soulever des défis, elle offre également une opportunité de renforcer la résilience des infrastructures critiques et de promouvoir une culture de cybersécurité proactive.

En définitive, la Directive NIS 2 ne doit pas être perçue comme une simple obligation réglementaire, mais comme un cadre permettant aux entreprises de transformer la cybersécurité en un avantage compétitif. En adoptant une approche systématique et en intégrant la cybersécurité dans leur culture organisationnelle, les entreprises peuvent non seulement se conformer aux exigences de la Directive, mais aussi se préparer efficacement aux cybermenaces futures, assurant ainsi la continuité et la sécurité de leurs opérations.

Besoin d’assistance pour agir ?

Si vous avez besoin d’assistance pour comprendre et mettre en œuvre les exigences de la Directive NIS 2, n’hésitez pas à nous contacter.

Nous sommes à votre disposition pour vous aider à naviguer dans ce cadre réglementaire complexe et à renforcer la sécurité de vos systèmes d’information.

Article écrit le 28 novembre 2024.


Références (certains sites sont dans leur langue locale. Veuillez utiliser le module Google translate pour la traduction en français) :

  1. https://www.ejustice.just.fgov.be/cgi/article.pl?language=fr&sum_date=2024-05-17&lg_txt=n&pd_search=2024-05-17&s_editie=1&numac_search=2024202344&caller=sum&2024202344=4&view_numac=2024202344f ↩︎
  2. https://njt.hu/jogszabaly/en/2023-23-00-00 ↩︎
  3. https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG ↩︎
  4. https://url.us.m.mimecastprotect.com/s/3UKLCYE582CLMZq1gc0fGFxEZs9?domain=e-seimas.lrs.lt ↩︎
  5. https://monespacenis2.cyber.gouv.fr/simulateur ↩︎
  6. https://digital-strategy.ec.europa.eu/fr/library/nis2-commission-implementing-regulation-critical-entities-and-networks ↩︎
  7. Référentiel de cybersécurité pour les futurs acteurs économiques assujettis à NIS 2 ↩︎

Les auteurs

Cyril
Bordeaux
Maxime
Raffalli

Plus d'actualités

Publications
Guide de la facturation électronique 2025
Publié le 28 février 2025
Publications
Taxonomie environnementale : un critère de comparabilité supplémentaire pour l’évaluateur ?
Publié le 19 février 2025
Publications
L’AI Act est là : quels sont les enjeux et comment anticiper la mise sous contrôle de vos activités ?
Publié le 17 février 2025
Publications
IFRS 18 : une véritable amélioration de la présentation de la performance des entreprises
Publié le 13 janvier 2025
Publications
Nouvelle directrice associée – Mirella Venti
Publié le 20 décembre 2024
Publications
Quelles attentes pour l’arrêté des comptes 2024 ?
Publié le 3 décembre 2024
Nous contacter