Directive NIS2 : guide complet de mise en conformité pour les entreprises
Tout savoir sur la directive européenne NIS2 : périmètre élargi, obligations de cybersécurité, sanctions, calendrier et plan d'action concret pour vous mettre en conformité.
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (Network and Information Security 2) est la refonte majeure du cadre réglementaire européen en matière de cybersécurité. Adoptée en janvier 2023 et devant être transposée dans chaque État membre d'ici octobre 2024, elle remplace la directive NIS originale de 2016 avec un périmètre considérablement élargi.
Là où NIS1 ne concernait qu'environ 300 entités en France, NIS2 étend ses obligations à plus de 15 000 organisations, couvrant 18 secteurs d'activité jugés critiques ou importants pour l'économie européenne.
Pourquoi NIS2 a-t-elle été créée ?
La multiplication des cyberattaques ciblant les infrastructures critiques (hôpitaux, administrations, chaînes d'approvisionnement) a révélé les limites de NIS1. Les principales lacunes identifiées étaient :
- Périmètre trop restreint : de nombreux secteurs critiques échappaient à la réglementation
- Harmonisation insuffisante : chaque pays appliquait des règles différentes, créant des disparités de protection
- Sanctions peu dissuasives : l'absence de sanctions significatives limitait l'incitation à la conformité
- Gestion de la supply chain : la sécurité des sous-traitants et fournisseurs n'était pas adressée
Qui est concerné par NIS2 ?
NIS2 distingue deux catégories d'entités soumises à des niveaux d'exigence différents :
Entités essentielles (EE)
Les entités essentielles sont celles dont la perturbation aurait un impact systémique sur l'économie ou la société :
- Énergie : électricité, gaz, pétrole, hydrogène, chauffage urbain
- Transport : aérien, ferroviaire, maritime, routier
- Banques et infrastructures financières
- Santé : hôpitaux, laboratoires, fabricants de dispositifs médicaux
- Eau potable et eaux usées
- Infrastructures numériques : fournisseurs DNS, cloud, data centers, CDN
- Administration publique
- Espace
Entités importantes (EI)
Les entités importantes couvrent un spectre plus large de secteurs :
- Services postaux et courrier
- Gestion des déchets
- Industrie chimique et agroalimentaire
- Fabrication de dispositifs médicaux et électroniques
- Services numériques : places de marché, moteurs de recherche, réseaux sociaux
- Recherche
Critères de taille
Sont concernées les organisations de ces secteurs dépassant les seuils suivants :
- Moyennes entreprises : 50 à 249 employés ou CA de 10 à 50 M€
- Grandes entreprises : 250+ employés ou CA supérieur à 50 M€
Attention : certaines entités sont incluses indépendamment de leur taille (fournisseurs DNS, registres de noms de domaine, prestataires de services de confiance).
Les 10 obligations clés de NIS2
1. Gouvernance et responsabilité de la direction
NIS2 impose une responsabilité directe des dirigeants en matière de cybersécurité. Les organes de direction doivent approuver les mesures de gestion des risques et peuvent être tenus personnellement responsables en cas de manquement. Ils doivent également suivre une formation en cybersécurité.
2. Analyse et gestion des risques
Chaque entité doit mettre en place une approche systématique d'analyse des risques cyber couvrant l'ensemble de ses systèmes d'information. Cette analyse doit être documentée, régulièrement actualisée et servir de base aux décisions de sécurité.
3. Gestion des incidents
NIS2 impose un processus strict de notification des incidents significatifs :
- Alerte précoce : dans les 24 heures suivant la détection
- Notification complète : dans les 72 heures avec évaluation d'impact
- Rapport final : dans le mois suivant, incluant les causes et mesures correctives
4. Continuité d'activité
Les entités doivent disposer de plans de continuité et de reprise d'activité (PCA/PRA) testés régulièrement, incluant la gestion de crise cyber et les procédures de sauvegarde et restauration.
5. Sécurité de la chaîne d'approvisionnement
C'est l'une des nouveautés majeures de NIS2 : les organisations doivent évaluer et gérer les risques liés à leurs fournisseurs et sous-traitants. Cela inclut des exigences contractuelles de sécurité et des audits réguliers.
6. Sécurité dans l'acquisition et le développement
La sécurité doit être intégrée dès la conception (security by design) dans l'acquisition, le développement et la maintenance des systèmes d'information, incluant la gestion des vulnérabilités.
7. Évaluation de l'efficacité des mesures
Les entités doivent mettre en place des processus d'évaluation continue de l'efficacité de leurs mesures de cybersécurité, via des audits, des tests d'intrusion et des exercices de simulation.
8. Pratiques de cyberhygiène et formation
La directive impose des programmes de sensibilisation et de formation à la cybersécurité pour l'ensemble des collaborateurs, ainsi que des politiques d'hygiène numérique (mots de passe, mises à jour, etc.).
9. Chiffrement et contrôle d'accès
Les organisations doivent déployer des politiques de chiffrement des données sensibles et de gestion des accès basées sur le principe du moindre privilège, incluant l'authentification multi-facteurs (MFA).
10. Reporting et coopération
NIS2 renforce la coopération entre États membres via le réseau CyCLONe et impose aux entités de partager des informations sur les menaces avec les autorités compétentes (ANSSI en France).
Sanctions prévues par NIS2
NIS2 introduit un régime de sanctions nettement plus sévère que son prédécesseur, s'inspirant du modèle RGPD :
- Entités essentielles : amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial
- Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial
- Responsabilité personnelle : les dirigeants peuvent être interdits d'exercer en cas de non-conformité répétée
Au-delà des amendes, les autorités nationales disposent de pouvoirs d'inspection, d'injonction et de suspension d'activité qui peuvent avoir des conséquences opérationnelles majeures.
NIS2 vs NIS1 : les différences majeures
La comparaison entre les deux directives révèle l'ampleur de la transformation :
- Périmètre : de 7 à 18 secteurs couverts, de 300 à 15 000+ entités en France
- Gouvernance : responsabilité directe des dirigeants (absente de NIS1)
- Supply chain : gestion obligatoire des risques fournisseurs (nouveau)
- Notification : délai réduit à 24h pour l'alerte précoce (vs 72h pour NIS1)
- Sanctions : alignement sur le modèle RGPD avec des amendes proportionnelles au CA
- Harmonisation : cadre plus uniforme entre les États membres
Plan d'action en 6 étapes pour se conformer à NIS2
Étape 1 : Déterminer votre statut (Semaines 1-2)
Identifiez si votre organisation entre dans le périmètre NIS2, en tant qu'entité essentielle ou importante. Analysez vos activités au regard des 18 secteurs couverts et vérifiez les critères de taille applicables.
Étape 2 : Réaliser un état des lieux (Mois 1-2)
Effectuez un audit de cybersécurité complet pour évaluer votre niveau de maturité actuel par rapport aux exigences NIS2. Identifiez les écarts et priorisez les actions correctives.
Étape 3 : Mettre en place la gouvernance (Mois 2-3)
Désignez un responsable cybersécurité, formez les dirigeants, créez un comité de pilotage cyber et définissez les politiques de sécurité. Documentez l'engagement de la direction.
Étape 4 : Déployer les mesures techniques (Mois 3-8)
Implémentez les mesures techniques requises : gestion des accès (MFA, moindre privilège), chiffrement, segmentation réseau, monitoring, détection d'incidents. Sécurisez votre infrastructure cloud selon les bonnes pratiques.
Étape 5 : Gérer la chaîne d'approvisionnement (Mois 4-9)
Cartographiez vos fournisseurs critiques, évaluez leurs niveaux de sécurité, intégrez des clauses contractuelles de cybersécurité et mettez en place un processus de suivi régulier.
Étape 6 : Tester et améliorer en continu (Permanent)
Réalisez des tests d'intrusion réguliers, simulez des incidents, auditez vos processus et adaptez votre stratégie aux nouvelles menaces. La conformité NIS2 n'est pas un projet ponctuel mais une démarche continue.
NIS2 et les environnements cloud
Les fournisseurs de services cloud (IaaS, PaaS, SaaS) sont directement concernés par NIS2 en tant qu'infrastructures numériques. Mais au-delà des fournisseurs, toute entité régulée utilisant le cloud doit s'assurer que ses déploiements respectent les exigences de la directive.
Cela implique notamment de :
- Vérifier les certifications et la conformité de vos fournisseurs cloud
- Mettre en place une architecture Zero Trust pour le contrôle d'accès
- Assurer le chiffrement des données au repos et en transit
- Maintenir une visibilité complète sur vos actifs cloud (CSPM, CWPP)
- Documenter le modèle de responsabilité partagée avec chaque fournisseur
FAQ sur la directive NIS2
Quand NIS2 entre-t-elle en vigueur en France ?
La transposition devait être finalisée pour octobre 2024. La France travaille sur son projet de loi de transposition. Les entités concernées doivent se préparer dès maintenant car les obligations s'appliquent dès la transposition effective.
Mon entreprise de 30 salariés est-elle concernée ?
En principe, les PME de moins de 50 salariés ne sont pas directement concernées, sauf si elles opèrent dans certains secteurs spécifiques (services DNS, registres de noms de domaine, prestataires de confiance) ou si elles sont identifiées comme critiques par les autorités.
Quel est le lien entre NIS2 et DORA ?
Le règlement DORA est un texte spécifique au secteur financier qui complète NIS2. Pour les entités financières, DORA prévaut en tant que lex specialis, mais NIS2 continue de s'appliquer pour les aspects non couverts par DORA.
Comment CloudSecure peut m'aider ?
CloudSecure accompagne les entreprises dans leur mise en conformité NIS2 avec des audits de maturité, des plans de remédiation personnalisés et un suivi continu. Notre expertise en sécurité cloud et notre plateforme cloudLightHouse permettent de répondre aux exigences techniques de la directive.
Besoin d'un accompagnement en cybersécurité ?
CloudSecure vous aide à sécuriser votre infrastructure cloud et à protéger vos données.
Contactez-nous