1. Qu'est-ce que NIS2 ?
La directive NIS2 (2022/2555), en vigueur depuis le 17 octobre 2024 (Article 41, Directive 2022/2555), élargit les obligations de cybersécurité à plus de 160 000 entités dans 18 secteurs à travers l'UE. Elle remplace NIS1 avec des sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial.
La directive NIS (Network and Information Security), adoptée en 2016, constitue le premier cadre législatif européen dédié à la cybersécurité. Elle imposait aux États membres de désigner des autorités compétentes et d'établir des exigences minimales pour les opérateurs de services essentiels et les fournisseurs de services numériques. Si elle a posé les fondations d'une approche commune, son application inégale d'un pays à l'autre a révélé des lacunes importantes en termes d'harmonisation.
Face à une évolution rapide des menaces cyber et à la fragmentation persistante entre États membres, la Commission européenne a publié la directive NIS2 (2022/2555) le 27 décembre 2022. Ce texte refond entièrement le cadre précédent : il élargit considérablement le périmètre des entités concernées — plus de 160 000 entités (Article 2, Directive 2022/2555) —, renforce les obligations de sécurité, alourdit les sanctions et exige une coopération renforcée entre autorités nationales. La directive est entrée en vigueur le 17 octobre 2024 (Article 41, Directive 2022/2555), date à laquelle les États membres devaient avoir transposé ses dispositions dans leur droit national.
En France, la transposition de NIS2 est pilotée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), l'autorité nationale compétente. Le projet de loi de transposition prévoit une montée en charge progressive : l'ANSSI identifiera les entités assujetties et les notifiera individuellement. Les entreprises concernées disposent alors d'un délai pour engager leur démarche de conformité. Il est toutefois recommandé d'anticiper dès maintenant en réalisant un état des lieux de ses pratiques de cybersécurité.
2. Qui est concerné ?
NIS2 classe les organisations en entités essentielles (plus de 250 salariés ou 50 M€ de CA) et importantes (plus de 50 salariés ou 10 M€ de CA) réparties dans 18 secteurs couverts par les Annexes I et II de la Directive 2022/2555, incluant énergie, santé, transports et infrastructures numériques.
Entités essentielles vs importantes
NIS2 distingue deux catégories d'entités soumises à obligations : les entités essentielles (EE) et les entités importantes (EI). Cette distinction détermine le niveau de supervision exercé par l'ANSSI et l'intensité des sanctions applicables. Les entités essentielles sont les grandes entreprises (plus de 250 salariés ou plus de 50 M€ de chiffre d'affaires) (Article 2, Directive 2022/2555) opérant dans les secteurs hautement critiques de l'Annexe I. Les entités importantes couvrent les moyennes entreprises (plus de 50 salariés ou plus de 10 M€ de CA) (Article 2, Directive 2022/2555) des secteurs de l'Annexe I ou II.
Critères de taille
Pour déterminer si vous êtes une entité essentielle ou importante, deux critères s'appliquent : le nombre de salariés et le chiffre d'affaires annuel. Une entreprise est considérée comme grande (seuil entité essentielle) si elle dépasse 250 salariés ou 50 M€ de CA (Article 2, Directive 2022/2555). Elle est considérée comme moyenne (seuil entité importante) si elle dépasse 50 salariés ou 10 M€ de CA (Article 2, Directive 2022/2555). Ces seuils s'apprécient au niveau de l'entreprise et non du groupe.
Les 18 secteurs couverts
La directive couvre 18 secteurs (Annexes I et II, Directive 2022/2555) répartis en deux annexes. L'Annexe I comprend 11 secteurs hautement critiques : énergie — transports — secteur bancaire — infrastructures des marchés financiers — santé — eau potable — eaux usées — infrastructures numériques — gestion des services TIC — administrations publiques — espace. L'Annexe II ajoute 7 secteurs critiques : services postaux et d'expédition — gestion des déchets — fabrication et distribution de produits chimiques — production et distribution alimentaire — industrie manufacturière — fournisseurs numériques — recherche.
Même si votre entreprise ne relève pas directement d'un secteur couvert, vous pouvez être concerné si vous fournissez des services ou des produits à une entité essentielle ou importante. NIS2 impose en effet aux entités assujetties de s'assurer que leurs fournisseurs critiques respectent eux aussi un niveau de sécurité adéquat. En pratique, cela se traduit par des clauses contractuelles, des audits et des questionnaires de sécurité transmis par vos clients.
3. Les obligations concrètes
L'article 21 de la Directive 2022/2555 impose huit obligations fondamentales : gouvernance, gestion des risques, sécurité de la chaîne d'approvisionnement, notification des incidents sous 24 h/72 h (Article 23), continuité d'activité, sécurité RH, cryptographie et contrôle des accès (MFA).
L'article 21 de la directive NIS2 définit les mesures techniques, opérationnelles et organisationnelles que les entités assujetties doivent mettre en place. Ces mesures doivent être proportionnées au niveau de risque, à la taille de l'entité et aux conséquences potentielles des incidents. On distingue huit grandes obligations.
Gouvernance et responsabilité
Premièrement, la gouvernance et la responsabilité de la direction : les organes de direction doivent approuver les mesures de cybersécurité et répondre personnellement en cas de manquement. Deuxièmement, la gestion des risques : analyse régulière, identification des actifs critiques, politique de sécurité documentée. Troisièmement, la sécurité de la chaîne d'approvisionnement : évaluation et encadrement des fournisseurs critiques par des clauses contractuelles et des audits.
Notification des incidents
Quatrièmement, la gestion et notification des incidents sous 72 heures (Article 23, Directive 2022/2555) : alerte précoce à l'ANSSI dans les 24 h (Article 23, Directive 2022/2555), notification complète dans les 72 h, rapport final dans le mois.
Continuité d'activité
Cinquièmement, la continuité d'activité : plan de continuité (PCA) et plan de reprise (PRA) formalisés et testés.
Gestion des risques
Sixièmement, la sécurité des ressources humaines : vérifications d'antécédents, formations, révocation immédiate des accès. Septièmement, l'utilisation de la cryptographie : chiffrement des données sensibles en transit et au repos, gestion des clés et des certificats. Huitièmement, la sécurité des accès : authentification multi-facteurs (MFA) obligatoire pour les systèmes critiques, politique IAM avec principe du moindre privilège.
4. Sanctions et contrôles
Les sanctions NIS2 atteignent 10 000 000 € ou 2 % du CA mondial pour les entités essentielles, et 7 000 000 € ou 1,4 % du CA pour les entités importantes (Article 34, Directive 2022/2555). Les dirigeants encourent une responsabilité personnelle pouvant aller jusqu'à l'interdiction temporaire d'exercer.
NIS2 instaure un régime de sanctions significativement plus sévère que son prédécesseur. Les amendes sont calculées en prenant le montant le plus élevé entre un plafond fixe et un pourcentage du chiffre d'affaires annuel mondial. Pour les entités essentielles, l'amende maximale est de 10 000 000 € ou 2 % du CA annuel mondial (Article 34, Directive 2022/2555). Pour les entités importantes, elle est de 7 000 000 € ou 1,4 % du CA annuel mondial (Article 34, Directive 2022/2555).
NIS2 introduit une innovation majeure par rapport à NIS1 : la responsabilité personnelle des dirigeants en cas de manquement grave aux obligations de cybersécurité. Les États membres peuvent prévoir des sanctions individuelles à l'encontre des personnes physiques exerçant des fonctions dirigeantes au sein des entités essentielles, pouvant aller jusqu'à l'interdiction temporaire d'exercer des fonctions de direction.
L'ANSSI dispose de pouvoirs étendus pour contrôler la conformité des entités assujetties : audits de sécurité sur pièces et sur place, demandes d'informations, injonctions de mise en conformité avec délai, et publication des manquements (name and shame). Pour les entités essentielles, les contrôles peuvent être initiés proactivement sans qu'un incident ne soit préalablement survenu.
5. Comment se conformer
La mise en conformité NIS2 se déroule en 5 étapes sur 9 mois minimum : cartographie des actifs, évaluation des risques (méthode EBIOS RM recommandée par l'ANSSI), déploiement des mesures techniques, formation des équipes et audit continu. La direction doit piloter ce projet d'entreprise.
La mise en conformité NIS2 est un projet d'entreprise qui s'étale sur plusieurs mois. Voici un plan en 5 étapes fondé sur les recommandations de l'ANSSI et les retours d'expérience de premières démarches de conformité.
Étape 1 : Cartographier les actifs
Étape 1 (mois 1-2) — Cartographie des actifs : identifiez l'ensemble de vos actifs numériques (serveurs, applications, équipements réseau, postes de travail, accès cloud) et classifiez-les selon leur criticité.
Étape 2 : Évaluer les risques
Étape 2 (mois 2-3) — Évaluation des risques : conduisez une analyse de risques en identifiant les menaces, vulnérabilités et impacts potentiels ; la méthode EBIOS Risk Manager recommandée par l'ANSSI est adaptée à cet exercice.
Étape 3 : Mettre en œuvre les mesures
Étape 3 (mois 3-6) — Mise en œuvre des mesures : déployez les mesures techniques et organisationnelles priorisées (MFA, chiffrement, segmentation réseau, gestion des patches, sauvegardes, détection des incidents) et documentez chaque mesure.
Étape 4 : Former les équipes
Étape 4 (mois 6-9) — Formation des équipes : sensibilisez l'ensemble des collaborateurs aux risques cyber et aux bonnes pratiques ; formez spécifiquement les équipes IT aux nouvelles procédures de détection et notification d'incidents ; incluez la direction dans les formations sur la gouvernance NIS2.
Étape 5 : Auditer et améliorer en continu
Étape 5 (en continu) — Audit et amélioration continue : planifiez des audits internes et externes réguliers, mettez à jour votre analyse de risques au moins annuellement, testez votre plan de continuité via des exercices de crise et maintenez une documentation à jour.
6. Liens officiels
Les ressources essentielles pour la conformité NIS2 incluent le texte officiel sur EUR-Lex, les guides pratiques de l'ANSSI (cyber.gouv.fr), les lignes directrices de l'ENISA, et la méthode EBIOS Risk Manager pour l'analyse de risques exigée par l'article 21.
Plusieurs ressources officielles vous permettent d'approfondir votre compréhension de la directive NIS2 et d'engager votre démarche de conformité.
Le texte officiel de la directive (UE) 2022/2555 est disponible dans son intégralité sur EUR-Lex, le journal officiel de l'Union européenne. L'ANSSI publie sur son site (cyber.gouv.fr) des guides pratiques, des outils d'auto-évaluation et des informations sur la transposition française de NIS2. L'ENISA (Agence de l'UE pour la cybersécurité) met à disposition des lignes directrices techniques et des recommandations d'implémentation pour les États membres et les entités concernées.
Pour la gestion des risques, la méthode EBIOS Risk Manager développée par l'ANSSI constitue la référence française recommandée pour conduire l'analyse de risques exigée par NIS2. Son guide complet est disponible en téléchargement gratuit sur le site de l'ANSSI.