NIS 2
Directive Européenne Cybersécurité

1 Introduction à NIS 2

Pourquoi NIS 2 est-il crucial ?

Les cyberattaques contre les infrastructures critiques et les entreprises européennes ont explosé ces dernières années. Ransomwares paralysant des hôpitaux, attaques sur les chaînes d'approvisionnement, espionnage industriel : les menaces se sont multipliées et sophistiquées. Face à cette réalité, le cadre réglementaire de NIS 1 s'est révélé insuffisant.

NIS 2 répond à plusieurs constats. Premièrement, la fragmentation des règles nationales sous NIS 1 a créé des disparités significatives dans les niveaux de protection entre États membres. Certains pays avaient transposé la directive de manière minimaliste, créant des maillons faibles dans la chaîne de sécurité européenne.

Deuxièmement, le périmètre de NIS 1 était trop restreint. De nombreux secteurs critiques comme l'administration publique, l'espace, les eaux usées ou la gestion des déchets n'étaient pas couverts. Cette lacune exposait des pans entiers de l'économie et de la société aux cybermenaces.

Troisièmement, les sanctions prévues par NIS 1 manquaient d'effet dissuasif. L'absence d'harmonisation permettait à certaines organisations de considérer les amendes comme un simple coût opérationnel plutôt qu'une véritable incitation à investir dans la sécurité.

Calendrier et échéances

La directive NIS 2 impose un calendrier de transposition strict aux États membres. La date limite de transposition dans les législations nationales était fixée au 17 octobre 2024. À partir de cette date, les obligations de la directive sont applicables aux entités concernées.

Les États membres devaient identifier les entités essentielles et importantes sur leur territoire d'ici au 17 avril 2025. Cette identification permet de déterminer précisément quelles organisations sont soumises aux différents niveaux d'exigences de la directive.

Pour les organisations concernées, l'heure n'est plus à la temporisation. Les programmes de mise en conformité doivent être en cours, avec une attention particulière aux mesures de sécurité, aux processus de notification d'incidents et à la gouvernance de la cybersécurité.

2 Contexte et Genèse

De NIS 1 à NIS 2 : les leçons apprises

La directive NIS 1 (Directive 2016/1148), première législation européenne horizontale sur la cybersécurité, a posé les fondations d'une approche commune. Elle a introduit les notions d'Opérateurs de Services Essentiels (OSE) et de Fournisseurs de Services Numériques (FSN), avec des obligations de sécurité et de notification d'incidents.

Cependant, l'évaluation de NIS 1 a révélé plusieurs faiblesses structurelles. La marge de manœuvre laissée aux États membres dans la transposition a conduit à des approches très disparates. Certains pays ont adopté des critères stricts pour identifier les OSE, d'autres des approches plus souples, créant une hétérogénéité préjudiciable au marché intérieur.

La distinction entre OSE et FSN s'est également révélée artificielle et inadaptée à la réalité des services numériques modernes. Les FSN bénéficiaient d'un régime allégé alors que leur importance dans l'écosystème numérique justifiait des exigences plus strictes.

La pandémie de COVID-19 a agi comme un catalyseur, révélant la dépendance critique de nos sociétés aux systèmes numériques et l'urgence de renforcer leur résilience. L'attaque SolarWinds et d'autres incidents majeurs ont confirmé la nécessité d'une refonte profonde du cadre réglementaire.

Les objectifs de NIS 2

NIS 2 poursuit plusieurs objectifs ambitieux. L'harmonisation est au cœur de la démarche : établir un socle commun d'exigences applicables uniformément dans tous les États membres, réduisant les disparités et facilitant les activités transfrontalières.

L'extension du périmètre vise à couvrir les secteurs et entités critiques qui échappaient à NIS 1. L'approche sectorielle est maintenue mais élargie, avec l'ajout de nouveaux secteurs comme l'administration publique, l'espace, les services postaux ou la gestion des eaux usées.

Le renforcement de la gouvernance constitue un autre axe majeur. NIS 2 responsabilise directement les organes de direction des entités concernées, qui doivent approuver les mesures de gestion des risques et peuvent voir leur responsabilité personnelle engagée en cas de manquement.

L'amélioration de la coopération européenne, notamment via le réseau EU-CyCLONe (European Cyber Crises Liaison Organisation Network), renforce la capacité de réponse collective aux incidents transfrontaliers de grande ampleur.

Place dans l'écosystème réglementaire européen

NIS 2 s'inscrit dans un ensemble plus large de réglementations européennes en matière de cybersécurité et de numérique. Elle doit être comprise en articulation avec d'autres textes majeurs qui forment ensemble le cadre réglementaire cyber européen.

Le règlement DORA (Digital Operational Resilience Act) complète NIS 2 pour le secteur financier avec des exigences spécifiques en matière de résilience opérationnelle numérique. Les entités financières sont soumises aux deux textes, DORA prévalant comme lex specialis.

Le Cyber Resilience Act (CRA) vise la sécurité des produits comportant des éléments numériques, imposant des exigences de cybersécurité aux fabricants. Il complète NIS 2 qui se concentre sur les opérateurs plutôt que sur les produits.

Le règlement sur l'IA (AI Act) et le Data Act s'ajoutent à cet écosystème, créant un cadre réglementaire numérique européen complet et cohérent, dont NIS 2 constitue le pilier cybersécurité pour les opérateurs de services.

3 Périmètre d'Application

L'une des évolutions majeures de NIS 2 est l'élargissement considérable du périmètre d'application. La directive abandonne la distinction OSE/FSN au profit d'une nouvelle catégorisation en entités essentielles et entités importantes, basée sur des critères plus objectifs.

Entités essentielles vs entités importantes

La distinction entre entités essentielles et importantes détermine le niveau de supervision et les sanctions applicables. Les entités essentielles sont soumises à un régime de supervision plus strict, avec des contrôles proactifs et des sanctions plus élevées.

Les entités essentielles comprennent les grandes entreprises des secteurs hautement critiques (Annexe I de la directive) : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, infrastructure numérique, gestion des services TIC B2B, administration publique, et espace.

Les entités importantes englobent les moyennes entreprises des secteurs hautement critiques et les entreprises des autres secteurs critiques (Annexe II) : services postaux, gestion des déchets, fabrication de produits chimiques, industrie alimentaire, fabrication d'équipements, fournisseurs numériques, et recherche.

Critères de taille

NIS 2 introduit des critères de taille objectifs pour déterminer l'applicabilité. Les moyennes entreprises (50+ employés ou 10M€+ de CA) et grandes entreprises des secteurs visés sont automatiquement dans le périmètre, sans nécessiter de désignation individuelle par les autorités.

Les micro et petites entreprises sont généralement exclues, sauf exception pour certains secteurs critiques comme les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, ou les prestataires de services de confiance qualifiés.

Les États membres peuvent également désigner des entités supplémentaires sur base de critères spécifiques, même si elles ne remplissent pas les critères de taille, lorsqu'elles sont considérées comme critiques pour la société ou l'économie nationale.

Focus sur les secteurs clés

Infrastructure numérique : Ce secteur englobe les fournisseurs de points d'échange internet (IXP), les fournisseurs de services DNS, les registres de noms de domaine, les fournisseurs de services cloud, les centres de données, les fournisseurs de réseaux de diffusion de contenu, les prestataires de services de confiance, et les fournisseurs de réseaux de communications électroniques publics.

Gestion des services TIC : Les fournisseurs de services gérés (MSP) et les fournisseurs de services de sécurité gérés (MSSP) sont désormais explicitement inclus, reconnaissant leur rôle critique dans la chaîne d'approvisionnement numérique.

Administration publique : Les entités de l'administration publique centrale et régionale sont incluses, avec possibilité pour les États membres d'exclure les administrations locales et les entités impliquées dans la sécurité nationale, la défense ou l'application de la loi.

Espace : Nouveau secteur ajouté, couvrant les opérateurs d'infrastructures terrestres soutenant la fourniture de services spatiaux, reconnaissant la dépendance croissante aux services satellitaires.

4 Obligations des Entités

NIS 2 impose aux entités concernées un ensemble d'obligations structurées autour de trois piliers : la gouvernance, la gestion des risques, et la coopération avec les autorités.

Gouvernance et responsabilité des dirigeants

L'une des innovations majeures de NIS 2 est la responsabilisation directe des organes de direction. L'article 20 prévoit que les mesures de gestion des risques de cybersécurité doivent être approuvées par les organes de direction, qui supervisent leur mise en œuvre et peuvent être tenus responsables en cas d'infraction.

Les membres des organes de direction sont tenus de suivre une formation leur permettant d'acquérir des connaissances et compétences suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité. Cette obligation de formation s'étend également à la promotion de formations similaires pour les employés.

Cette responsabilisation vise à élever la cybersécurité au rang de priorité stratégique, au même titre que les risques financiers ou juridiques. Les dirigeants ne peuvent plus se retrancher derrière une méconnaissance technique pour échapper à leur responsabilité.

Obligation d'enregistrement

Les entités relevant du champ d'application de NIS 2 doivent s'enregistrer auprès de l'autorité compétente de leur État membre. Pour les entités opérant dans plusieurs États membres, des règles de compétence déterminent l'autorité principale.

L'enregistrement comprend des informations sur l'entité, ses activités, ses coordonnées et ses systèmes d'information. Cette base de données permet aux autorités d'avoir une vision complète des entités régulées et facilite la supervision.

Sécurité de la chaîne d'approvisionnement

NIS 2 accorde une attention particulière à la sécurité de la chaîne d'approvisionnement (supply chain). Les entités doivent prendre en compte les vulnérabilités propres à chaque fournisseur et prestataire de services directs, la qualité globale des produits et pratiques de cybersécurité de leurs fournisseurs.

Cette obligation implique une due diligence approfondie lors de la sélection des fournisseurs, des clauses contractuelles appropriées en matière de cybersécurité, et une surveillance continue des pratiques des prestataires critiques.

Les récentes attaques supply chain (SolarWinds, Kaseya, Log4j) ont démontré que les organisations les plus sécurisées peuvent être compromises via leurs fournisseurs. NIS 2 impose donc une approche systématique de ce risque.

5 Mesures de Sécurité

L'article 21 de la directive détaille les mesures de gestion des risques que les entités doivent mettre en œuvre. Contrairement à NIS 1 qui restait très général, NIS 2 prescrit explicitement dix catégories de mesures obligatoires.

Détail des mesures obligatoires

1. Politiques d'analyse des risques et de sécurité : Les entités doivent disposer de politiques formalisées couvrant l'identification, l'évaluation et le traitement des risques de cybersécurité. Ces politiques doivent être régulièrement revues et mises à jour.

2. Gestion des incidents : Des procédures de détection, d'analyse, de réponse et de récupération des incidents doivent être établies. Cela inclut la capacité à qualifier les incidents et à les notifier conformément aux obligations réglementaires.

3. Continuité d'activité : Les entités doivent assurer la continuité de leurs services essentiels, avec des plans de sauvegarde, de reprise après sinistre et de gestion de crise. Des tests réguliers de ces dispositifs sont attendus.

4. Sécurité de la chaîne d'approvisionnement : Une évaluation et une gestion des risques liés aux fournisseurs et prestataires sont obligatoires, incluant des exigences contractuelles et une surveillance des pratiques de sécurité des tiers.

5. Sécurité du cycle de vie : La sécurité doit être intégrée dans l'acquisition, le développement et la maintenance des systèmes, incluant la gestion des vulnérabilités et leur divulgation responsable.

6. Évaluation de l'efficacité : Des politiques et procédures doivent permettre d'évaluer régulièrement l'efficacité des mesures de sécurité mises en place, via des audits, tests et indicateurs de performance.

7. Hygiène cyber et formation : Les pratiques de base de cybersécurité doivent être instaurées et le personnel doit être régulièrement sensibilisé et formé aux enjeux et bonnes pratiques.

8. Cryptographie : Des politiques de chiffrement doivent protéger les données sensibles, tant au repos qu'en transit, avec une gestion appropriée des clés.

9. Sécurité RH et gestion des accès : La sécurité des ressources humaines (vérifications, habilitations), la gestion des actifs et le contrôle d'accès doivent être structurés et documentés.

10. Authentification et communications sécurisées : L'utilisation de solutions d'authentification multi-facteurs et de communications sécurisées (voix, vidéo, texte) est requise, en particulier pour les situations d'urgence.

6 Notification des Incidents

NIS 2 renforce considérablement les obligations de notification d'incidents, avec un processus en plusieurs étapes et des délais plus stricts que NIS 1. Ce dispositif vise à permettre une réponse rapide et coordonnée aux incidents significatifs.

Critères de notification

Un incident doit être notifié s'il est "significatif", c'est-à-dire s'il a causé ou est susceptible de causer une perturbation grave des services ou des pertes financières importantes, ou s'il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales.

La directive laisse aux États membres le soin de préciser ces critères par des seuils quantitatifs (pourcentage d'utilisateurs affectés, durée d'interruption, montant des pertes) ou qualitatifs (impact sur la sécurité publique, données sensibles compromises).

Processus en trois étapes

Alerte précoce (24 heures) : Dans les 24 heures suivant la connaissance d'un incident significatif, l'entité doit transmettre une alerte précoce indiquant si l'incident est suspecté d'être le résultat d'actes malveillants ou s'il pourrait avoir un impact transfrontalier.

Notification complète (72 heures) : Dans les 72 heures, une notification mise à jour doit être envoyée avec une évaluation initiale de l'incident, sa gravité et son impact, ainsi que les indicateurs de compromission disponibles.

Rapport final (1 mois) : Dans le mois suivant la notification, un rapport final détaillé doit être soumis, incluant une description détaillée de l'incident, le type de menace ou la cause racine probable, les mesures d'atténuation appliquées, et le cas échéant, l'impact transfrontalier.

7 Sanctions et Responsabilités

NIS 2 harmonise les sanctions à l'échelle européenne avec des montants significatifs, visant à créer un effet dissuasif réel. Les amendes varient selon la catégorie de l'entité (essentielle ou importante).

Sanctions administratives

Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Ces montants alignent les sanctions cyber sur celles du RGPD pour les infractions les plus graves.

Pour les entités importantes, les sanctions maximales sont de 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Bien que moins élevées, ces sanctions restent substantielles et constituent une incitation forte à la conformité.

Les États membres peuvent prévoir des astreintes (pénalités journalières) pour contraindre les entités à se mettre en conformité, ainsi que des sanctions non pécuniaires comme l'interdiction temporaire d'exercer pour les dirigeants.

Responsabilité des dirigeants

L'une des innovations majeures de NIS 2 est la possibilité de sanctions personnelles contre les dirigeants. En cas de manquement, les États membres peuvent prévoir l'interdiction temporaire d'exercer des fonctions de direction pour les personnes physiques responsables.

Cette responsabilisation individuelle vise à garantir que la cybersécurité soit effectivement portée au niveau des organes de direction. Les dirigeants ne peuvent plus déléguer cette responsabilité sans conséquence potentielle.

Pouvoirs de supervision

Les autorités compétentes disposent de pouvoirs étendus de supervision : inspections sur site et à distance, audits de sécurité, demandes d'informations, accès aux données et documents, et tests de conformité.

Pour les entités essentielles, la supervision est proactive avec des contrôles réguliers. Pour les entités importantes, elle est principalement réactive, déclenchée par des indices de non-conformité ou des incidents.

8 Transposition en France

La France transpose NIS 2 dans son droit national, avec l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) comme autorité compétente principale. Cette transposition s'appuie sur l'expérience acquise avec NIS 1 et le dispositif OSE existant.

Rôle de l'ANSSI

L'ANSSI assume le rôle d'autorité nationale compétente pour la plupart des secteurs. Elle est responsable de la supervision des entités, de la réception des notifications d'incidents, et de l'émission des sanctions. Pour certains secteurs, des autorités sectorielles peuvent être désignées.

L'ANSSI fait également office de point de contact unique (SPOC) pour la coopération européenne et coordonne la réponse aux incidents transfrontaliers. Elle participe au groupe de coopération NIS et au réseau des CSIRT européens.

Impact sur le paysage français

En France, NIS 2 concernera un nombre significativement plus important d'entités que NIS 1. Les estimations varient entre 10 000 et 15 000 organisations, contre environ 500 OSE sous NIS 1. Cette multiplication par 20 à 30 du périmètre représente un défi majeur tant pour les organisations que pour l'ANSSI.

Les collectivités territoriales sont un point d'attention particulier. Les régions, départements et certaines intercommunalités entreront dans le périmètre, alors que leurs capacités en matière de cybersécurité sont souvent limitées. Des dispositifs d'accompagnement sont prévus.

Le tissu de PME et ETI françaises est également fortement impacté. Beaucoup d'entreprises de taille intermédiaire dans les secteurs visés découvrent leurs nouvelles obligations et doivent rapidement structurer leur approche de la cybersécurité.

Articulation avec les dispositifs existants

La France dispose déjà d'un cadre réglementaire cyber mature avec les OIV (Opérateurs d'Importance Vitale) régis par la LPM. NIS 2 s'articule avec ce dispositif sans le remplacer : les OIV restent soumis à leurs obligations spécifiques, qui sont généralement plus strictes que NIS 2.

Pour les anciens OSE, la transition vers le nouveau régime NIS 2 doit être fluide, leurs obligations existantes couvrant une large partie des nouvelles exigences. L'effort portera principalement sur les nouvelles entités entrantes.

9 Mise en Conformité

La mise en conformité avec NIS 2 représente un chantier significatif pour les organisations concernées. Une approche structurée et progressive est essentielle pour réussir cette transition dans les délais impartis.

Étape 1 : Évaluer son statut

La première étape consiste à déterminer si l'organisation est dans le périmètre de NIS 2 et, le cas échéant, sa catégorie (essentielle ou importante). Cette analyse prend en compte le secteur d'activité, la taille de l'organisation (effectifs et chiffre d'affaires), et la nature des services fournis.

Pour les organisations opérant dans plusieurs pays européens, la détermination de l'État membre compétent est également cruciale. Les règles de compétence varient selon le type de service et l'implantation géographique.

Étape 2 : Réaliser un gap analysis

Un audit de l'existant permet d'identifier les écarts entre les pratiques actuelles et les exigences de NIS 2. Cet exercice couvre les dix domaines de mesures obligatoires et permet de prioriser les chantiers de mise en conformité.

Les organisations disposant déjà d'une certification ISO 27001 ou d'un programme de sécurité structuré partiront avec un avantage, une grande partie des exigences NIS 2 étant couvertes par ces référentiels.

Étape 3 : Établir la gouvernance

La mise en place d'une gouvernance appropriée est un prérequis. Cela implique l'implication formelle des organes de direction, la désignation de responsables, et l'allocation de ressources (budget, personnel, outils).

Un programme de formation des dirigeants doit être mis en place pour satisfaire aux exigences de l'article 20. Cette formation peut être externe ou interne, mais doit permettre une compréhension effective des enjeux cyber.

Étape 4 : Implémenter les mesures

L'implémentation des dix catégories de mesures requiert généralement plusieurs chantiers parallèles : formalisation des politiques, déploiement d'outils techniques, mise en place des processus, et formation du personnel.

La priorisation doit tenir compte à la fois des gaps identifiés et de l'impact potentiel de chaque mesure sur la réduction des risques. Les fondamentaux (gestion des accès, sauvegardes, détection) sont généralement traités en priorité.

Étape 5 : Préparer la notification d'incidents

Les processus de détection, qualification et notification des incidents doivent être établis et testés avant qu'un incident réel ne survienne. Les délais de notification étant très courts (24 heures), une préparation minutieuse est indispensable.

Des exercices de simulation d'incident permettent de tester la chaîne de notification et d'identifier les points d'amélioration. Ces exercices doivent impliquer les équipes techniques, la direction et les fonctions communication/juridique.

10 Conclusion et Perspectives

La directive NIS 2 marque un tournant majeur dans la régulation de la cybersécurité en Europe. En élargissant considérablement le périmètre des entités concernées, en renforçant les obligations et en harmonisant les sanctions, elle établit un nouveau standard de maturité cyber pour le tissu économique européen.

Pour les organisations concernées, NIS 2 représente à la fois un défi et une opportunité. Le défi est celui de la mise en conformité dans des délais serrés, avec des ressources parfois limitées. L'opportunité est celle d'élever structurellement le niveau de sécurité et de résilience, au bénéfice de l'organisation elle-même et de l'écosystème dans lequel elle opère.

La responsabilisation des dirigeants est peut-être l'évolution la plus significative de NIS 2. En faisant de la cybersécurité un sujet de gouvernance au même titre que les risques financiers ou juridiques, la directive contribue à ancrer durablement cette préoccupation au plus haut niveau des organisations.

Perspectives d'évolution

L'écosystème réglementaire cyber européen continuera d'évoluer. Le Cyber Resilience Act imposera des exigences de sécurité aux produits numériques, complétant l'approche "opérateurs" de NIS 2 par une approche "produits". L'articulation de ces textes sera un enjeu majeur.

La certification de cybersécurité européenne, via les schémas de l'ENISA, offrira des mécanismes de démonstration de conformité qui pourront faciliter la supervision des autorités et la confiance entre acteurs économiques.

Enfin, l'émergence de l'intelligence artificielle pose de nouvelles questions de sécurité que les futurs textes réglementaires devront adresser. NIS 2 n'est qu'une étape, certes majeure, dans la construction d'un cadre de cybersécurité européen adapté aux défis du XXIe siècle.