Réglementation & Financement

Directive NIS 2 : ce qui change pour les entreprises françaises

La directive européenne NIS 2 renforce considérablement les obligations en cybersécurité. Découvrez qui est concerné, les nouvelles exigences et comment vous y préparer.

Mathieu Rutick · · 10 min de lecture
Directive NIS 2 : ce qui change pour les entreprises françaises
Sommaire

La directive NIS 2 (Network and Information Security Directive, EU 2022/2555) représente un tournant majeur dans la réglementation européenne en matière de cybersécurité. Adoptée le 14 décembre 2022 par le Parlement européen et le Conseil de l’Union européenne, elle remplace la directive NIS 1 de 2016 et élargit considérablement son périmètre d’application.

Pour les entreprises françaises, cette directive implique de nouvelles obligations significatives en matière de gestion des risques, de notification d’incidents et de gouvernance de la cybersécurité. Voyons en détail ce qui change et comment s’y préparer.

Contexte : pourquoi NIS 2 ?

La directive NIS 1, adoptée en 2016, était la première législation européenne dédiée à la cybersécurité. Elle ciblait principalement les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) dans des secteurs critiques comme l’énergie, les transports et la santé.

Cependant, NIS 1 présentait plusieurs limites :

  • Périmètre trop restreint : seuls quelques milliers d’entités étaient concernées en Europe
  • Transposition hétérogène : chaque État membre avait interprété la directive différemment
  • Sanctions insuffisantes : les amendes n’étaient pas assez dissuasives
  • Chaîne d’approvisionnement ignorée : les sous-traitants et fournisseurs n’étaient pas couverts

Face à l’explosion des cyberattaques (ransomwares, attaques sur la supply chain, espionnage étatique), l’Union européenne a décidé de renforcer significativement le cadre réglementaire.

Qui est concerné par NIS 2 ?

L’un des changements les plus importants de NIS 2 est l’élargissement massif du périmètre. La directive distingue désormais deux catégories d’entités :

Entités essentielles (EE)

Les entités essentielles sont les organisations dont la perturbation aurait un impact systémique. Elles incluent les secteurs suivants :

  • Énergie : électricité, pétrole, gaz, hydrogène, réseaux de chaleur
  • Transports : aérien, ferroviaire, maritime, routier
  • Banque et infrastructures des marchés financiers
  • Santé : hôpitaux, laboratoires, fabricants de dispositifs médicaux
  • Eau potable et eaux usées
  • Infrastructures numériques : DNS, IXP, cloud, data centers, CDN
  • Espace
  • Administration publique (au niveau central)

Entités importantes (EI)

Les entités importantes couvrent des secteurs supplémentaires :

  • Services postaux et d’expédition
  • Gestion des déchets
  • Industrie chimique et agroalimentaire
  • Fabrication : dispositifs médicaux, électronique, machines, véhicules
  • Fournisseurs numériques : marketplaces, moteurs de recherche, réseaux sociaux
  • Recherche (hors enseignement)

Critères de taille

NIS 2 introduit un critère de taille clair. Sont concernées les entreprises de ces secteurs qui dépassent les seuils suivants :

  • Moyennes entreprises : plus de 50 salariés ou plus de 10 millions d’euros de chiffre d’affaires
  • Grandes entreprises : plus de 250 salariés ou plus de 50 millions d’euros de chiffre d’affaires

Attention : certaines entités sont concernées quelle que soit leur taille, notamment les fournisseurs de services DNS, les registres de noms de domaine et les fournisseurs de services de confiance.

En France, on estime que NIS 2 concernera environ 15 000 à 20 000 entités, contre quelques centaines sous NIS 1. C’est un changement d’échelle considérable.

Les obligations clés de NIS 2

1. Gouvernance et responsabilité de la direction

NIS 2 place la cybersécurité au niveau de la direction générale. Les organes de direction doivent :

  • Approuver les mesures de gestion des risques cyber
  • Superviser leur mise en œuvre
  • Suivre des formations en cybersécurité
  • Être tenus responsables en cas de manquement

C’est un changement fondamental : la cybersécurité n’est plus uniquement l’affaire du DSI ou du RSSI. Les dirigeants peuvent être personnellement sanctionnés.

2. Mesures de gestion des risques

L’article 21 de la directive impose un ensemble de mesures minimales que chaque entité doit mettre en œuvre :

  • Analyse des risques et politiques de sécurité des systèmes d’information
  • Gestion des incidents : détection, réponse, notification
  • Continuité d’activité : sauvegardes, reprise après sinistre, gestion de crise
  • Sécurité de la chaîne d’approvisionnement : évaluation des fournisseurs et sous-traitants
  • Sécurité dans l’acquisition, le développement et la maintenance des systèmes
  • Évaluation de l’efficacité des mesures de gestion des risques (audits, tests)
  • Pratiques d’hygiène cyber et formation à la cybersécurité
  • Politiques de cryptographie et, le cas échéant, de chiffrement
  • Sécurité des ressources humaines, contrôle d’accès et gestion des actifs
  • Authentification multi-facteur (MFA) et communications sécurisées

3. Notification des incidents

NIS 2 impose un régime de notification des incidents de sécurité beaucoup plus strict que NIS 1 :

  • Alerte précoce : dans les 24 heures suivant la prise de connaissance d’un incident significatif
  • Notification complète : dans les 72 heures, avec une évaluation initiale de la gravité et de l’impact
  • Rapport final : dans un délai d’un mois, incluant la description détaillée, la cause probable, les mesures prises et l’impact transfrontalier éventuel

Un incident est considéré comme « significatif » s’il cause ou peut causer une perturbation opérationnelle grave ou des pertes financières importantes pour l’entité, ou s’il affecte ou peut affecter d’autres personnes physiques ou morales.

4. Sécurité de la chaîne d’approvisionnement

C’est une nouveauté majeure de NIS 2. Les entités concernées doivent évaluer et gérer les risques liés à leurs fournisseurs et prestataires. Cela implique :

  • L’intégration de clauses de cybersécurité dans les contrats
  • L’évaluation régulière du niveau de sécurité des fournisseurs critiques
  • La prise en compte des risques spécifiques à chaque fournisseur
  • La diversification des fournisseurs pour éviter les dépendances critiques

En pratique, cela signifie que même si votre entreprise n’est pas directement soumise à NIS 2, vos clients qui le sont pourraient vous imposer des exigences de cybersécurité dans le cadre de leur conformité.

Les sanctions : un pouvoir de dissuasion renforcé

NIS 2 introduit un régime de sanctions aligné sur le modèle du RGPD :

  • Entités essentielles : amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu)
  • Entités importantes : amendes pouvant atteindre 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial

Les autorités compétentes disposent également de pouvoirs d’inspection, d’audit et d’injonction. Elles peuvent ordonner la suspension temporaire de certaines activités en cas de manquement grave.

Calendrier de transposition en France

La directive NIS 2 devait être transposée en droit national par chaque État membre avant le 17 octobre 2024. En France, le processus de transposition a pris du retard, comme dans la majorité des pays européens. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pilote ce chantier.

Le calendrier prévu :

  • 2024 : adoption de la loi de transposition et des décrets d’application
  • 2025 : période de mise en conformité progressive pour les entités nouvellement concernées
  • 2025-2027 : montée en puissance des contrôles et des sanctions

L’ANSSI a indiqué qu’une approche progressive et proportionnée serait privilégiée, avec une période d’accompagnement avant l’application stricte des sanctions. Néanmoins, il est fortement conseillé de ne pas attendre et de commencer dès maintenant à se préparer.

Comment le test d’intrusion aide à la conformité NIS 2

L’article 21 de NIS 2 exige explicitement l’évaluation de l’efficacité des mesures de gestion des risques. Le test d’intrusion est l’un des outils les plus pertinents pour répondre à cette exigence :

  • Validation concrète : le pentest démontre si les mesures de sécurité résistent à une attaque réelle
  • Identification des failles : il révèle les vulnérabilités que les outils automatisés ne détectent pas
  • Priorisation des actions : les résultats permettent de concentrer les investissements sur les risques les plus critiques
  • Preuve de diligence : le rapport de pentest constitue une preuve de conformité en cas de contrôle
  • Évaluation de la supply chain : un pentest peut inclure l’évaluation des interfaces avec les fournisseurs

Au-delà du pentest, d’autres évaluations techniques contribuent à la conformité :

  • Audits de configuration des équipements réseau et des serveurs
  • Tests de phishing pour évaluer la sensibilisation des employés
  • Revues d’architecture pour valider la segmentation réseau
  • Exercices de crise pour tester les procédures de réponse aux incidents

Comment se préparer dès maintenant

Voici les étapes concrètes pour anticiper la mise en conformité NIS 2 :

  1. Déterminez si vous êtes concerné : identifiez votre secteur et votre catégorie (essentielle ou importante)
  2. Réalisez un état des lieux : évaluez votre niveau de maturité actuel en cybersécurité
  3. Identifiez les écarts : comparez vos pratiques actuelles avec les exigences de l’article 21
  4. Établissez une feuille de route : priorisez les actions correctives en fonction des risques
  5. Formez vos dirigeants : sensibilisez la direction aux enjeux et à leurs responsabilités
  6. Évaluez votre supply chain : identifiez vos fournisseurs critiques et leurs niveaux de sécurité
  7. Testez vos défenses : réalisez un test d’intrusion pour évaluer votre résistance réelle
  8. Documentez vos actions : constituez un dossier de conformité démontrant votre démarche

NIS 2 représente un défi mais aussi une opportunité de renforcer structurellement votre cybersécurité. Les entreprises qui s’y préparent en avance bénéficieront d’un avantage compétitif et d’une meilleure résilience face aux cybermenaces.

Chez Expert Intrusion, nous accompagnons les entreprises dans leur mise en conformité NIS 2 à travers des tests d’intrusion, des audits de configuration et des évaluations de maturité cyber. Contactez-nous pour un premier échange.

Service associé

Audit de Vulnérabilités

Voir le service → Étude de cas : Audit WordPress TPE →

Besoin d'un audit de sécurité ?

Contactez-nous pour évaluer la sécurité de votre infrastructure.

Nous contacter Voir les services