La directive NIS2 (Network and Information Security 2), adoptée par l’Union européenne, marque un tournant majeur dans la régulation de la cybersécurité. Elle vise à renforcer la résilience des infrastructures critiques face aux cybermenaces croissantes. En France, cette directive est transposée dans le cadre de la Loi Résilience, un texte ambitieux qui redéfinit les obligations de milliers d’organisations.
Qu’est-ce que la directive NIS2 ?
Entrée en vigueur au niveau européen en janvier 2023, la directive NIS2 remplace la première directive NIS de 2016. Elle élargit considérablement le champ d’application, passant d’environ 500 entités concernées à plus de 10 000 en France.
Elle s’applique désormais à deux grandes catégories :
- Entités essentielles (EE) : entreprises de plus de 250 salariés ou 50 M€ de chiffre d’affaires ;
- Entités importantes (EI) : entreprises de plus de 50 salariés ou 10 M€ de chiffre d’affaires.
Certaines entités sont concernées indépendamment de leur taille, notamment dans les secteurs critiques (énergie, santé, transport, numérique, eau, etc.).
NIS1
Transposée en France en 2018, la directive NIS avait pour objectif d’augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité stratégiques (ce qui représentait alors quelques centaines d’entités).
Ces grands acteurs ont été soumis à l’obligation de déclarer leurs incidents de sécurité à l’ANSSI, et de mettre en œuvre les mesures de sécurité nécessaires pour réduire l’exposition de leurs systèmes les plus critiques aux risques.
Ce que les entreprises doivent faire concrètement
Voici les principales obligations imposées par NIS2 :
1. Évaluation des risques
Les entreprises doivent prioritairement :
- Identifier leurs actifs critiques ;
- Évaluer les menaces et vulnérabilités ;
- Mettre en place une politique de gestion des risques.
2. Mesures de sécurité obligatoires
La directive impose 10 mesures minimales, dont :
- Le contrôle d’accès ;
- La sécurité des systèmes et réseaux ;
- La gestion des incidents ;
- Les sauvegardes régulières ;
- La formation du personnel.
3. Gouvernance et responsabilité
La direction générale est directement responsable de la cybersécurité.
- Elle doit valider les politiques de sécurité.
- Elle peut être tenue responsable en cas de manquement.
4. Surveillance des fournisseurs
Les entreprises doivent :
- Évaluer la sécurité de leur chaîne d’approvisionnement ;
- Intégrer des clauses de cybersécurité dans les contrats.
5. Déclaration des incidents
Les incidents majeurs doivent être signalés à l’ANSSI via le portail Mon Espace NIS2 :
- Alerte initiale : dans les 24h ;
- Mise à jour : sous 72h ;
- Rapport final : sous un mois.
6. Contrôles et sanctions
L’ANSSI est chargée de :
- Superviser les entités ;
- Réaliser des audits ;
- Imposer des sanctions pouvant aller jusqu’à :
- 10 M€ ou 2 % du CA mondial pour les EE ;
- 7 M€ ou 1,4 % du CA pour les EI.
La directive NIS2 impose un changement de culture : la cybersécurité n’est plus une option, mais une obligation stratégique. Les entreprises doivent agir dès maintenant pour identifier leur statut (EE ou EI), mettre en place les mesures requises, se préparer aux contrôles de l’ANSSI.
Le calendrier prévoit une entrée en vigueur en France mi-2025 avec la Loi Résilience.