NIS2 en detail : qui, quoi, quand

NIS2 : la directive qui elargit le perimetre

La directive NIS2 (Network and Information Security 2) remplace NIS1 avec un perimetre considerablement elargi et des sanctions renforcees. La en France, sa transposition dans la loi nationale est attendue en 2026 avec les decrets d’application de l’ANSSI. NIS2 estime que les entites concernees passeront de quelques centaines sous NIS1 a plusieurs dizaines de milliers.

Qui est concerne

Entites essentielles (obligations maximales) : energie, transports, sante, eau potable, infrastructure numerique, administration publique, espace.

Entites importantes (obligations allegees) : services postaux, gestion des dechets, chimie, alimentation, fabrication, recherche, services numeriques.

Criteres de taille : en general, les entreprises de plus de 50 employes ou avec un CA superieur a 10 M EUR dans ces secteurs sont concernees. Certaines entites sont designees independamment de leur taille.

Criteres de taille detailles :

CategorieEmployesCA ou Bilan
Grande entreprise250+50 M EUR CA ou 43 M EUR bilan
Moyenne entreprise50-24910-50 M EUR CA
Petite entreprise< 50< 10 M EUR CA

La plupart des obligations NIS2 s’appliquent aux moyennes et grandes entreprises des secteurs listes. Les petites entreprises dans les secteurs essentiels peuvent etre designees individuellement par les autorites nationales.

Particularite des secteurs essentiels : certaines entites sont couvertes independamment de leur taille. Un operateur d’infrastructure critique de petite taille (une centrale hydraulique, un fournisseur d’eau local) peut etre designe comme entite essentielle meme s’il n’atteint pas les seuils de taille.

Les 10 exigences cles

  1. Politique de securite des systemes d’information
  2. Gestion des incidents (detection, reponse, signalement)
  3. Continuite d’activite et gestion de crise
  4. Securite de la supply chain
  5. Securite dans l’acquisition, le developpement et la maintenance des SI
  6. Evaluation de l’efficacite des mesures de securite
  7. Pratiques d’hygiene cyber et formation
  8. Politiques de chiffrement
  9. Securite des ressources humaines et controle d’acces
  10. Authentification multi-facteurs (MFA)

Detail de l’exigence supply chain (n4) : NIS2 exige que les entites evaluent et gerent les risques de leurs fournisseurs et prestataires. Cela inclut des clauses contractuelles de securite, des audits des prestataires critiques, et la connaissance des dependances logicielles. La directive pousse de facto a l’adoption du SBOM et des pratiques de securite CI/CD.

Detail de l’exigence formation (n7) : la formation ne se limite pas aux equipes IT. Elle doit couvrir l’ensemble du personnel, avec une formation specifique pour les dirigeants. L’ANSSI a publie des referentiels de formation qui peuvent servir de base.

Signalement d’incidents

  • Alerte initiale : 24 heures apres detection
  • Rapport intermediaire : 72 heures
  • Rapport final : 1 mois

Le delai de 24 heures pour l’alerte initiale est particulierement court. L’entite n’a pas besoin d’avoir l’analyse complete de l’incident, elle doit simplement notifier que quelque chose de significatif s’est produit. Les informations suivantes sont attendues :

  • Description preliminaire de l’incident
  • Evaluation de la cause probable
  • Mesures d’urgence prises ou envisagees
  • Impact ou impact potentiel

Qu’est-ce qu’un incident significatif ? NIS2 definit un incident significatif comme un incident qui cause ou peut causer des perturbations operationnelles severes ou des pertes financieres importantes pour l’entite concernee, ou qui affecte d’autres personnes physiques ou morales en causant des dommages significatifs.

Responsabilite de la direction

Les dirigeants sont personnellement responsables de la conformite NIS2. Ils doivent suivre une formation en cybersecurite et peuvent etre tenus responsables en cas de manquement.

Les sanctions specifiques aux dirigeants peuvent inclure :

  • Interdiction temporaire d’exercer des fonctions dirigeantes (pour les entites essentielles)
  • Amendes personnelles dans certains cadres nationaux
  • Publication des manquements (name and shame)

Cette responsabilite personnelle est un changement culturel majeur. La cybersecurite ne peut plus etre deleseguee entierement au RSSI : elle doit etre integree dans la gouvernance de l’organisation avec un portage au niveau du conseil d’administration.

Auto-evaluation et gap analysis

Les etapes pour evaluer votre conformite NIS2 :

  1. Perimetre : etes-vous dans les secteurs listes ? Atteignez-vous les seuils de taille ?
  2. Classification : etes-vous entite essentielle ou importante ?
  3. Inventaire : quels systemes et services sont dans le perimetre NIS2 ?
  4. Gap analysis : pour chacune des 10 exigences, quel est votre niveau actuel ?
  5. Plan de remediation : prioriser les ecarts les plus critiques avec budget et delais
  6. Enregistrement : s’enregistrer aupres de l’ANSSI dans les delais prevus

L’ANSSI a publie un guide d’auto-evaluation et des referentiels pour aider les organisations a se positionner. La plateforme cybermalveillance.gouv.fr propose egalement des ressources adaptees aux PME.

Sanctions

Entites essentielles : jusqu’a 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel (le montant le plus eleve)

Entites importantes : jusqu’a 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel

Ces montants sont des plafonds : les autorites de controle disposent d’une graduation des sanctions. Les premiers manquements sont generalement traites avec des mises en demeure et des injonctions correctives avant d’arriver aux amendes maximales.

Publicité