Guide NIS2 : suis-je concerné ? Quelles obligations ?

Déployée à l’échelle de l’Union Européenne, la directive NIS2 vise à renforcer la résilience des organisations en matière de cybersécurité. Pour cela, elle impose aux entités jugées « essentielles » ou « importantes » de nouvelles exigences et de nouveaux protocoles.

Au-delà d’une simple nouvelle réglementation, NIS2 redéfinit les responsabilités et nécessite une gouvernance renforcée. Elle induit aussi de nouvelles obligations de reporting et de processus. Êtes-vous concerné par la directive NIS2 ? Comment l’appliquer concrètement et quels risques en cas de non-conformité ?

La directive NIS2, qu’est-ce que c’est ?

Après une première directive NIS qui avait été déployée pour protéger les acteurs économiques stratégiques de l’Union Européenne, l’objectif de NIS2 est d’élargir le champ d’application et d’imposer des règles plus précises, mieux adaptées à l’évolution des menaces cyber.

Publiée au journal Officiel de l’Union européenne en décembre 2022, cette réglementation induit des exigences cyber sans précédent pour les organisations concernées. C’est aussi une évolution ambitieuse du cadre existant, avec un objectif clair : renforcer la résilience cyber de l’Union européenne de manière efficace et globalisée.

Les objectifs de la directive NIS2

• Améliorer le niveau global de cybersécurité dans toute l’Union européenne, via l’harmonisation des exigences en place.
• Renforcer la coopération entre tous les États membres, pour une meilleure gestion des crises cyber.
• Optimiser la transparence et la réactivité quand il s’agit de gérer des incidents cyber, via des obligations structurées concernant la notification.
• Responsabiliser les dirigeants en les impliquant directement dans les règles de gouvernance cyber.

NIS2 : quels changements par rapport à NIS1 ?

Premier changement important : alors que la directive NIS1 concernait uniquement certains secteurs critiques (énergie, transport ou encore santé), la directive NIS2 s’élargit sur 18 secteurs et concerne notamment des entités du secteur industriel ou numérique, par exemple.

De plus, alors que la directive NIS1 imposait assez peu de contraintes aux dirigeants, NIS2 met directement la responsabilité des départements de direction en jeu.

Enfin, il faut savoir que s’il n’y avait pas de sanctions très dissuasives en cas de manquement aux dispositions de NIS1, les sanctions de NIS2 se révèlent plus concrètes et plus pénalisantes pour les entreprises qui ne respecteraient pas cette réglementation.

Comment la directive NIS2 s’applique-t-elle en France ?

Puisque NIS2 est une directive déployée à l’échelle de l’Union Européenne, celle-ci doit être transposée dans le droit national de chaque pays membre. Pour ce qui concerne la France, cette transposition a commencé à la fin de l’année 2024 et le projet de loi relatif à la résilience des infrastructures et au renforcement de la cybersécurité est déjà en ligne sur legifrance.gouv.fr.

Les entités concernées par la directive NIS2

En France, quelque 10 000 organisations devraient être concernées par la directive NIS2. Les entités qui doivent se conformer aux exigences de NIS2 sont divisées en deux catégories :

• Les entités essentielles, qui sont considérées comme des infrastructures « hautement critiques » : administrations publiques, eaux potables, eaux usées, énergies, espace, gestion des services Technologies de l’Information et de la Communication, marchés financiers, infrastructures numériques, santé, secteur bancaire, transports.
• Les entités importantes, qui sont considérées comme des infrastructures « critiques » : fabrication / production et distribution de produits chimiques, fournisseurs numériques, gestion des déchets, industrie manufacturière, production / transformation et distribution de denrées alimentaires, recherche, services postaux et d’expédition.

Les entités concernées peuvent être des grandes ou moyennes entreprises, mais aussi des administrations publiques ainsi que des collectivités territoriales.

Attention : les sous-traitants et prestataires IT peuvent être concernés par la directive NIS2, à partir du moment où ils interviennent sur des systèmes considérés comme « critiques » ou « hautement critiques ».

Faites de la cybersécurité un sujet stratégique au sein de votre entreprise et bénéficiez d’un accompagnement expert et personnalisé pour vous structurer !

Découvrir notre offre cybersécurité modulaire

NIS2 : quelles obligations pour les entités concernées ?

Une obligation d’enregistrement

Première obligation purement administrative pour les entités concernées par la directive NIS2 en France : s’enregistrer auprès de l’autorité nationale compétente.

Cet enregistrement va impliquer de transmettre un certain nombre d’informations et de les garder à jour : ces éléments seront fixés par décret. L’enregistrement sera effectué en ligne, via une plateforme mise en place par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Dès aujourd’hui, vous avez la possibilité d’utiliser le simulateur NIS2 mis en place par le gouvernement pour savoir si vous êtes concerné.

Mise en place de mesures juridiques, techniques et organisationnelles

En premier lieu, il s’agit pour les entités concernées par la directive NIS2 de mettre en place une véritable politique de gestion des risques cyber :

• Cartographier les risques ;
• Réaliser une évaluation complète des menaces et des vulnérabilités ;
• Déployer un plan de traitement des risques.

Le contenu de la politique de cybersécurité que chaque organisation va déployer dépend de son organisation, son secteur d’activité et ses risques concrets. Dans tous les cas, il s’agit de :

• Identifier les systèmes d’information critiques pour mieux les protéger ;
• Veiller à évaluer les risques régulièrement ;
• Adopter les mesures nécessaires et proportionnées : contrôle d’accès, gestion des vulnérabilités, supervision des systèmes ou déploiement de plans de reprise et continuité d’activité (PRA / PCA).

La déclaration de tous les incidents de cybersécurité

Autre nouvelle obligation qui arrive avec la directive NIS2 et qui concerne cette fois la transparence : tout incident de cybersécurité doit être notifié à l’ANSSI.

Dans cette optique, le processus d’alerte se déploie en trois étapes :

• Une première alerte dans les 24h qui suivent la détection de l’incident ;
• Un rapport intermédiaire sous 72h ;
• Un rapport final dans le mois qui suit l’incident avec une analyse des causes et une présentation de toutes les mesures correctives mises en application.

Appuyez-vous sur le SOC Sigma : 100 % français, en présentiel et disponible 24/7 pour surveiller votre SI en continu, détecter les incidents au plus tôt et réagir efficacement pour vous garantir une protection complète.

Je souhaite bénéficier du SOC Sigma

Non-respect de la directive NIS2 : quelles sanctions ?

La réglementation prévoit des sanctions administratives et financières en cas de non-respect de cette directive NIS2.

Les sanctions devront être « proportionnées aux manquements » et pourraient aller jusqu’à un pourcentage du chiffre d’affaires mondial des entités concernées (2 % pour les entités essentielles, 1,4 % pour les entités importantes)[1].

NIS2, Cyber act resilience : comment agir dès maintenant ? Téléchargez gratuitement notre guide pour vous lancer et garantir votre conformité réglementaire.

Découvrir notre guide NIS2

Comment se préparer à la directive NIS2 ?

La directive NIS2 n’est pas seulement une contrainte réglementaire pour les entités concernées : c’est aussi une opportunité d’améliorer leur résilience et de structurer leur stratégie de cybersécurité.

La première étape importante reste de réaliser une évaluation de la situation (via un audit de cybersécurité) pour construire le plan de mise en conformité qui s’impose.

« Avec la création de cadres réglementaires comme NIS2 ou DORA, les organisations européennes ont pour obligation de gérer les vulnérabilités, autant dans leur SI que dans leur supply chain, qui les exposent indirectement. En tant qu’infogérant et hébergeur, Sigma est confrontée à cette exigence et ce à double titre : garantir notre propre conformité et une sécurité optimale pour nos clients ».

Yves-Marie Ip, expert cybersécurité Sigma

Ce plan, idéalement piloté par un responsable de projet NIS2, va reposer sur une feuille de route ponctuée par plusieurs priorités pour mieux allouer les ressources et répartir les tâches dans le temps.

Dans le cadre de ce projet, la direction générale doit être impliquée, notamment pour placer la NIS2 au cœur de la stratégie globale et tenir compte de tous ses enjeux, jusqu’à la formation des collaborateurs par exemple.

NIS2 : au-delà de la contrainte, une vraie opportunité

L’arrivée de la directive NIS2 va vous obliger à structurer votre politique de cybersécurité, via une formalisation des processus, une culture cyber plus ancrée dans les mœurs et une meilleure résilience globale.

Saisissez cette opportunité de structurer durablement votre gouvernance cyber et de renforcer votre résilience, via des process internes mais aussi par l’intermédiaire d’un SOC internalisé ou externalisé et de démarches de sensibilisation de vos collaborateurs à la cybersécurité.

Afin de vous assurer de respecter cette réglementation et de bien construire votre stratégie de cybersécurité, appuyez-vous sur un acteur de confiance ! Sigma, hébergeur et infogéreur, vous offre un accompagnement complet et personnalisé : contactez-nous pour obtenir plus d’informations et un devis sans engagement.

---

[1] https://monespacenis2.cyber.gouv.fr/directive/

À la une

Découvrez tous nos articles, webinaires et contenus sur la thématique de la cybersécurité.

Parcourir le blog

Cybersécurité

Directive NIS2 : quels enjeux pour la sécurité des systèmes d’information de santé ?

Cybersécurité

[Checklist] Les 10 étapes pour un SOC conforme à NIS2

Cybersécurité

[Ebook] NIS2, Cyber act resilience : comment agir dès maintenant ?