Directive NIS2 : Renforcement des obligations de cybersécurité pour les entreprises européennes

13 février 2025

La directive NIS2 a été adoptée par l’Union Européenne pour garantir un niveau de cybersécurité uniforme dans tous les États membres. Elle remplace la directive NIS1 et impose des obligations renforcées concernant la protection des systèmes d’information et des réseaux essentiels. Ces nouvelles exigences visent à mieux protéger les entreprises et les infrastructures critiques face aux cyberattaques croissantes.

En France, cette directive est entrée en vigueur le 17 octobre 2024, bien que le projet de loi de transposition n’ait pas encore été examiné. Les États membres disposent jusqu’au 17 avril 2025 pour établir la liste des entités essentielles et importantes.

L’objectif principal de la directive NIS2 est d’accroître la résilience des systèmes d’information et des réseaux des entreprises opérant dans des secteurs essentiels.

La directive est construite autour de trois piliers :

• Des stratégies nationales de cybersécurité
• Une coopération stratégique européenne en matière de cybersécurité
• Des mesures sectorielles

Donnant lieu à trois actions pour les entités concernées :

• Inscription
• Déclaration des incidents
• Implication et responsabilité de la direction

L’article 21 de la directive énumère 10 mesures obligatoires portant sur la détection et la réponse aux incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités, détaillées comme suit :

• Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
• La gestion des incidents avec obligation de notification
• La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités ou la gestion des crises
• La sécurité de la chaîne d’approvisionnement (prestataires et fournisseurs)
• La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information y compris le traitement et la divulgation des vulnérabilités
• Des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité (audit)
• Les pratiques de base en matière de cyber hygiène et la formation à la cybersécurité
• Les politiques et procédures liées à la cryptographie et, le cas échéant, du chiffrement
• La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
• La sécurité des communications (authentification à plusieurs facteurs ou authentification continue)

Ces obligations sont détaillées par catégorie d’entités et secteur d’activité.

Pour respecter ces obligations, les acteurs concernés devront adopter des bonnes pratiques, notamment en matière contractuelle vis-à-vis de leurs fournisseurs et prestataires de services.

Les contrats informatiques représentent donc l’un des enjeux de conformité et devront ainsi inclure des clauses spécifiques adaptées aux process internes et contraintes fonctionnelles au regard des exigences réglementaires résultant de NIS2.

La directive NIS2 cible principalement les entreprises opérant dans des secteurs dits « essentiels » ou « critiques ».

11 secteurs définis comme hautement critiques :

• Energie ;
• Transports ;
• Secteur bancaire ;
• Infrastructures des marchés financiers ;
• Santé ;
• Eau potable ;
• Eaux usées ;
• Infrastructure numérique ;
• Gestion des services TIC (interentreprises) ;
• Administration publique ;
• Espace.

7 secteurs définis comme critiques :

• Services postaux et d’expédition ;
• Gestion des déchets ;
• Fabrication, production et distribution de produits chimiques ;
• Production, transformation et distribution des denrées alimentaires ;
• Fabrication (dispositifs médicaux et de diagnostic in vitro, produits informatiques, électroniques et optiques, équipements électriques, machines et équipements n.c.a., construction de véhicules automobiles, remorques et semi-remorques, fabrication d’autres matériels de transport ;
• Fournisseurs numériques ;
• Recherche.

Chaque État membre peut définir, en fonction de sa situation locale, la liste des entités assujetties à ces obligations.

Ces catégories sont définies selon l’article 3 de la directive et dépendent du degré de criticité et de la taille des sociétés. Les critères sont cumulatifs (critère de taille + critère de chiffre d’affaires ou total bilan) :

A noter que ces informations sont susceptibles d’évoluer, car le champ d’application exact des secteurs et des entités concernés ne sera connu de manière précise qu’à compter de la promulgation de l’ensemble des textes législatifs et réglementaires transposant la directive NIS2 en droit français.

La directive NIS2 impose des mesures strictes en matière de gestion des risques et de cybersécurité.

• L’entité devra notifier le CSIRT ou l’autorité compétente dans les 24 heures suivant la découverte de l’incident, en précisant s’il s’agit d’un acte malveillant ou s’il présente un risque transfrontalier.
• Dans les 72 heures suivant l’alerte précoce, l’entité devra notifier l’incident avec une mise à jour, incluant une évaluation de sa gravité, de son impact et des indicateurs de compromission, si disponibles.
• Dans un délai d’un mois après la notification, l’entité devra fournir un rapport final détaillant l’incident, sa gravité, son impact, la cause probable, les mesures d’atténuation appliquées et l’impact transfrontalier.

Les entreprises ne respectant pas les obligations de la directive NIS2 s’exposent à de lourdes sanctions. Les amendes peuvent atteindre jusqu’à :

Entités essentielles :

• Suspension des certifications
• Interdiction temporaire de l’exercice de fonctions de direction
• Amende jusqu’à 10 millions d’euros ou 2% du CA annuel mondial (montant le plus élevé retenu)

Entités importantes :

• Amende jusqu’à 7 millions d’euros ou 1,4% du CA annuel mondial (montant le plus élevé retenu)
• Possible mise en place d’astreintes par les Etats membres

Ces sanctions montrent la gravité des risques associés à une mauvaise gestion de la cybersécurité.

La directive NIS2 impose un cadre juridique ambitieux pour sécuriser les réseaux et systèmes d’information dans des secteurs critiques. Les entreprises doivent prendre cette directive très au sérieux afin de garantir leur conformité, protéger leurs données et éviter des sanctions importantes. En attendant la transposition définitive de cette législation, il est essentiel pour les entreprises concernées de se préparer à ces nouvelles exigences.

Adopter une approche proactive en matière de cybersécurité et mettre en place des politiques adaptées à la directive NIS2 est plus que jamais une priorité stratégique pour toutes les entités opérant dans des secteurs sensibles.

En tous les cas, il conviendra également de prendre en compte les autres réglementations européennes existantes, qui viennent compléter le dispositif établi par la directive NIS2, et de comprendre la manière dont ces réglementations s’articulent entre elles afin de connaître l’ensemble des obligations auxquelles votre entité est soumise.

Notre équipe se tient à votre disposition pour vous accompagner.