Qu'est-ce que NIS 2 ? Guide complet pour les organisations
La directive NIS 2 (Directive (UE) 2022/2555) est la législation européenne actualisée en matière de cybersécurité. Elle établit un niveau élevé commun de cybersécurité dans tous les États membres. Elle remplace la directive NIS originale de 2016 et élargit considérablement le périmètre, les exigences et les mécanismes d'application pour les organisations opérant dans l'UE.
Points clés
| Point | Résumé |
|---|---|
| Ce que c'est | Directive européenne établissant des exigences de cybersécurité pour les entités essentielles et importantes dans tous les États membres |
| Date d'entrée en vigueur | Entrée en vigueur le 16 janvier 2023, avec transposition obligatoire par les États membres avant le 17 octobre 2024 |
| À qui elle s'applique | Moyennes et grandes organisations dans 18 secteurs critiques, couvrant les entités essentielles et importantes |
| Sanction maximale | Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles |
| Différence clé avec NIS 1 | Périmètre élargi, exigences renforcées, application harmonisée et obligations de sécurité de la chaîne d'approvisionnement |
Réponse rapide : NIS 2 est la directive européenne actualisée en matière de cybersécurité. Elle exige des organisations des secteurs critiques qu'elles mettent en œuvre des mesures de cybersécurité complètes, signalent les incidents dans des délais stricts et gèrent les risques de sécurité de leur chaîne d'approvisionnement. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
NIS 2 vs NIS 1 : qu'est-ce qui a changé ?
| NIS 1 (2016) | NIS 2 (2022) | |
|---|---|---|
| Périmètre | Secteurs limités | 18 secteurs, environ 160 000 entités |
| Classification des entités | Opérateurs de services essentiels | Entités essentielles et importantes |
| Seuil de taille | À la discrétion des États membres | Règles harmonisées basées sur la taille |
| Signalement d'incidents | Obligation générale | Calendrier strict en plusieurs étapes (24h/72h/1 mois) |
| Sanctions | Variables selon les États membres | Harmonisées, jusqu'à 10M€ ou 2 % du CA |
| Chaîne d'approvisionnement | Non traitée | Exigences explicites |
| Responsabilité de la direction | Non spécifiée | Responsabilité personnelle de la direction |
La directive NIS originale laissait une marge d'interprétation significative aux États membres. Cela a conduit à des standards de cybersécurité incohérents à travers l'UE. NIS 2 comble ces lacunes en harmonisant les exigences, en élargissant le périmètre et en introduisant une application plus stricte.
À qui s'applique NIS 2 ?
NIS 2 utilise un mécanisme de seuil de taille combiné à une classification sectorielle. Les organisations sont concernées si elles remplissent les deux critères :
Seuils de taille :
- Moyennes entreprises : 50+ employés ou 10M€+ de chiffre d'affaires annuel
- Grandes entreprises : 250+ employés ou 50M€+ de chiffre d'affaires annuel
Classification sectorielle :
| Catégorie | Secteurs |
|---|---|
| Entités essentielles (Annexe I) | Énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC (B2B), administration publique, espace |
| Entités importantes (Annexe II) | Services postaux, gestion des déchets, chimie, alimentation, fabrication (dispositifs médicaux, ordinateurs, électronique, machines, véhicules à moteur), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), organismes de recherche |
Certaines entités sont incluses quelle que soit leur taille, comme les prestataires de services de confiance qualifiés, les fournisseurs de services DNS, les registres de noms de domaine de premier niveau et les entités identifiées comme critiques au titre de la directive CER.
Exigences fondamentales de NIS 2
NIS 2 impose une approche basée sur les risques en matière de cybersécurité. L'article 21 définit les mesures minimales que les organisations doivent mettre en œuvre :
| Exigence | Description |
|---|---|
| Analyse des risques et politiques | Politiques de sécurité des systèmes d'information et procédures d'évaluation des risques |
| Gestion des incidents | Processus de détection, de réponse et de récupération |
| Continuité d'activité | Gestion des sauvegardes, reprise après sinistre et gestion de crise |
| Sécurité de la chaîne d'approvisionnement | Mesures de sécurité pour les relations avec les fournisseurs et prestataires de services |
| Sécurité réseau | Sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information |
| Gestion des vulnérabilités | Politiques de traitement et de divulgation des vulnérabilités |
| Hygiène cyber | Pratiques de base en matière d'hygiène cyber et formation à la cybersécurité |
| Cryptographie | Politiques et procédures sur l'utilisation de la cryptographie et du chiffrement |
| Contrôle d'accès | Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs |
| Authentification multifacteur | Utilisation de la MFA, communications sécurisées et communications d'urgence sécurisées |
Calendrier de signalement des incidents
NIS 2 introduit une obligation stricte de signalement des incidents en plusieurs étapes :
| Étape | Délai | Ce qu'il faut signaler |
|---|---|---|
| Alerte précoce | Dans les 24 heures | Notification initiale d'un incident significatif |
| Notification d'incident | Dans les 72 heures | Évaluation mise à jour, incluant la gravité et l'impact |
| Rapport final | Dans un délai d'un mois | Description détaillée, cause profonde, mesures d'atténuation et impact transfrontalier |
Un "incident significatif" est un incident qui a causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière, ou qui a affecté ou pourrait affecter d'autres personnes physiques ou morales en causant des dommages considérables.
Sanctions et application
NIS 2 harmonise les cadres de sanctions dans tous les États membres :
| Type d'entité | Amende maximale |
|---|---|
| Entités essentielles | 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu |
| Entités importantes | 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu |
Au-delà des sanctions financières, les autorités de contrôle peuvent :
- Émettre des instructions contraignantes et des injonctions de mise en conformité
- Ordonner des audits de sécurité aux frais de l'entité
- Suspendre temporairement des certifications ou autorisations
- Interdire temporairement à des membres de la direction d'exercer leurs fonctions
La responsabilité de la direction est une caractéristique distinctive de NIS 2. Les dirigeants peuvent être tenus personnellement responsables en cas de non-conformité, et doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et suivre régulièrement une formation en cybersécurité.
Comment NIS 2 s'articule avec d'autres référentiels
NIS 2 n'existe pas de manière isolée. Elle s'articule avec plusieurs autres cadres de conformité :
| Référentiel | Relation |
|---|---|
| ISO 27001 | NIS 2 encourage explicitement l'utilisation de normes internationales. La certification ISO 27001 peut démontrer la conformité à de nombreuses exigences NIS 2 |
| RGPD | Les deux s'appliquent aux opérations dans l'UE. NIS 2 se concentre sur la cybersécurité tandis que le RGPD se concentre sur la protection des données. Les exigences de signalement des incidents se chevauchent |
| Directive CER | Complète NIS 2 en traitant de la résilience physique des entités critiques |
| DORA | Spécifique au secteur financier, avec des exigences alignées sur NIS 2 |
| Cyber Resilience Act | Traite de la sécurité des produits, complétant les exigences organisationnelles de NIS 2 |
Comment Bastion accompagne la conformité NIS 2
Bastion fournit un accompagnement complet aux organisations dans leur démarche de conformité NIS 2 :
- Évaluation des écarts : Nous évaluons votre posture actuelle de cybersécurité par rapport aux exigences NIS 2 et identifions les points nécessitant une attention particulière
- Développement de politiques : Nous vous aidons à développer les politiques, procédures et documentations requises pour satisfaire aux obligations NIS 2
- Certification ISO 27001 : Comme ISO 27001 correspond étroitement aux exigences NIS 2, obtenir cette certification constitue une base solide pour la conformité
- Planification de la réponse aux incidents : Nous vous aidons à établir des processus de détection, de réponse et de signalement des incidents alignés sur les délais NIS 2
- Sécurité de la chaîne d'approvisionnement : Nous vous aidons à évaluer et gérer les risques liés aux tiers comme l'exige la directive
- Conformité continue : Surveillance continue et revues régulières pour maintenir la conformité à mesure que les exigences évoluent
Questions fréquentes
NIS 2 est-elle obligatoire ?
Oui. NIS 2 est une directive européenne que les États membres doivent transposer en droit national. Les organisations qui entrent dans le périmètre sont légalement tenues de s'y conformer. Contrairement aux certifications volontaires, la conformité NIS 2 est une obligation réglementaire avec des sanctions significatives en cas de non-conformité.
Quand NIS 2 entre-t-elle en vigueur ?
La directive est entrée en vigueur le 16 janvier 2023. Les États membres avaient jusqu'au 17 octobre 2024 pour la transposer en droit national. Cependant, les calendriers de mise en œuvre varient selon les pays, et certains États membres peuvent avoir des délais prolongés. Les organisations doivent vérifier le statut de transposition dans leur pays.
NIS 2 s'applique-t-elle aux entreprises hors UE ?
NIS 2 peut s'appliquer aux entreprises hors UE si elles fournissent des services au sein de l'UE dans des secteurs couverts. Les entités non établies dans l'UE mais offrant des services au sein de l'UE doivent désigner un représentant dans l'un des États membres où elles opèrent.
Quelle est la différence entre NIS 2 et le RGPD ?
Le RGPD se concentre sur la protection des données personnelles, tandis que NIS 2 se concentre sur la cybersécurité des réseaux et systèmes d'information. Le RGPD s'applique à toute organisation traitant des données personnelles de l'UE, tandis que NIS 2 cible des secteurs spécifiques. Les deux ont des exigences de signalement des incidents, mais avec des délais et des périmètres différents. Les organisations concernées par les deux doivent se conformer à chacune séparément.
ISO 27001 peut-elle aider à la conformité NIS 2 ?
Oui. La certification ISO 27001 constitue une base solide pour la conformité NIS 2. La directive fait explicitement référence aux normes internationales, et de nombreuses exigences NIS 2 correspondent directement aux contrôles ISO 27001. Cependant, ISO 27001 seule peut ne pas couvrir toutes les exigences spécifiques à NIS 2, comme le calendrier de signalement des incidents en plusieurs étapes.