La Veille Règlementaire Simplifiée

L'alliance parfaite entre l'intelligence artificielle et l'expertise de juristes pour sécuriser vos décisions HSE & RSE.

27 Décembre 2022 - 🛡️ Cybersécurité

NIS 2 et les nouvelles obligations de cybersécurité pour les organisations “critiques” en Europe

1) Objet du texte

La directive vise à obtenir un niveau commun élevé de cybersécurité dans l’UE, notamment en :

  • renforçant l’organisation des États (stratégies, autorités, CSIRT, gestion de crise) ;

  • imposant des mesures de gestion des risques et des obligations de notification aux entités relevant de secteurs listés (annexes I et II) ;

  • prévoyant un cadre de supervision et d’exécution.

2) Personnes (organisations) concernées

Sont principalement visées les entités publiques ou privées des secteurs des annexes I et II (ex. : énergie, transports, santé, infrastructures numériques, services numériques, etc.), dès lors qu’elles sont au moins entreprises moyennes (au sens UE) ou au-delà. 

Certaines entités sont couvertes quelle que soit leur taille (notamment fournisseurs de réseaux/communications électroniques, prestataires de services de confiance, acteurs DNS et registres TLD, etc.). 

La directive distingue :

  • entités essentielles (notamment celles des secteurs “annexe I” au-delà du seuil PME, + certains acteurs “par nature” comme DNS/TLD) ;

  • entités importantes (les autres entités relevant du périmètre). 

3) Explications

NIS 2 fonctionne comme une logique “gouvernance + sécurité + transparence” :

  • Gouvernance : la direction doit approuver et superviser la cybersécurité ; elle peut être tenue responsable si l’entité viole les obligations (selon les règles nationales). 

  • Sécurité (mesures tous risques) : l’entité doit déployer des mesures proportionnées pour protéger ses réseaux et SI, y compris contre les incidents et leurs effets. 

  • Transparence (notification) : en cas d’incident significatif, l’entité doit alerter l’autorité dans des délais courts et fournir des informations structurées. 

4) Effets concrets (opérationnels) pour une organisation

Concrètement, une entité concernée doit mettre en place (et prouver) au minimum :

A. Gouvernance et organisation

  • validation et pilotage au niveau de la direction ;

  • formation des membres de l’organe de direction (et, régulièrement, du personnel). 

B. Mesures de sécurité attendues (socle minimal)

La directive liste notamment : analyse de risques, gestion des incidents, continuité (sauvegardes/reprise/crise), sécurité de la chaîne d’approvisionnement, sécurité du développement/maintenance et gestion des vulnérabilités, évaluation de l’efficacité des mesures, hygiène cyber & formation, crypto/chiffrement, contrôle d’accès & gestion des actifs, MFA/communications sécurisées. 

C. Process de notification des incidents

  • alerte précoce dans les 24 h après avoir eu connaissance d’un incident important ;

  • notification d’incident sous 72 h ;

  • rapport final au plus tard un mois après (ou rapport d’avancement si l’incident dure). 

D. Relation avec l’autorité (recensement / informations)

Les États doivent établir une liste des entités essentielles/importantes et collecter certaines informations d’identification (coordonnées, IP, secteurs, États où l’entité opère), avec obligation de mise à jour. 

5) Sanctions et risques en cas de non-conformité

La directive prévoit des amendes administratives (notamment en cas de violation des obligations de sécurité ou de notification) :

  • entités essentielles : maximum au moins 10 M€ ou 2 % du CA mondial ;

  • entités importantes : maximum au moins 7 M€ ou 1,4 % du CA mondial. 

S’y ajoutent des mesures de supervision/exécution (injonctions, obligation de corriger, rendre public certains manquements, etc.). 

Enfin, en cas de lien avec une violation de données personnelles, l’autorité NIS peut informer l’autorité de protection des données (logique d’articulation avec le RGPD). 

6) Date d’application

  • Entrée en vigueur : 20 jours après publication au JOUE. 

  • Transposition : au plus tard 17 octobre 2024 ;

  • Application des règles nationales de transposition : à partir du 18 octobre 2024

Droit national : la transposition a pris du retard ; un projet de loi “résilience des infrastructures critiques et renforcement de la cybersécurité” a été engagé (Sénat : 1ère lecture au 12 mars 2025 selon le dossier Légifrance). En novembre 2025, l’ANSSI a ouvert un pré-enregistrement sur MonEspaceNIS2, en précisant que l’obligation deviendrait contraignante après adoption de la loi et de son décret d’application. 

7) Conclusion

NIS 2 fait passer la cybersécurité d’un sujet “technique” à une obligation de gouvernance et de conformité, avec un socle de mesures minimales, des délais de notification stricts et des sanctions financières significatives : l’enjeu, pour les entités concernées, est de mettre en place un dispositif outillé et démontrable (risques, contrôle, chaîne fournisseurs, incident response) avant tout contrôle ou incident.

← Retour aux actualités