NIS2 : êtes-vous concerné ? Le guide clair pour les dirigeants

La directive européenne NIS2 (Network and Information Security 2) est entrée en application le 17 octobre 2024. Elle remplace la première directive NIS de 2016 et élargit considérablement le périmètre des entreprises concernées. Pourtant, une grande majorité de dirigeants de PME et ETI françaises ignorent encore si leur organisation est visée. Si c'est votre cas, cet article est fait pour vous.

Contrairement au RGPD qui s'appliquait à toute structure traitant des données personnelles, NIS2 cible des secteurs spécifiques avec des critères de taille précis. Mais attention : le périmètre est bien plus large que ce que beaucoup imaginent, et la notion de chaîne d'approvisionnement change la donne pour de nombreuses PME.

NIS2 en bref : de quoi parle-t-on ?

La directive NIS2 vise à renforcer le niveau global de cybersécurité au sein de l'Union européenne. Face à l'explosion des cyberattaques et à l'interconnexion croissante des systèmes d'information, la Commission européenne a jugé que le cadre initial NIS1 était insuffisant. Trop peu d'entreprises étaient couvertes, les obligations étaient trop vagues et les sanctions trop faibles.

NIS2 corrige ces lacunes avec trois axes majeurs :

• Un périmètre élargi : de 7 secteurs couverts par NIS1, on passe à 18 secteurs, touchant potentiellement plus de 15 000 entités en France (contre environ 500 auparavant).
• Des obligations renforcées : gestion des risques, notification d'incidents, gouvernance de la cybersécurité au niveau de la direction, sécurité de la chaîne d'approvisionnement.
• Des sanctions dissuasives : amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, et responsabilité personnelle des dirigeants.

Êtes-vous concerné ? Les critères de classification

NIS2 distingue deux catégories d'entités, soumises à des niveaux d'exigence différents :

Les entités essentielles (EE)

Ce sont les organisations dont la perturbation aurait un impact majeur sur la société ou l'économie. Elles correspondent généralement aux grandes entreprises (plus de 250 salariés ou plus de 50 millions d'euros de chiffre d'affaires) opérant dans les secteurs dits "hautement critiques" :

• Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
• Transports (aérien, ferroviaire, maritime, routier)
• Secteur bancaire et infrastructures des marchés financiers
• Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
• Eau potable et eaux usées
• Infrastructures numériques (DNS, cloud, datacenters, CDN)
• Administration publique
• Espace

Les entités importantes (EI)

Cette seconde catégorie est celle qui change la donne pour les PME et ETI. Sont considérées comme entités importantes les entreprises de taille intermédiaire (50 à 249 salariés ou 10 à 50 millions d'euros de chiffre d'affaires) opérant dans les secteurs hautement critiques ci-dessus, ainsi que toutes les entreprises de taille suffisante opérant dans les secteurs dits "autres secteurs critiques" :

• Services postaux et d'expédition
• Gestion des déchets
• Fabrication, production et distribution de produits chimiques
• Production, transformation et distribution de denrées alimentaires
• Fabrication (dispositifs médicaux, produits informatiques, électroniques, optiques, équipements électriques, machines, véhicules automobiles, autres matériels de transport)
• Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
• Recherche

Point d'attention : même si votre entreprise ne rentre pas directement dans ces critères, vous pouvez être concerné indirectement. NIS2 impose aux entités régulées de sécuriser leur chaîne d'approvisionnement. Si vous êtes fournisseur ou sous-traitant d'une entité essentielle ou importante, attendez-vous à des exigences contractuelles de cybersécurité renforcées.

Les obligations concrètes de NIS2

La directive impose un ensemble de mesures que l'on peut regrouper en quatre grandes catégories :

1. Gouvernance et responsabilité des dirigeants

C'est probablement le changement le plus significatif. NIS2 impose que les organes de direction (conseil d'administration, comité de direction) :

• Approuvent les mesures de gestion des risques de cybersécurité
• Supervisent leur mise en oeuvre
• Suivent une formation en cybersécurité
• Puissent être tenus personnellement responsables en cas de manquement

Autrement dit, la cybersécurité ne peut plus être déléguée exclusivement au service informatique. C'est un sujet de gouvernance d'entreprise à part entière.

2. Gestion des risques cyber

Les entités concernées doivent mettre en place des mesures techniques, opérationnelles et organisationnelles "appropriées et proportionnées" pour gérer les risques pesant sur leurs systèmes d'information. La directive liste explicitement dix domaines à couvrir :

1. Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information
2. Gestion des incidents
3. Continuité des activités et gestion de crise
4. Sécurité de la chaîne d'approvisionnement
5. Sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes
6. Politiques et procédures d'évaluation de l'efficacité des mesures de cybersécurité
7. Pratiques de base en matière de cyberhygiène et formation
8. Politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement
9. Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
10. Utilisation d'authentification multifacteur et de communications sécurisées

3. Notification des incidents

NIS2 impose un processus de notification en trois étapes en cas d'incident significatif :

• Alerte précoce : dans les 24 heures suivant la découverte de l'incident, une première notification doit être envoyée à l'autorité compétente (en France, l'ANSSI).
• Notification d'incident : dans les 72 heures, un rapport plus détaillé incluant une évaluation initiale de l'incident, sa gravité et son impact.
• Rapport final : dans un délai d'un mois, un rapport complet incluant les causes profondes, les mesures d'atténuation appliquées et l'impact transfrontalier éventuel.

4. Sécurité de la chaîne d'approvisionnement

C'est l'une des nouveautés majeures de NIS2. Les entités régulées doivent évaluer et gérer les risques liés à leurs fournisseurs et prestataires. Concrètement, cela signifie :

• Intégrer des clauses de cybersécurité dans les contrats avec les fournisseurs
• Évaluer le niveau de sécurité des prestataires critiques
• Surveiller en continu les risques liés à la supply chain numérique

Les sanctions : un changement de paradigme

NIS2 aligne son régime de sanctions sur celui du RGPD pour assurer un effet dissuasif réel :

• Entités essentielles : amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel
• Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel

Mais au-delà des amendes, NIS2 introduit la possibilité de suspendre temporairement les certifications ou autorisations d'une entité non conforme, et d'interdire temporairement à un dirigeant d'exercer des fonctions de direction. Ce dernier point est inédit et devrait attirer l'attention de tout comité de direction.

Le calendrier : où en sommes-nous ?

Voici les dates clés à retenir :

• 14 décembre 2022 : adoption de la directive NIS2 par le Parlement européen et le Conseil
• 16 janvier 2023 : entrée en vigueur de la directive
• 17 octobre 2024 : date limite de transposition en droit national par les États membres
• 17 avril 2025 : date limite pour que chaque État membre établisse la liste des entités essentielles et importantes

En France, le processus de transposition a pris du retard. Le projet de loi a été présenté au Parlement à l'automne 2024, mais les débats et ajustements législatifs sont toujours en cours début 2025. Toutefois, ce retard ne doit pas être interprété comme un sursis. Les entreprises qui attendent la promulgation du texte français pour commencer à se préparer seront en difficulté, car les obligations sont substantielles et nécessitent plusieurs mois de travail.

Ne confondez pas retard de transposition et absence d'obligation. La directive s'applique et les entités régulées doivent se mettre en conformité dès maintenant. Les audits de contrôle suivront la promulgation de la loi française.

Les six étapes pour vous préparer concrètement

Que vous soyez certain d'être concerné ou que vous ayez un doute, voici la feuille de route pragmatique que nous recommandons :

Étape 1 : Déterminez votre statut

Identifiez précisément dans quel secteur et quelle catégorie de taille votre entreprise se situe. Si vous êtes à la frontière des seuils (autour de 50 salariés ou 10 millions de chiffre d'affaires), faites-vous accompagner pour une analyse juridique précise. N'oubliez pas de vérifier si vous êtes fournisseur d'entités régulées.

Étape 2 : Réalisez un état des lieux

Avant de vous lancer dans un programme de conformité, évaluez votre niveau actuel. Un audit de maturité cybersécurité permet d'identifier l'écart entre votre situation et les exigences de NIS2. Cet audit doit couvrir les dix domaines listés par la directive.

Étape 3 : Impliquez votre direction

Présentez les enjeux de NIS2 à votre comité de direction ou à votre conseil d'administration. La responsabilité personnelle des dirigeants est un argument puissant. Obtenez le mandat et le budget nécessaires pour mener le projet de mise en conformité.

Étape 4 : Élaborez une feuille de route priorisée

Sur la base de l'état des lieux, établissez un plan d'action réaliste. Priorisez les mesures en fonction du risque (quelles failles sont les plus critiques ?) et de la faisabilité (quels quick wins sont atteignables rapidement ?). Un programme de mise en conformité NIS2 s'étale typiquement sur 12 à 18 mois.

Étape 5 : Mettez en oeuvre les mesures prioritaires

Commencez par les fondamentaux : politique de sécurité formalisée, gestion des accès et MFA, plan de sauvegarde testé, processus de gestion des incidents, programme de sensibilisation des collaborateurs. Ces mesures couvrent la majorité des risques courants et constituent le socle de conformité NIS2.

Étape 6 : Documentez et pérennisez

NIS2 exige non seulement de mettre en place des mesures, mais aussi de pouvoir démontrer leur existence et leur efficacité. Documentez vos politiques, procédures, analyses de risques et tests. Mettez en place un cycle d'amélioration continue avec des revues régulières.

Faut-il s'inquiéter ou se réjouir ?

Certes, NIS2 représente une charge supplémentaire pour les entreprises concernées. Mais elle peut aussi être une opportunité. Les entreprises qui se mettent en conformité tôt bénéficient de plusieurs avantages :

• Résilience accrue : les mesures imposées par NIS2 réduisent concrètement le risque de cyberattaque et ses conséquences.
• Avantage concurrentiel : dans les appels d'offres et les relations B2B, la conformité NIS2 devient un critère de sélection des fournisseurs.
• Confiance des partenaires : clients, investisseurs et assureurs valorisent les entreprises qui prennent la cybersécurité au sérieux.
• Meilleure assurabilité : les assureurs cyber exigent de plus en plus les mêmes mesures que NIS2 pour accorder une couverture.

En résumé : NIS2 n'est pas une simple case réglementaire à cocher. C'est l'occasion de structurer durablement votre cybersécurité, de protéger votre entreprise et de rassurer votre écosystème. Le plus tôt vous commencez, le plus sereinement vous aborderez les premières échéances de contrôle.