Directive NIS 2 : Guide Complet et Panorama des Nouvelles Exigences

17 octobre 2024 - 10 min de lecture
Directive NIS 2 : Guide Complet et Panorama des Nouvelles Exigences

En 2023, près d’une entreprise sur deux aurait été la cible d'une cyberattaque réussie, aux conséquences “significatives” (source : baromètre 2024 du CESIN). Et ce ne sont plus seulement les grandes entreprises qui sont visées. Les PME, les collectivités locales, et même les hôpitaux sont désormais dans le collimateur des cybercriminels. Chez Scalingo, nous sommes aux premières loges de cette bataille pour la cybersécurité, et nos équipes travaillent sans relâche pour protéger et alerter nos clients en cas de tentative d’intrusion 🔐.

C'est dans ce contexte tendu que la directive européenne NIS 2 a vu le jour. Conçue pour renforcer la sécurité numérique au sein de l’Union européenne, son objectif est de renforcer la résilience et la sécurité des infrastructures numériques critiques à travers une multitude de secteurs jugés essentiels ou importants.

Mais qu'implique t-elle concrètement ? Quelles sont les nouvelles obligations ? Qui est concerné ? Et surtout, comment vous préparer, avec ou sans Scalingo, à répondre à ces nouvelles exigences ? 🤔

Qu’est-ce que la Directive européenne NIS 2 ?

La Directive NIS 2, ou Network and Information Security Directive 2, représente une avancée majeure dans la protection des infrastructures numériques au sein de l’UE 🌐. Conçue pour renforcer la cybersécurité à l’échelle européenne, la directive élargit le champ d’application de son prédécesseur, la NIS 1, en ciblant de nouveaux secteurs d’activité et en imposant des obligations (et sanctions !) plus strictes ⚖️.

💡 En France, on utilise surtout l’appellation NIS, mais on entend parfois également parler de “directive SRI” pour “Sécurité des Réseaux et des Systèmes d’Information”.

Principaux changements apportées par NIS 2

La directive NIS 2 apporte plusieurs évolutions majeures :

  • Élargissement de la portée : NIS 2 étend la couverture de la réglementation à un plus grand nombre d’entités et de secteurs. Outre les Opérateurs de Services Essentiels, elle inclut désormais une vingtaine de secteurs d’activités supplémentaires, y compris l’Administration Publique et une grande partie des acteurs de la chaîne d’approvisionnement. En France, on estime que le nombre d’entreprises concernées pourrait être multiplié par 20 ou 30 par rapport à NIS 1, touchant ainsi des milliers d’entités, des administrations aux PME en passant par les géants du CAC40. Au total, en Europe, ce sont environ 160 000 entités qui seront concernées 🏢🌍.
  • Renforcement des obligations : La directive impose des exigences plus rigoureuses en matière de gestion des risques cyber et de notification des incidents de sécurité 🚨. Les organisations devront mettre en place des mesures de cybersécurité robustes et réactives pour prévenir et répondre aux cybermenaces. Nous les décrirons un peu plus tard.
  • Responsabilité des dirigeants : NIS 2 introduit également la responsabilité des dirigeants dans la gestion de la cybersécurité de leur organisation. Les organes de direction seront tenus personnellement responsables de la mise en œuvre des mesures de sécurité appropriées et de la conformité aux nouvelles obligations 🔒.
  • Sanctions en cas de non-conformité : Qui dit responsabilités, dit sanctions. Et la directive prévoit désormais des conséquences financières importantes pour les entités qui ne respectent pas les exigences. Comme dans le cadre du RGPD, cela inclut des amendes proportionnelles à la taille de l’entreprise ⚖️. Nous reviendrons également sur ce point plus tard.
  • Renforcement de la coopération au niveau européen : Enfin, NIS 2 encourage une coopération accrue entre les États membres de l'UE pour améliorer la réponse collective aux cybermenaces. C’est d’ailleurs sa vraie raison d’être. Cela inclut le partage d'informations, la coordination des actions et le développement de stratégies communes pour renforcer la résilience européenne face aux attaques cyber 💪🇪🇺.

Quels sont les secteurs d’activité concernés ?

Au total, une vingtaine de secteurs d'activité sont désormais visés par NIS 2, chacun jouant un rôle vital dans notre quotidien. La directive vise en effet, avant tout, à protéger les secteurs dont la sécurité et la disponibilité des réseaux et systèmes d'information sont cruciales pour notre société.

Les secteurs hautement critiques : (ou “Annexe 1”)

- Énergie ⚡
- Transports 🚚
- Secteur bancaire 💰
- Infrastructure des marchés financiers 📈
- Santé 🏥
- Eau potable 💧
- Eaux usées 🚽
- Infrastructure numérique 💻
- Gestion des services TIC 🛠️
- Administration publique 🏛️
- Espace 🚀

Les secteurs critiques : (ou “Annexe 2”)

- Services postaux et d’expédition 📬
- Gestion des déchets 🗑️
- Fabrication, production et distribution de produits chimiques 🧪
- Production, transformation et distribution des denrées alimentaires 🍞
- Fabrication (dispositifs médicaux, produits informatiques, électroniques et optiques, machines, véhicules automobiles, remorques et semi-remorques, autres matériels de transport…) 🏭
- Fournisseurs numériques 💻
- Recherche 🔬

Les entités appartenant à ces deux secteurs, sont ensuite répartis en deux catégories, en fonction de leur “criticité”, mais également de leur taille en nombre d’employés et CA :

Taille de l’entité Nombre d’employés CA (en million d’euros) Bilan annuel en million d’euros Secteurs Hautement Critiques Autres secteurs critiques
Intermédiaire et grande ≥ 250 ≥ 50 Z ≥ 43 Entités essentielles Entités importantes
Moyenne 50 ≥ X ≥ 250 10 ≥ Y > 50 10 ≥ Z > 43 Entités importantes Entités importantes
Micro et Petite <50 Y <10 Z<10 Non concernées Non concernées


Cette distinction permet au législateur de s'appuyer sur un mécanisme de proportionnalité et d'adapter les exigences réglementaires (et les sanctions imposées) en fonction des risques encourus, et des moyens humains et financiers détenus par chaque entité.

💡 Attention, certaines entités, même si elles ne répondent pas à ces critères, pourraient être incluses sur la base d’une analyse de risque nationale. D'autres, pour des raisons de sécurité et de défense nationale, pourraient être exclues.

💡 Ces critères de taille ne s'appliquent pas aux entités suivantes, qui sont concernées quelle que soit leur taille :

  • Fournisseurs de réseaux ou services de communications électroniques publiques ou accessibles au public
  • Prestataires de services de confiance
  • Fournisseurs de registres de nom de domaine de premier niveau et fournisseurs de services de système de noms de domaine.

En résumé, comment savoir si mon entreprise est concernée par NIS 2 ?

Pour déterminer si votre entreprise est concernée par NIS 2, voici donc quelques points à retenir.

  • De manière générale, les entités de taille moyenne, intermédiaire ou grande, opérant dans les secteurs mentionnés précédemment, seront touchés par cette réglementation.
  • En France, pour déterminer la taille d’une entité, les critères retenus sont les suivants :
    • Un nombre d’employés supérieur ou égal à 50 📊
    • Un chiffre d’affaires ou bilan annuel supérieur ou égal à 10 millions d’euros 💰

Le gouvernement a également mis en place un simulateur permettant d’évaluer le statut de votre entreprise : Simulateur du gouvernement

Gardez simplement à l’esprit que les résultats du test sont indicatifs et sujets à confirmation ultérieure, en attendant la transposition définitive des textes législatifs et réglementaires de la directive NIS 2. Des précisions complémentaires seront, en outre, apportées pour les entreprises qui restent incertaines de leur statut.

En attendant, comme nous ne cessons de le dire, une préparation précoce sera bénéfique pour toutes les entreprises françaises, qu’elle soit menée par précaution ou par certitude 😉

Le directive NIS 2 est-elle entrée en vigueur en France ?

La directive NIS 2 a été officiellement publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne. Chaque État membre disposait alors d’un délai de 21 mois pour transposer ces exigences dans son droit national.

En France, la transposition de NIS 2 devait être effective au plus tard le 17 octobre 2024. Cependant, en raison de retards, notamment causés par la dissolution de l’Assemblée nationale en juin dernier, le texte n’a pas encore été examiné ni voté par le Parlement. Ainsi, c’est la version originale de la directive NIS 2 qui entre en vigueur dès aujourd’hui.

Vincent Strubel, Directeur général de l’ANSSI, se veut rassurant : il accorde aux entreprises et collectivités un délai de trois ans pour se conformer pleinement à la réglementation, bien que certaines obligations devront être respectées avant cette échéance.

Il est donc crucial pour les entreprises de se préparer dès maintenant, afin d'assurer une conformité progressive aux nouvelles exigences de NIS 2.

Pour ce faire, le gouvernement français a mis en place une page dédiée, avec les réponses aux questions les plus fréquemment posées. Cette page est régulièrement mise à jour pour fournir toutes les nouvelles informations nécessaires. Vous pouvez la consulter ici : Directive NIS 2 - Gouvernement français

Quelles sont les nouvelles obligations pour les entités régulés ?

Si certains éléments restent encore à déterminer quant à la transposition en droit française, trois principaux volets structurent ces nouvelles exigences :

  • Les mesures de sécurité et les domaines de conformité visés,
  • La nécessité de notification, de contact et de déclaration des incidents majeurs,
  • Les sanctions appliquées en cas de non-respect de ces obligations.

Explorons en détail chacun de ces aspects pour mieux anticiper les changements à venir !

1. Mesures de sécurité et domaines de conformité visés

Les articles 20 à 21.2.j de la directive EU 2022/2555 décrivent en détail les mesures organisationnelles et techniques attendues. Ces mesures couvrent un large spectre de la cybersécurité, incluant la gouvernance de la gestion des risques, le chiffrement des données, et la continuité d’activité…

Les principaux domaines de conformité sont les suivants :

  • Analyse des risques : Identifier, analyser et évaluer régulièrement les risques potentiels pour la sécurité de vos systèmes d’information. 🛡️
  • Politique de sécurité : Élaborer et maintenir une politique de sécurité de l’information adaptée aux risques identifiés. 🔒
  • Gestion des incidents : Développer des processus pour détecter, signaler et répondre rapidement aux incidents de sécurité. 🚨
  • Gestion de crise : Préparer des plans détaillés pour gérer les crises causées par des cyberattaques ou autres incidents majeurs. 🌐
  • Protocole de sauvegarde et de restauration des données : Mettre en place des solutions de sauvegarde régulières et sécurisées des données critiques, avec des plans de restauration en cas de perte ou du corruption. 💾
  • Plan de continuité et de reprise d’activité : Établir des plans pour assurer la continuité des opérations et la reprise rapide des activités après un incident. ⏱️
  • Sécurité de la supply chain: Garantir la sécurité des interactions avec les fournisseurs et partenaires. 🛡️
  • Chiffrement des données : Mettre en place des mesures pour protéger les données sensibles via le chiffrement. 🔐
  • Contrôle des droits et des accès : Gérer les droits d’accès aux informations et systèmes en fonction des besoins des utilisateurs. Utiliser des mécanismes d’authentification fortes pour vérifier l’identité des utilisateurs. 🤖
  • Gestion des actifs : Tenir un inventaire précis et à jour des actifs informatiques pour assurer leur protection adéquate. 📋
  • Sécurité des communications : Assurer la sécurité des communications internes et externes. 📡
  • Gestion des RH : Mettre en place des processus de recrutement, de formation et de gestion des employés prenant en compte les aspects de sécurité. 👨‍💼

2. Obligation de notification, de contact et de déclaration des incidents majeurs

Afin de garantir une conformité optimale avec la directive NIS 2, les entreprises doivent également suivre une série de procédures, en matière de notification, de contact et de déclaration des incidents majeurs.

  • Les entreprises et entités concernées par la directive NIS 2 devront obligatoirement se faire connaître auprès de l’ANSSI. L'agence mettra en place un mécanisme de notification en ligne pour faciliter cette démarche.
  • Elles devront également fournir des informations de contact et d'identification de l'entreprise, qui devront être maintenues à jour en tout temps.
  • En cas d'incident majeur, une déclaration devra automatiquement être effectuée auprès de l’ANSSI (via les CSIRT régionaux).

💡 Quel est le rôle de l’ANSSI ? En France, c’est l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, qui sera chargée de superviser l'application des mesures de la directive NIS 2. En tant qu'acteur clé de la cybersécurité nationale, elle orchestre d’ores et déjà les stratégies de prévention et de réponse aux crises cybernétiques au niveau national. Elle est également membre du réseau Cyber Crisis Liaison Organisation Network, qui rassemble les principaux acteurs de la cybersécurité et de la gestion des crises cybernétiques en Europe.

Des conséquences lourdes en cas de non-conformité

En cas de contrôle, vous devez pouvoir documenter et prouver la mise en conformité de votre organisation en matière de protection. C’est pourquoi il est important que tous les organes de direction soient sensibilisés.

Si vous n’avez pas opéré votre mise en conformité ou si les mesures de sécurités n’ont pas été correctement adoptées, les sanctions peuvent désormais être très importantes.

Financièrement, une entreprise peut risquer jusqu’à 10 millions d’euros ou 2% de son chiffre d’affaires annuel total.

Qu’entend-on par la règle de proportionnalité appliquée à la directive NIS 2 ?

La règle de proportionnalité appliquée à la directive NIS 2 vise à adapter les exigences réglementaires en fonction de la criticité des secteurs et de la taille des entités concernées. Concrètement, cela signifie que toutes les entités ne seront pas soumises aux mêmes obligations.

La distinction se fait principalement entre les entités dites "essentielles" (EE) et les entités importantes (EI). Cette différenciation peut affecter :

  • Les mesures de sécurité : Il pourra y avoir des exigences différentes entre les EE et les EI, notamment pour prendre en compte les ressources et les enjeux des grandes entreprises par rapport aux PME.
  • Les contrôlés effectuées
    • Pour les EE : il s’agira de contrôles dits ex-ante, ou à la discrétion de l’ANSSI.
    • Pour les EI : ce seront plutôt des contrôles dits ex-post, c'est-à-dire en cas de non-conformité constatée.
  • Les sanctions, seront, quant à elles, globalement de l’ordre de celles appliquées dans le cadre du RGPD :
    • Pour les EE : jusqu’à 2% du chiffre d'affaires mondial.
    • Pour les EI : jusqu’à 1,4% du chiffre d'affaires mondial.

Cette approche assure une adaptation juste et équilibrée des exigences, tenant compte à la fois de l'importance des secteurs et de la capacité des entités à se conformer. Elle est propre à la France. 🎯

NIS 2 : Trois ressources incontournables pour vous préparer dès maintenant

Bien que l'ANSSI accorde un délai de trois ans aux entreprises françaises pour atteindre la conformité totale, anticiper dès maintenant les changements à venir est essentiel. Certaines des mesures requises par cette directive demandant du temps et des investissements conséquents pour être pleinement mises en œuvre.

Que pouvez-vous faire dès maintenant ?

  • Lire la directive européenne NIS 2 : Commencez par vous familiariser avec le contenu de la directive, en particulier les articles 20 et 21. En vous basant sur les articles de la directive originale, vous pourrez anticiper les principales mesures de cybersécurité à mettre en place, tant au niveau organisationnel que technique.
  • Étudier la norme ISO 27001 : En France, la norme ISO 27001 est reconnue pour ses bonnes pratiques en matière de gestion de la sécurité de l’information. Cette norme peut vous fournir un cadre solide pour structurer vos efforts de conformité à NIS 2, notamment en matière de gestion des risques et de mise en place de politiques de sécurité.
  • Consulter le guide d’hygiène informatique (GHI) de l’ANSSI : Ce guide pratique regorge de recommandations pour améliorer la sécurité de vos systèmes d’information. Il couvre divers aspects de la cybersécurité, tels que la gestion des accès, la protection des données et la sécurisation des communications.

Sur cette base, vous pourrez identifier les principaux risques spécifiques propres à votre organisation et déterminer les domaines de conformité qu’il conviendrait d’adresser en premier.

💡 NIS 2 et ISO 27001 sont-elles équivalentes ?

La certification ISO 27001 constitue une base solide pour la conformité à la NIS 2 mais n’est pas pour autant équivalente. Alors qu’ISO 27001 est une norme internationale de la gestion de la sécurité de l’information, la NIS 2 est une directive de l’UE spécifiquement axée sur la cybersécurité des secteurs importants et essentiels. Elle implique notamment la prise en compte de certains aspects spécifiques de la sécurité des réseaux et des informations, ainsi que des obligations de déclaration des incidents et de coopération en cas de cybercrise.

Comment la plateforme PaaS Scalingo peut-elle vous aider à vous conformer à NIS 2

Dans le cadre de la conformité à le directive NIS 2, le choix de vos prestataires revêt une importance capitale. Et cela est particulièrement vrai lorsque l’on parle de l’hébergement et de la protection de vos données et applications. Opter pour un partenaire fiable et certifié comme Scalingo est essentiel pour garantir votre conformité aux normes de sécurité et assurer la protection de vos données sensibles.

Sécurité intégrée et mise à jour continue : Scalingo propose une infrastructure où la sécurité est intégrée dès le départ. La plateforme se charge de maintenir à jour tous les composants critiques, réduisant ainsi les risques de vulnérabilités dues à des logiciels obsolètes. Cela inclut des mises à jour régulières de sécurité et la gestion des correctifs, ce qui est crucial pour répondre aux exigences de NIS 2 en matière de gestion des vulnérabilités.

Conformité aux normes et certifications : Scalingo adhère à des normes de sécurité reconnues, telles que ISO 27001, qui sont en ligne avec les attentes de NIS 2. Utiliser une plateforme déjà certifiée facilite grandement le processus de conformité, car de nombreuses exigences réglementaires sont déjà couvertes par la plateforme. Nous détenons également la certification HDS.

Continuité et reprise d’activité : Scalingo intègre des fonctionnalités de sauvegarde et de récupération des données, assurant ainsi la continuité et la reprise d’activité en cas d’incident. La plateforme facilite la mise en place de stratégies de reprise après sinistre, conformément à l’article 21.2.c de NIS2.

Support et expertise en cybersécurité : Utiliser Scalingo, c’est aussi bénéficier du support d’une équipe férue de cybersécurité. Cela inclut leurs conseils dans la mise en œuvre des meilleures pratiques de sécurité et la réponse rapide aux incidents, conformément à l'article 21.2.e de NIS 2.

Ce qu’il faut retenir

  • La directive NIS 2 vise à renforcer la version initiale de NIS adoptée en 2016. Cette directive européenne est entrée en vigueur en France en octobre 2024. Elle concerne la cybersécurité ainsi que la protection des données et des systèmes d'information dans plusieurs secteurs jugés essentiels ou critiques.
  • À la différence de NIS 1, NIS 2 inclut des mesures de sanctions en cas de non-conformité des entreprises, appliquées en France par l'ANSSI.
  • Opter pour un fournisseur de cloud sécurisé tel que Scalingo peut déjà vous aider à répondre à certaines exigences de cette nouvelle directive.
Partager l'article
Jennifer Taylor
Jennifer Taylor
Growth Marketing Manager chez Scalingo, Jennifer explore le vaste territoire des PaaS et de l'industrie du cloud, nourrissant son expertise par des lectures pointues et des discussions enrichissantes avec des experts du secteur. Elle se fait un plaisir de vous partager les connaissances ainsi acquises.

Essayez gratuitement Scalingo

30 jours d'essai gratuit / Pas de CB nécessaire / Hébergé en France