À mesure que les attaques informatiques ciblent les rouages vitaux de l’économie européenne, la question de la cybersécurité quitte le terrain technique pour devenir une priorité stratégique. Face à cette menace diffuse mais persistante, l’Union européenne riposte par une nouvelle législation : la directive NIS 2.
Ce guide a pour vocation de clarifier les contours de cette réforme, d’en détailler les implications et d’accompagner les entreprises dans leur mise en conformité. Plus qu’une obligation, il s’agit d’un tournant structurant dans la gestion des risques numériques.
Qu’est-ce que la directive NIS 2 ?
NIS 2 : définition
La directive NIS 2 (Network and Information Security) constitue la nouvelle réglementation de l’Union européenne en matière de sécurité des réseaux et des systèmes d’information critiques. Elle remplace la directive NIS de 2016, avec une ambition nettement élargie : imposer des exigences renforcées de cybersécurité à un plus grand nombre d’organisations dans tous les États membres.
Les objectifs de la directive NIS 2
NIS 2 vise un double objectif : augmenter la résilience numérique des infrastructures essentielles et harmoniser les mesures de gestion des risques entre pays. Cette cohérence est indispensable pour garantir une réponse coordonnée aux menaces transfrontalières.
Entrée en vigueur de la directive NIS 2 en France
La directive entrera en vigueur le 18 octobre 2024. En France, l’ANSSI sera l’autorité compétente, chargée d’encadrer son application et de gérer la future plateforme d’enregistrement des entités concernées.
NIS 1 et NIS 2 : quelles différences ?
NIS 2 marque une rupture avec son prédécesseur. Le champ d’application est élargi à de nouveaux secteurs, de nouvelles tailles d’entreprise sont intégrées, et un régime de sanctions harmonisé a été introduit à l’échelle européenne.
NIS 2 : les entreprises concernées par taille et secteur
NIS 2 : les secteurs concernés
La directive couvre désormais 18 secteurs critiques, répartis en deux grandes catégories :
Secteurs hautement critiques (issus de NIS 1, avec extension) :
- Énergie
- Transports
- Banque
- Infrastructures des marchés financiers
- Santé
- Eau potable
- Infrastructures numériques
- Gestion des services TIC
- Eaux usées
- Administration publique
- Espace
Secteurs critiques additionnels (introduits par NIS 2) :
- Services postaux et d’expédition
- Gestion des déchets
- Chimie
- Agroalimentaire
- Fabrication (équipements électriques, informatiques…)
- Fournisseurs numériques
- Recherche
NIS 2 : les entreprises concernées
Deux catégories d’organisations sont au cœur du texte : les entités essentielles et les entités importantes.
- Les premières regroupent les entreprises de plus de 250 salariés, avec plus de 50 M€ de chiffre d’affaires ou 43 M€ de bilan annuel.
- Les secondes s’appliquent aux entités dépassant 50 salariés et 10 M€ de chiffre d’affaires, si elles opèrent dans l’un des 18 secteurs visés.
Cette nouvelle approche élargit sensiblement le périmètre réglementaire.
NIS 2 et les PME : êtes-vous dans le périmètre NIS 2 ?
Les PME ne sont pas exclues du champ de la directive NIS 2. Une entreprise de taille moyenne peut être considérée comme une entité importante si elle répond aux critères sectoriels et financiers. De plus, le principe de dépendance de tiers étend la vigilance à tous les sous-traitants et prestataires de la chaîne de valeur. D’où l’importance de vérifier dès maintenant son exposition via le simulateur ANSSI.
NIS 2 : quelles obligations pour les entreprises ?
Mesures de gestion des risques
L’un des points importants de la directive NIS 2 réside dans l’instauration d’un véritable cadre de gestion des risques. Finies les approches ponctuelles ou réactives : les entités concernées doivent désormais démontrer une anticipation stratégique des menaces. Cela implique la mise en œuvre de dispositifs concrets comme le chiffrement des données sensibles, l’authentification multifacteur, ou encore la formalisation de plans de reprise d’activité (PRA). Plus qu’une exigence réglementaire, il s’agit d’un changement de culture : la cybersécurité devient une responsabilité partagée, intégrée à tous les niveaux de gouvernance.
Déclaration des incidents
La directive impose un protocole de notification des incidents strict, fondé sur la rapidité et la transparence. Une alerte préliminaire devra être transmise aux autorités compétentes dans un délai de 24 heures. S’en suivra, dans les 72 heures, un rapport formel détaillant la nature de l’événement et les premières mesures engagées.
Il y a aussi deux autres étapes, un rapport d’avancement puis un rapport final. Ces derniers viendront compléter ce processus, démontrant l’engagement de l’entreprise à rétablir la sécurité de ses systèmes d’information.
Audit et conformité ANSSI
Les entités soumises à la directive NIS 2 devront s’enregistrer auprès de l’ANSSI, qui organisera ensuite des audits réguliers. Ces contrôles porteront à la fois sur l’efficacité technique des dispositifs de cybersécurité, mais aussi sur leur formalisation et leur documentation. La capacité à démontrer la maîtrise des risques sera un critère central.
Sanctions financières
La directive prévoit un régime de sanctions dissuasif, gradué selon le statut de l’entreprise. Pour les entités essentielles, les amendes pourront atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Les entités importantes s’exposent quant à elles à un plafond de 7 millions d’euros ou 1,4 % de leur chiffre d’affaires. Un signal fort envoyé aux entreprises : l’inaction ne sera plus tolérée.
Ressources et outils pour les entreprises
Simulateur d’évaluation des obligations NIS 2
Afin de clarifier l’éligibilité des organisations à la directive NIS 2, l’ANSSI propose un simulateur en ligne. Accessible gratuitement sur monespacenis2.cyber.gouv.fr/simulateur, cet outil permet d’évaluer rapidement la conformité attendue selon la taille, le secteur et l’exposition numérique de l’entreprise.
Accompagnement proposé par Naitways
Spécialiste des solutions souveraines et de la cybersécurité pour les ETI et PME, Naitways propose un accompagnement sur mesure. De l’audit initial à la définition d’un plan de mise en conformité, ses équipes aident à structurer une réponse adaptée aux exigences du NIS 2 obligation. Cet appui peut inclure l’analyse de risques, la cartographie des systèmes critiques et l’implémentation de PRA/PCA efficaces.
NIS 2 : quelles conséquences concrètes pour les PME ?
Adaptation des processus internes et des responsabilités
Les PME devront formaliser des rôles et responsabilités clairs en matière de cybersécurité, souvent absents ou informels jusqu’ici. Cela suppose la désignation de référents, la mise à jour des procédures et une montée en compétence organisationnelle.
Renforcement des outils de cybersécurité et de la sensibilisation
Les investissements en technologies de défense ne suffisent pas. La directive impose aussi une sensibilisation régulière des collaborateurs, car l’erreur humaine reste une faille majeure. Pare-feu, antivirus, SIEM ne valent rien sans une culture de vigilance partagée.
NIS 2 en France : l’importance de l’accompagnement spécialisé
Face à la complexité du NIS 2, l’appui d’experts devient crucial. Un accompagnement ciblé permet de hiérarchiser les actions à mener et d’éviter à la fois les surcoûts et les angles morts réglementaires.
Comment Naitways peut vous accompagner dans la mise en place de la directive NIS 2 ?
Forte de son expérience auprès des ETI et des PME, Naitways propose un accompagnement ciblé pour répondre aux exigences du NIS 2 obligation, sans complexité superflue ni surcoût inutile.
Audit et cartographie
Les experts réalisent un état des lieux rigoureux de l’existant et cartographient les systèmes d’information critiques.
Formations personnalisées
Des sessions adaptées aux enjeux métiers sont proposées pour ancrer les bonnes pratiques de cybersécurité au sein des équipes.
Solutions cloud sécurisées
Hébergement souverain, conformité ISO 27001 et HDS : des infrastructures à la hauteur des entités essentielles comme des entités importantes.
Vous avez un besoin spécifique ?
Je contacte un expert Naitways
