Directive NIS2 — Présentation & obligations pour les entreprises
NIS2 élève le niveau de cybersécurité dans l’Union européenne. Elle étend le périmètre des entités concernées, impose des mesures minimales de gestion des risques et des délais de notification en cas d’incident majeur. En France, l’ANSSI pilote la mise en œuvre et publie des ressources d’accompagnement.
1) NIS2 en bref
- Objectif : renforcer la résilience des services essentiels et importants dans l’UE.
- Remplace NIS1 et élargit le nombre de secteurs et d’entités couverts.
- Transposition nationale : chaque État intègre NIS2 dans son droit ; en France, l’ANSSI coordonne la mise en œuvre.
2) Qui est concerné ?
NIS2 s’applique notamment aux entreprises moyennes et grandes de secteurs définis, classées en entités essentielles ou importantes.
| Secteurs (exemples) | Cat. |
|---|---|
| Énergie, Transport, Banque | Essentielle |
| Santé, Eau potable / Eau usée | Essentielle |
| Infrastructures numériques, Cloud / Data centers | Essentielle |
| Poste, Déchets, Chimie, Agroalimentaire | Importante |
| Fabrication (industries), Recherche | Importante |
| Fournisseurs numériques (marketplaces, moteurs…) | Importante |
Règle dite “size-cap” : par défaut, les moyennes et grandes entreprises des secteurs listés entrent dans le périmètre.
Listes nationales
Chaque État publie et met à jour la liste des entités essentielles et importantes. En France : pilotage ANSSI avec les ministères compétents.
3) Obligations clés (mesures minimales)
Les entités doivent mettre en œuvre des mesures de gestion des risques proportionnées :
- Gouvernance & politique de sécurité : responsabilités claires, sensibilisation/formation des décideurs et utilisateurs.
- Gestion des risques & incidents : détection, réponse, journalisation, continuité d’activité (PRA/PCA).
- Chaîne d’approvisionnement : exigences de sécurité fournisseurs (MSP, éditeurs, cloud), clauses contractuelles.
- Gestion des vulnérabilités : correctifs, divulgation coordonnée (CVD), mises à jour des équipements.
- Contrôles techniques : segmentation réseau, durcissement, chiffrement, MFA, sauvegardes 3-2-1 testées.
- Tests & audits : revues régulières, exercices (table-top). Le test d’intrusion peut être demandé mais n’est pas systématique.
4) Notification d’incident (délais indicatifs)
- Alerte précoce au plus tard dans les 24 h (signalement initial à l’autorité/CSIRT compétent).
- Notification dans les 72 h avec les premiers éléments (gravité, impact, IoC, mesures engagées).
- Rapport final dans le mois : causes, remédiations, leçons tirées.
Ces délais s’appliquent aux incidents significatifs ; les seuils de gravité sont précisés par les textes nationaux.
5) Contrôle & sanctions
- Supervision par l’autorité nationale (France : ANSSI et autorités sectorielles).
- Mesures correctives et amendes administratives possibles (échelles prévues par la directive, selon la catégorie d’entité).
L’objectif premier reste la réduction du risque et la continuité des services ; la sanction intervient en dernier ressort.
6) Par où commencer ? (plan d’action)
- Vérifier votre éligibilité : secteur + taille → classification potentielle (essentielle/importante).
- Désigner un référent (RSSI / “référent cyber”) et cadrer le périmètre.
- Cartographier : actifs/données critiques, dépendances fournisseurs, flux.
- Mise à niveau : MFA, sauvegardes testées, EDR/XDR, patch management, journalisation centrale (SIEM).
- Procédures & formation : gestion d’incident (qui/quoi/quand), sensibilisation anti-phishing, exercices.
- Suivi : indicateurs, revues régulières, amélioration continue.
7) Ressources utiles (officielles)
- Commission européenne — page NIS2 : digital-strategy.ec.europa.eu
- ANSSI — informations / plaquette NIS2 : monespacenis2.cyber.gouv.fr
- ANSSI — Hygiène informatique (guide) : cyber.gouv.fr
Cette page est une présentation et ne remplace pas un avis juridique. Référez-vous aux textes nationaux applicables.