Guide de conformité NIS2 : comprendre vos obligations légales

La mise en conformité NIS2 est désormais une obligation légale pour des milliers d’organisations à travers l’UE.

 

La directive transforme la cybersécurité : d’un simple enjeu technique, elle devient un impératif de gouvernance. Elle engage la responsabilité personnelle des dirigeants en cas de manquement.

 

Ce guide détaille les entités concernées, les dix mesures de sécurité exigées par l’article 21 et les délais de notification des incidents. Il couvre également les sanctions encourues lorsque les organisations -ou leurs dirigeants- ne sont pas à la hauteur.

Qu’est-ce que la conformité NIS2 ?

La directive NIS2 (UE 2022/2555) est le nouveau framework de cybersécurité de l’Union Européenne.

Elle remplace la directive NIS initiale et crée des obligations légales contraignantes pour les moyennes et grandes organisations réparties dans 18 secteurs critiques. La directive encadre la gestion des risques, le reporting d’incidents et la responsabilité des dirigeants.

Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel en cas de non-conformité.

En quoi NIS2 diffère-t-elle des standards techniques habituels ? C’est une loi. La directive établit un cadre juridique unifié dans tous les États membres de l’UE.

Les organisations s’exposent ainsi à de véritables contrôles et à des conséquences réelles.

Pour les dirigeants et les comités de direction, le changement de paradigme est majeur. La cybersécurité n’est plus seulement l’affaire de la DSI. C’est aujourd’hui une responsabilité de gouvernance avec des implications juridiques personnelles.

 

Qui est concerné par la directive NIS2 ?

Deux critères déterminent si une organisation entre dans le périmètre : la taille et le secteur d’activité. En règle générale, les entités de 50 employés ou plus, ou dont le chiffre d’affaires dépasse 10 millions d’euros, sont assujetties (voir obligations PME/ETI). Cependant, la classification sectorielle est tout aussi déterminante.

NIS2 crée deux catégories : les Entités Essentielles (EE) et les Entités Importantes (EI). Cette distinction a un impact direct sur le régime de contrôle et le plafond des sanctions.

 

Les Entités Essentielles (EE)

Les Entités Essentielles opèrent dans des secteurs hautement critiques. Elles sont soumises à un contrôle ex ante : les régulateurs les surveillent de manière proactive, avant même qu’un incident ne se produise.

Ces secteurs incluent l’énergie, les transports, le secteur bancaire, la santé, l’eau potable, les infrastructures numériques, l’administration publique et l’espace.

 

Les Entités Importantes (EI)

Les Entités Importantes opèrent dans d’autres secteurs critiques. Elles sont soumises à un contrôle ex post, où l’intervention du régulateur fait généralement suite à un incident.

Ces secteurs couvrent les services postaux, la gestion des déchets, la chimie, l’agroalimentaire, l’industrie manufacturière et les fournisseurs numériques.

 

Les secteurs couverts par NIS2

Catégorie	Secteurs	Type de contrôle
Entités Essentielles	Énergie, transports, banque, santé, infrastructures numériques, administration publique	Ex ante (proactif)
Entités Importantes	Industrie manufacturière, agroalimentaire, services postaux, chimie, fournisseurs numériques	Ex post (réactif)

 

 

Date limite d’application et transposition en France

La date limite de transposition à l’échelle de l’UE était fixée à octobre 2024. Chaque État membre devait adopter une législation nationale avant cette date, pourtant 19 États membres ont manqué l’échéance, dont la France. A ce jour, encore 7 pays dont la France n’ont pas achevé la transposition de NIS2 dans leur droit national.

En France, c’est l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui pilote le processus de transposition. Bien que la directive soit désormais en vigueur au niveau européen, la Commission a proposé des amendements simplifiant la conformité. Les mécanismes de contrôle spécifiques dépendront de la forme que prendra la loi nationale.

Les organisations opérant en France doivent suivre de près les communications de l’ANSSI pour s’orienter sur leur classification et les attentes en matière de conformité.

 

 

Les obligations légales clés sous NIS2

NIS2 repose sur quatre piliers. Les assimiler permet aux organisations de structurer leur démarche avant de plonger dans les mesures techniques spécifiques.

-Gestion des risques de cybersécurité

L’article 21 impose une approche « tous risques ». Les organisations doivent adopter des mesures techniques, opérationnelles et organisationnelles proportionnées pour gérer les risques pesant sur leurs réseaux et systèmes d’information.

Le terme proportionné est central. Les mesures doivent être adaptées à la taille de l’entité, à son secteur et à son exposition aux risques.

-Gouvernance d’entreprise et responsabilité

La direction générale approuve les mesures de cybersécurité et supervise leur mise en œuvre. Cette responsabilité ne peut plus être entièrement déléguée à la DSI ou aux équipes techniques. Les comités de direction sont directement responsables de la mise en place d’une gouvernance cybersécurité adéquate.

-Notification des incidents

Les incidents significatifs exigent une notification rapide aux autorités compétentes. La directive fixe des délais stricts, détaillés plus bas.

-Continuité d’activité et sécurité de la supply chain

Les organisations doivent maintenir des capacités de gestion des sauvegardes, de reprise d’activité (PRA/PCA) et de gestion de crise. Consultez notre guide sur la préparation d’un plan de réponse à incident cyber. La sécurité de la supply chain implique d’évaluer et de traiter les vulnérabilités chez les fournisseurs directs et les prestataires de services.

 

 

Les 10 mesures de sécurité exigées par l’Article 21

L’article 21 de la directive NIS2 définit dix mesures de sécurité de base. Elles traduisent les obligations légales en exigences opérationnelles concrètes.

1. Politiques de sécurité des SI et analyse des risques

Des politiques formalisées encadrent la manière dont les organisations identifient, évaluent et traitent les risques cyber affectant leurs réseaux et systèmes d’information.

2. Gestion des incidents

Les procédures de détection, de gestion et de réponse aux incidents de sécurité incluent des protocoles d’escalade. Elles couvrent les fuites de données et les mesures techniques de confinement.

3. Continuité d’activité et gestion de crise

Des plans garantissent la résilience opérationnelle pendant et après un incident cyber. Cela couvre la gestion des backups et les procédures de reprise d’activité.

4. Sécurité de la supply chain

Les exigences de sécurité s’appliquent aux relations avec les fournisseurs directs et les prestataires. 47 % des organisations de l’UE citent cette préoccupation selon l’ENISA. Les clauses contractuelles et les audits fournisseurs sont des outils incontournables.

5. Sécurité dans l’acquisition des réseaux et systèmes d’information

Les enjeux de sécurité doivent être intégrés dans l’achat, le développement et la maintenance des systèmes informatiques. Le principe est le security by design et by default.

6. Politiques d’évaluation de l’efficacité des mesures

L’évaluation régulière des mesures mises en place passe par des scans de vulnérabilité et des audits de sécurité.

7. Cyber-hygiène de base et formation

La formation à la sensibilisation cyber est obligatoire pour tout le personnel, y compris la direction. L’hygiène informatique couvre les politiques de mots de passe, les mises à jour logicielles et la gestion des accès.

8. Cryptographie et chiffrement

Des politiques encadrent l’utilisation de contrôles cryptographiques pour protéger les données en transit et au repos, de manière appropriée et proportionnée.

9. Sécurité des ressources humaines et contrôle d’accès

Des mesures de sécurité s’appliquent aux employés. Le contrôle d’accès physique garantit que les employés et éventuels prestataires n’accèdent qu’aux locaux et ressources nécessaires à leur fonction.

10. Authentification multifacteur (MFA) et communications sécurisées

Des solutions de MFA ou d’authentification continue protègent les accès. Des communications vocales, vidéo et textuelles sécurisées doivent être déployées là où c’est pertinent.

 

 

Obligations de notification d’incidents et fuite de données sous NIS2

L’article 23 instaure des exigences de notification strictes et chronométrées, notamment en cas de fuite de données. Ce processus en trois étapes s’applique aux « incidents significatifs » impactant la fourniture de services.

Étape 1. Alerte précoce sous 24 heures

Dès qu’elle a connaissance d’un incident significatif, l’entité soumet une alerte précoce à l’autorité compétente (l’ANSSI en France). Cette première notification indique si l’incident est suspecté de résulter d’actes malveillants ou illicites.

Étape 2. Notification d’incident sous 72 heures

Une évaluation plus détaillée suit, incluant une première estimation de la gravité, les indicateurs de compromission (IoC) et l’étendue de l’impact. Elle met à jour ou remplace l’alerte précoce.

Étape 3. Rapport final sous un mois

Un rapport complet détaille l’analyse des causes profondes, les mesures d’atténuation adoptées et l’éventuel impact transfrontalier. Les incidents toujours en cours peuvent nécessiter des rapports d’étape intermédiaires.

 

 

Responsabilité personnelle des dirigeants sous NIS2

Voici ce qui distingue véritablement NIS2 des précédents frameworks de cybersécurité : la responsabilité des dirigeants avec des conséquences personnelles.

La responsabilité pénale est personnelle et non transférable. Même avec des délégations de pouvoir en place, le dirigeant reste le garant légal de la sécurité de l’organisation. La direction peut être tenue personnellement responsable en cas de manquement à l’approbation et à la supervision des mesures de cybersécurité.

• Obligation d’approbation : La direction approuve formellement les mesures de gestion des risques cyber.
• Devoir de supervision : Une surveillance continue de la mise en œuvre est exigée, et non une simple validation ponctuelle.
• Obligation de formation : Les dirigeants eux-mêmes doivent suivre des formations en cybersécurité.
• Sanctions personnelles : Risque d’interdiction temporaire d’exercer des fonctions de direction.

L’assurance ne peut en aucun cas transférer cette responsabilité.

 

 

Les sanctions en cas de non-conformité NIS2

Le barème des sanctions fait la distinction entre les types d’entités. Les pénalités s’appliquent aux organisations et, potentiellement, aux personnes physiques.

Sanctions financières pour les Entités Essentielles

Les amendes administratives maximales peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial total annuel, le montant le plus élevé étant retenu.

 

Sanctions financières pour les Entités Importantes

Les amendes maximales s’élèvent à 7 millions d’euros ou 1,4 % du chiffre d’affaires. Ce régime différencié reflète le risque systémique moindre que posent ces entités.

 

Sanctions administratives et personnelles

Au-delà des amendes, les autorités peuvent imposer des injonctions de conformité et des interdictions temporaires de gestion pour les personnes physiques. Le droit national peut y ajouter des sanctions supplémentaires.

 

 

Comment NIS2 se positionne par rapport au RGPD et à DORA

Les organisations sont souvent confrontées à un millefeuille réglementaire. Comprendre l’articulation de ces textes permet de clarifier les priorités de mise en conformité.

 

Réglementation	Périmètre	Objectif principal	Relation avec NIS2
NIS2	18 secteurs critiques	Sécurité des réseaux et systèmes d’information	Framework principal de cyber-résilience
RGPD	Tout responsable de traitement de données personnelles	Protection des données à caractère personnel	Chevauchements sur la notification d’incidents et les mesures de sécurité
DORA	Entités du secteur financier	Risque TIC et résilience opérationnelle numérique	Lex specialis : prévaut sur NIS2 pour les entités financières

 

Là où DORA s’applique aux entités financières, ses dispositions priment sur NIS2 en tant que lex specialis.

 

 

Les défis fréquents de la conformité NIS2

Plusieurs obstacles pratiques émergent à mesure que les organisations entament leur mise en conformité.

Identifier le périmètre réglementaire applicable

Beaucoup d’organisations peinent à déterminer si elles entrent dans le champ d’application, en particulier les groupes possédant de multiples filiales ou des opérations transfrontalières. Les variations de transposition nationale ajoutent à cette complexité.

 

Faire le pont entre l’expertise juridique et technique

NIS2 exige à la fois une interprétation juridique et une implémentation technique. Rares sont les organisations disposant d’équipes internes combinant une double expertise en cybersécurité et en affaires réglementaires.

 

Articuler l’assurance cyber et la responsabilité des dirigeants

L’assurance couvre certains coûts organisationnels mais ne peut transférer la responsabilité personnelle du dirigeant. Il est primordial de bien comprendre ce que l’assurance cyber couvre réellement , et ce qu’elle exclut.

 

Maintenir une traçabilité de la conformité

Documenter en continu les décisions, les audits, les formations et les éventuelles fuites de données est chronophage mais indispensable. Sans une gouvernance traçable, il devient très difficile de prouver sa diligence lors d’une procédure de contrôle.

Conseil : Désigner un référent unique pour coordonner les aspects juridiques, techniques et assurantiels fluidifie la mise en conformité et réduit les angles morts.

 

 

Sécuriser votre conformité NIS2 avec Eurolaw France Cyber

Eurolaw France Cyber réunit avocats, assureurs et prestataires de cybersécurité dans une approche interdisciplinaire parfaitement taillée pour les exigences hybrides (juridiques et techniques) de NIS2.

Nos services incluent audits de conformité, analyse d’écarts, structuration de gouvernance et veille réglementaire. La coordination via un référent unique aide les organisations à naviguer dans cette complexité sans avoir à internaliser toutes ces compétences.

 

 

FAQ: questions fréquentes sur la conformité NIS2