La directive NIS 2, entrée en vigueur en Europe depuis octobre 2024,  a augmenté le nombre d’entreprises concernées par les obligations de sécurisation des systèmes d’information, que ce soit par l’élargissement à de nouveaux secteurs (35 secteurs concernés) ou par l’abaissement de la taille des entreprises (50 salariés). Au-delà des critères définis dans les textes officiels, toutes les entreprises vont devoir appliquer des obligations de base.

Progressivement les entreprises vont devoir se protéger face aux menaces cyber comme une démarche qualité.

objectif

Objectifs de la Directive NIS 2

  • Renforcer la cybersécurité au sein de l’UE face à l’augmentation des cybermenaces.
  • Améliorer la résilience des entités critiques face aux incidents informatiques.
  • Harmoniser les obligations de sécurité dans tous les États membres.
  • Renforcer la coopération entre les autorités nationales de cybersécurité.

Qui est concerné ?

La Directive NIS 2 élargit largement le champ d'application par rapport à NIS 1.

Elle distingue deux grandes catégories :

  • Secteurs essentiels (entités essentielles) – Obligations renforcées (contrôle, sanctions possibles après audit)
    • Énergie, transports, banques, finance, infrastructures des marchés financiers
    • Santé, eau potable, eaux usées, infrastructures numériques
    • Administration publique, espace
  • Secteurs importants (entités importantes) – Obligations similaires mais contrôle à postériori (en cas d’incident ou de suspicion)
    • Services postaux, gestion des déchets, fabrication de produits critiques
    • Recherche, production et distribution alimentaires
    • Fournisseurs de services numériques (cloud, data centers, marketplaces)

Les Critères :

  • Entreprises de plus de 50 salariés ou plus de 10 M€ de CA, sauf exceptions pour des entités très critiques.
  • Certaines PME peuvent aussi être concernées si elles fournissent des services essentiels.

 

Obligations principales

  • Mesures techniques et organisationnelles pour prévenir les risques cyber (analyse de risques, gestion des incidents, sécurité des réseaux, etc.)
  • Notification obligatoire des incidents significatifs dans les 24h à l’ANSSI (autorité compétente en France) en cas de constatation d’une faille de sécurité (pré-alerte sous 24h, rapport initial sous 72h et rapport final dans un délai d’un mois)
  • Gouvernance de la cybersécurité : désignation d’un responsable sécurité, implication des instances dirigeantes (conseil d’administration, direction générale…)
  • Sécurité de la chaîne d’approvisionnement : analyse des sous-traitants, fournisseurs…
  • Plan de continuité d’activité, gestion de crise et sauvegardes 

 

 

sanctions

Sanctions prévues en cas de non-conformité :

  • Amendes pouvant atteindre :
    • 10 M€ ou 2 % du CA mondial pour les entités essentielles
  • Sanctions complémentaires possibles : suspension d’activités, responsabilité civile ou pénale des dirigeants mais aussi sanctions indirectes comme atteinte à la réputation, perte de marchés…

Comment s'y préparer ?

  • Évaluer si l’entité est concernée (possibilité de vérifier en faisant le test disponible sur : htpps://monespacenis.2.cyber.gouv.fr/simulateur )
    • Vérifier le secteur d’activité, la taille, la criticité
    • Anticiper même si aucune notification officielle n’a été reçue
  • Faire un état des lieux
    • Cartographie des systèmes d'information (prestataires, fournisseurs…)
    • Analyse des risques
    • Audit cybersécurité (interne ou externe)
  • Mettre en œuvre un plan d’action (PRA)
    • Définir une politique de sécurité (nommer un référent cybersécurité…)
    • Renforcer la détection et la réaction aux incidents
    • Mettre à jour les contrats avec les prestataires (ex. : clauses sécurité)
    • Sensibiliser les collaborateurs
  • Préparer la documentation exigée
    • Plans de réponse aux incidents
    • Rapports de sécurité
    • Registres d’événements

photo échéeance

Echéances

Application effective : depuis le début d’année