Guide NIS 2 – 2025  pour renforcer la cybersécurité de son organisation


27 Nov 2024 | Cybersécurité, Législation et Conformité | 0 commentaires

NIS-2-Guide-2025

Pourquoi la Directive NIS 2 est cruciale pour la cybersécurité ?

La directive NIS 2 (Network and Information Security) est entrée en application le 16 janvier 2023 au sein de l’Union Européenne, et succède à la Directive NIS 1 datant de 2016. Cette nouvelle réglementation répond à une croissance et une diversification des risques cyber. Elle concerne des milliers d’entités essentielles (EE) et d’entités importantes (EI) en Europe, évoluant dans 18 secteurs d’activités plus ou moins critiques (santé, administrations publiques, transports, eau, gestion des déchets…). Sa transposition dans les lois nationales au 17 octobre 2024 est cruciale pour faire face aux crises cyber de plus en plus rudes mais NIS 2 représente aussi un défi de taille. En effet, des entreprises de toutes tailles sont concernées et devront répondre à des exigences de sécurité fortes, sous peine d’amendes financières importantes.

Les objectifs principaux de la Directive NIS 2

Améliorer la coordination européenne 

NIS 2 vise à renforcer le niveau de cybersécurité global de l’Union Européenne, en sécurisant davantage les réseaux et systèmes d’information de milliers d’organisations et infrastructures essentielles pour la nation. Cette homogénéisation des niveaux de cybersécurité implique un partage des connaissances en matière de cyber-défense et une coordination au sein des pays membres de l’UE, notamment en cas de cyberattaque. En effet, cela pourra garantir une réponse rapide et concertée lors de crises cyber et améliorer l’identification des risques. 

Cette coopération au niveau européen se concrétise par la création et l’animation de différents réseaux d’échange :  

EU-CyCLONe

L’EU-CyCLONe (European Cyber Crises Liaison Organisation Network) est une institution créée pour l’étude et la réponse coordonnée aux incidents de grande échelle. Mise en place avec NIS 2, elle vise à assurer l’échange régulier d’informations pertinentes entre les États membres et les institutions, organes et organismes de l’Union. L’EU-CyCLONe doit notamment développer une connaissance commune de la situation en cas d’incidents et de crises de cybersécurité de grande ampleur et coordonner leur gestion. (Source : NIS 2 Directive)


CSIRT’s Network

Le CSIRT’S Network est un réseau européen créé en 2016 avec la Directive NIS. Il regroupe des représentants des États membres de l’UE, ainsi que le CERT-EU (Computer emergency response team). Ces derniers se réunissent trois fois par an et ont pour vocation de « contribuer au renforcement de la confiance entre les États membres et de promouvoir une coopération opérationnelle rapide et effective ». (Source : CERT-FR)

Groupe de Coopération NIS

Le Groupe de Coopération NIS a été mis en place par l’article 11 de la directive NIS. Il réunit depuis février 2017 les représentants des États membres, de la Commission européenne et de l’ENISA. Ses trois objectifs :

  • Soutenir et faciliter la coopération stratégique entre les États membres ;
  • Faciliter l’échange d’information et renforcer la confiance mutuelle;
  • Élever le niveau global de maturité et les capacités nationales de cybersécurité (formations, outillages, etc.).

(Source : Cyber Gouv)

Augmentation de la résilience opérationnelle

La directive impose aux entités concernées d’adopter des mesures pour renforcer leur résilience opérationnelle. Cela singifie qu’elles doivent en capacité de faire face à des incidents de cybersécurité, en déployant des plans de gestion des incidents et de continuité d’activité, développés et testés en amont. Pour cela, la mise en place de processus techniques et organisationnels sont indispensables, notamment avec le déploiement de solutions sécurisées et l’identification d’équipes dédiées, formées régulièrement. Des conditions indispensables pour se préparer au mieux aux cyberattaques et réduire leur impact sur l’organisation.

Les entités concernées par la Directive NIS 2

Entités essentielles (EE) et entités importantes (EI) : quelles différences ?

Environ 10 000 organisations publiques et privées européennes doivent se soumettre à l’application de la directive NIS 2. Ces entitéssont réparties dans deux catégories distinctes : les entités essentielles (EE) et les entités importantes (EI), évoluant elles-même dans deux types secteurs (secteurs critiques ou hautement critiques).Cette catégorisation a pour but d’adapter les obligations réglementaires à la taille et à la criticité des entités, et notamment l’ampleur des sanctions. Cependant, il appartient à chaque pays de déterminer les critères précis d’identification pour chaque type d’entités. En France, il apparait que : 

  • Les entités essentielles (EE) regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques.
  • Les entités importantes (EI) concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.

Des différences qui devront être confirmées avec la promulgation de la loi NIS 2 au niveau national.

Cette classification met fin à la dénomination « OSE », pour « opérateur de services essentiels ».

Secteur critiques et hautement critiques

La liste des secteurs critiques et hautement critiques est quant à elle statuée. 

Les secteurs classés comme hautement critiques sont : 

  • l’énergie
  • les transports
  • le secteur bancaire
  • les infrastructures des marchés financiers
  • la santé
  • l’eau potable
  • les eaux usées
  • l’infrastructure numérique
  • la gestion des services TIC
  • l’administration publique
  • l’espace

Les secteurs critiques sont :

  • les services postaux et d’expédition
  • la gestion des déchets
  • la fabrication, production et distribution de produits chimiques
  • la production, transformation et distribution des denrées alimentaires
  • la fabrication
  • les fournisseurs numériques
  • la recherche

À noter que, contrairement à NIS 1, les administrations centrales des Etats membres ainsi que certaines collectivités territoriales intègrent également le périmètre de NIS 2 (Source : Mon Espace NIS 2)

Les exigences clés de la Directive NIS 2

Gestion des risques 

La gestion des risques est au cœur de la directive NIS 2. Dans l’article 21 du réglement européen figure une liste de mesures à mettre en oeuvre par les entités comme :

  1. les politiques en matière d’analyse des risques et de sécurité des systèmes d’information ;
  2. le traitement des incidents
  3. la continuité des activités, notamment la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ;
  4. la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services ;
  5. la sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
  6. les politiques et procédures permettant d’évaluer l’efficacité des mesures de gestion des risques liés à la cybersécurité ;
  7. les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
  8. les politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
  9. la sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs ;
  10. l’utilisation de solutions d’authentification multifactorielle ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d’urgence sécurisés au sein de l’entité, le cas échéant.

Déclaration d’incidents

En cas d’incident significatif de cybersécurité, les entités ont pour obligation d’alerter dans les plus brefs délais les autorités nationales compétentes pour l’application de NIS 2. Les modalités de ces notifications sont précisées dans les lois nationales, tout comme la définition « d’incident significatif ». Néanmoins, les organisations disposent généralement de 24h pour informer les autorités d’un incident.

Voici la liste des autorités compétentes par pays membres de l’UE, figurant comme point de contact principal pour les entités NIS 2 : 

AllemagneBSI (Bundesamt für Sicherheit in der Informationstechnik)
AutricheOffice for Strategic Networking and Information Systems Security
BelgiqueCCB (Centre pour la Cybersécurité Belgique)
BulgarieMinistère de l’administration en ligne
ChypreDigital Security Authority (DSA)
CroatieNational Security Authority
DanemarkCenter for Cyber Security
EspagneDepartamento de Seguridad Nacional
EstonieInformation System Authority
FinlandeNational Cyber Security Centre, Finnish Transport and Communications Agency (Traficom)
FranceANSSI (Agence nationale de la sécurité des systèmes d’information)
GrèceDirection de la Cybersécurité du Ministère de la Gouvernance Numérique
HongrieNational Cyber Security Center 
IrlandeNational Cyber Security Centre
Italie National Cybersecurity Agency (ACN) 
LettonieMinistry of Defense
LituanieNational Cyber Security Centre
LuxembourgInstitut Luxembourgeois de Régulation
MalteMalta Critical Infrastructure Protection Directorate
Pays-BasNationaal Cyber Security Centrum
PologneMinistry of Digital Affairs
PortugalCentro Nacional de Cibersegurança
République TchèqueNational Cyber and Information Security Agency 
RoumanieRomanian National Computer Security Incident Response Team (CERT-RO)
SlovaquieNational Security Authority
SlovénieGovernment Information Security Office
SuèdeSwedish Civil Contingencies Agency (MSB)

Formation des dirigeants

La formation des dirigeants fait partie des exigences premières de NIS 2. En effet, les mesures de cybersécurité mise en place dans les organisations doivent être approuvées et supervisées afin de garantir leur efficacité. C’est pourquoi, les dirigeants doivent être formés de façon spécifique à la mise en conformité NIS 2 et aux normes de sécurité informatique et de gestion des risques afin de prendre des décisions éclairées. De plus, avec cette nouvelle directive, en cas de non conformité d’une entité, la responsabilité de son dirigeant peut être directement engagée.

En parallèle, les collaborateurs de l’entreprise doivent également être sensibilisés à ces sujets pour que les bonnes pratiques de cybersécurité soit appliquées à tous les niveaux de l’organisation.

La mise en conformité avec la Directive NIS 2

Mesures organisationnelles et techniques

Pour une mise en conformité réussie, il faut d’abord suivre une feuille de route claire comprenant : 

  • audits, 
  • cartographie des risques, 
  • identification des équipes impliquées, 
  • formations et sensibilisations, 
  • mise en place d’outils et de stratégies de sécurité adaptées au niveau de criticité 

Ces mesures organisationnelles et techniques doivent être intégrés dans un plan bien défini et bénéficier de contrôles et mises à jour régulières.

Consultez les différentes étapes pour la conformité NIS 2 

Le rôle de l’ANSSI en France

L’ANSSI, Agence Nationale pour la Sécurité des Systèmes d’Informations, joue un rôle majeur dans la transposition de la directive NIS 2 en droit national français. L’agence accompagne également les entreprises dans leur mise en conformité, en proposant différentes ressources informatives sur Mon Espace NIS 2. Les organisations peuvent notamment déterminer si elles sont concernées par la réglementation et dans quelle catégorie elles figurent.

Les ressources de l’ENISA en Europe

À l’échelle européenne, l’ENISA (European Union Agency for Cybersecurity) délivre de nombreuses informations et ressources utiles sur la nouvelle réglementation européenne, notamment des infographies sur certaines exigences de NIS 2 comme la notification d’incidents. 

NIS 2 Incident Reporting

Consultez les autres infographies

Les sanctions prévues en cas de non-respect

Amendes financières 

En cas de non-conformité, contrairement à NIS 1, des sanctions financières importantes peuvent être imposées aux entités, pouvant aller jusqu’à jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel. Celles-ci sont adaptées au niveau de criticité et à la taille de l’organisation.

Le contexte européen de la Directive NIS 2

La transposition de la Directive dans les États Membres

La transposition de la directive NIS 2 varie d’un pays à l’autre au sein de l’Union Européenne. Certains États sont plus avancés que d’autres, comme la Belgique, la Croatie et la Hongrie qui ont déjà tranposé la Directive dans leur législation nationale. Quant à la France et l’Allemagne, malgré un haut niveau de maturité cyber dans ces pays, les deux Etats ont pris du retard dans le processus de transposition : 

  • La France a présenté le projet de loi NIS 2 le 15 octobre 2024, soit deux jours avant la date butoir.
  • L’Allemagne prévoit de finaliser la transposition de la loi début 2025 

Cela pose davantage de défis pour les entités qui doivent se préparer à se conformer malgré l’incertitude. L’ANSSI a indiqué que les entreprises non conformes à NIS 2 ne seront pas sanctionnées durant trois ans à compter de l’entrée en vigueur de la réglementation. 

Conclusion : la cybersécurité, un défi partagé

La directive NIS 2 est essentielle pour élever le niveau de cybersécurité au sein de l’UE. En adoptant des mesures techniques, juridiques et organisationnelles, les entités essentielles et entités importantes pourront non seulement se conformer aux obligations réglementaires, mais aussi renforcer leur résilience opérationnelle face aux cyberattaques. La mise en conformité est un défi, mais aussi une opportunité de bâtir une maturité cyber durable et de contribuer à la sécurité collective des nations européennes.

FAQ sur la Directive NIS 2

Qu’est-ce que la directive NIS 2 ?

La directive NIS 2, adoptée en octobre 2024, est le nouveau cadre de l’Union européenne pour renforcer la cybersécurité des réseaux et systèmes d’information. Conçue comme une mise à jour de la première directive NIS, cette législation vise à répondre aux menaces croissantes sur la sécurité des réseaux et à protéger les secteurs essentiels. Le but est d’harmoniser les exigences de sécurité à travers l’Europe pour garantir un niveau élevé de cybersécurité. Cette directive européenne s’inscrit dans une stratégie globale de renforcement de la sécurité du réseau et de la résilience opérationnelle des infrastructures critiques.

Quels sont les enjeux de NIS 2 ?

Les enjeux de la cybersécurité sont de plus en plus importants face à la multiplication des cyberattaques et à la dépendance accrue des sociétés aux technologies numériques. La directive NIS 2 vise à établir un cadre robuste pour le renforcement des mesures de sécurité dans des secteurs tels que le secteur financier, l’énergie, la santé, et d’autres industries jugées d’importance vitale. En appliquant cette directive, l’objectif est d’atteindre un niveau élevé de cybersécurité pour mieux résister aux menaces numériques et protéger les services essentiels à la société.

Comment se préparer à NIS 2 ?

Pour se préparer à la directive NIS 2, il est nécessaire de suivre un plan national de mise en conformité, qui comprend des analyses des risques et la mise en place de mesures techniques et organisationnelles pour renforcer la cybersécurité. Les entreprises doivent également former leurs équipes à la gestion des risques pour garantir un niveau de sécurité adéquat. La formation des dirigeants et des responsables de la sécurité est essentielle pour comprendre les nouvelles exigences réglementaires. Le service numérique proposé par l’ANSSI, MonEspaceNIS2, accompagne les entreprises dans la mise en place de leur feuille de route de conformité.

Quelles sont les obligations imposées par NIS 2 ?

La directive NIS 2 impose aux entités régulées des obligations claires pour garantir un niveau élevé de cybersécurité. Parmi ces obligations, les entités doivent mettre en œuvre des mesures techniques, juridiques et organisationnelles proportionnées aux risques cyber identifiés. Elles doivent également signaler tout incident de sécurité majeur à l’autorité compétente, souvent l’ANSSI en France. En cas de non-respect de ces obligations, des sanctions peuvent être imposées, y compris des sanctions financières pouvant aller jusqu’à un pourcentage du chiffre d’affaires global. Ces exigences visent à harmoniser la sécurité des réseaux à l’échelle européenne.

Quel est le calendrier de mise en œuvre de NIS 2 ?

La directive NIS 2 est entrée en vigueur en octobre 2024, et chaque État membre de l’UE doit transposer cette directive en droit national. En France, la date limite de transposition est fixée à décembre 2025, avec un projet de loi déjà présenté en Conseil des ministres le 14 décembre. Les entreprises auront jusqu’à fin 2027 pour se conformer aux nouvelles exigences réglementaires. Cependant, des retards dans la mise en œuvre sont possibles, notamment en raison de difficultés politiques, comme la dissolution récente de l’Assemblée nationale en France.

Qui est concerné par NIS 2 ?

La directive NIS 2 concerne un large éventail d’entités, incluant les entités essentielles (EE) et les entités importantes (EI). Ces catégories incluent des secteurs critiques tels que la santé, l’énergie, les transports, les entreprises numériques, ainsi que les collectivités territoriales et les services postaux. Le critère principal pour déterminer les entités concernées est la taille de l’entreprise, son chiffre d’affaires et l’importance de son activité pour la société. En élargissant le périmètre de la directive, l’objectif est de garantir une sécurité des réseaux uniforme et de réduire les risques cyber à tous les niveaux de la chaîne d’approvisionnement.

Quels sont les impacts de NIS 2 sur les entreprises ?

Les impacts de la directive NIS 2 sur les entreprises sont significatifs en matière de cyber résilience et de sécurité informatique. Les entreprises doivent se conformer à des exigences de sécurité élevées pour protéger leurs réseaux contre les risques cybernétiques. La mise en conformité impose des investissements dans la sécurité, la formation des équipes, et la mise en place de processus rigoureux de gestion des incidents. En retour, ces mesures permettront d’améliorer le niveau de sécurité et de renforcer la protection des données des entreprises, leur offrant une meilleure résilience face aux cybermenaces. Cette directive est également perçue comme un avantage concurrentiel, car elle renforce la confiance numérique des partenaires et des clients.