Tout savoir sur la directive NIS2

Depuis quelques années, les cybermenaces n’ont cessé de s’intensifier. Pour y répondre, l’Union Européenne a mis en place une directive ambitieuse : NIS2. Adoptée en 2022, elle s’impose désormais comme un cadre réglementaire incontournable pour renforcer la résilience numérique des entreprises et institutions critiques. Mais qu’est-ce que la directive NIS2, à qui s’adresse-t-elle, et que change-t-elle concrètement ?

Contexte

Le NIS1, ou première directive sur la sécurité des réseaux et des systèmes d’information, a été adoptée en juillet 2016. À l’époque, l’Union européenne faisait face à une montée en puissance des cyberattaques, notamment dans des secteurs comme l’énergie, la finance ou les transports. Des incidents comme l’attaque de TV5 Monde (2015) ou les nombreuses intrusions dans des infrastructures critiques ont fait prendre conscience d’un problème majeur : chaque pays européen avançait seul, avec ses propres normes, procédures et niveaux de préparation.

La directive NIS1 avait donc un double objectif : créer un socle commun minimal de cybersécurité pour les États membres, et obliger certains opérateurs à renforcer leur sécurité numérique. Elle concernait essentiellement les « opérateurs de services essentiels » (OSE) et les fournisseurs de services numériques comme les moteurs de recherche, les marketplaces ou les services cloud.

Mais la directive montrait vite ses limites : des interprétations variables entre pays, des obligations floues, une portée trop réduite qui laissait de côté des acteurs pourtant critiques, et un manque de contrôles et de sanctions qui limitait son efficacité.

La pandémie de COVID-19, combinée à une explosion des attaques par ransomware et à un contexte géopolitique tendu (cyberattaques d’États, conflits hybrides, etc.), a poussé la Commission européenne à revoir sa copie. Ainsi est née la directive NIS2, votée en décembre 2022, avec une entrée en application prévue au 17 octobre 2024. Plus ambitieuse, plus rigoureuse, et surtout plus large, elle veut bâtir un véritable bouclier numérique européen.

La directive NIS2

Pour qui ?

L’un des principaux changements apportés par NIS2, c’est l’élargissement considérable du nombre d’acteurs concernés. Là où NIS1 visait quelques centaines d’entreprises par pays, NIS2 va en impacter plusieurs milliers réparties dans 18 secteurs critiques, y compris des PME et ETI, dès lors qu’elles jouent un rôle structurant dans l’économie ou dans des chaînes critiques.

La directive distingue deux catégories d’acteurs :

Entités essentielles : En fonction de la taille (<250 personnes) ou du chiffre d’affaire (<50 millions) ou du bilan annuel (<43 millions).
Entités importantes : En fonction de la taille (<50 personnes) ou du chiffre d’affaire (<10 millions) ou du bilan annuel (<10 millions).

L’impact est donc majeur : les obligations sont désormais étendues aux PME et ETI, dès lors qu’elles jouent un rôle significatif dans la chaîne de valeur d’un secteur critique.

Secteurs hautement critiques

Secteur	Description
Administration publique	Ce secteur regroupe les organismes assurant la gestion de l’État et des services publics.
Eaux potable	Il concerne la production et la distribution d’eau potable conforme aux normes sanitaires.
Eaux usées	Ce secteur traite les eaux polluées avant leur rejet ou leur réutilisation.
Énergies	Il couvre la production et l’acheminement des énergies fossiles et renouvelables.
Espace	Ce secteur développe des technologies spatiales civiles et institutionnelles.
Gestion des services Technologies de l'Information et de la Communication	Il assure la continuité et la sécurité des systèmes d’information interentreprises.
Infrastructures des marchés financiers	Ce secteur garantit le bon fonctionnement des marchés financiers, piliers de nos économies.
Infrastructures numériques	il permet une économie numérique, et assure connectivité, souveraineté, cybersécurité et continuité des services.
Santé	Ce secteur vital protège l'accès aux soins et améliore la santé des populations.
Secteur bancaire	Il assure le financement de l’économie et la gestion des flux monétaires.
Transports	Ce secteur permet le déplacement des personnes et des marchandises.

Autres secteurs critiques

Secteur	Description
Fabrication, production et distributions de produits chimiques	Ce secteur fournit des produits chimiques essentiels à l’industrie, à la santé et à l’énergie.
Fournisseurs numériques	Ce secteur fournit des solutions numériques indispensables aux entreprises et administrations.
Gestion des déchets	Ce secteur assure la gestion durable des déchets pour protéger l’environnement et la santé publique
Industrie manufacturière	Ce secteur transforme les matières premières en biens industriels essentiels.
Production, transformation et distribution de denrées alimentaires	Ce secteur garantit l’approvisionnement en besoin alimentaire des populations.
Recherche	Ce secteur développe les connaissances et technologies de demain, en soutenant l’innovation scientifique.
Services postaux et d'expédition	Ce secteur assure la circulation sécurisée des biens et documents.

Les obligations

1. L’enregistrement auprès des autorités nationales

Toute entité concernée doit s’enregistrer auprès de l’autorité compétente de son pays (en France, l’ANSSI). Cet enregistrement formel permet d’identifier clairement les structures soumises à la directive, de suivre leur mise en conformité, et de les intégrer aux dispositifs de coordination européens. Il marque aussi le point de départ des obligations légales, notamment en matière de reporting et de contrôles. Ne pas s’enregistrer revient à s’exposer à des sanctions immédiates.

2. La prévention et la gestion des risques cyber

C’est le cœur du dispositif. Les entreprises doivent mettre en place une politique claire de gestion des risques numériques. Cela inclut la protection des systèmes d’information, le contrôle des accès, la sécurisation des équipements, la segmentation des réseaux critiques, ainsi qu’un plan de continuité d’activité. Les dirigeants sont responsables de cette stratégie et doivent s’assurer qu’elle est documentée, testée et mise à jour régulièrement. Les technologies sans-fil utilisées (routeurs, modems, capteurs, antennes) doivent aussi répondre à des standards de sécurité industrielle.

3. La déclaration obligatoire des incidents majeurs

En cas d’incident de sécurité significatif (cyberattaque, fuite de données, panne critique…), l’organisation dispose de 24 heures pour notifier l’événement à l’autorité nationale. Une notification détaillée et un rapport final doivent suivre dans les jours suivants. Ce mécanisme vise à réagir rapidement, à limiter les impacts, et à favoriser le partage d’informations entre les États membres. L’oubli ou le retard de déclaration peut entraîner de lourdes sanctions.