Directive NIS2 : cybersécurité des entités essentielles

Imaginez : un hôpital victime d’une cyberattaque ne peut plus accéder aux dossiers patients. Un fournisseur d’électricité paralysé laisse des milliers de foyers sans courant. Un opérateur de transport ferroviaire bloqué provoque le chaos dans une région entière.

Ces scénarios ne sont pas de la science-fiction. Ils se produisent régulièrement et leurs conséquences touchent des millions de citoyens. C’est pour éviter ces situations que l’Union européenne a créé la directive NIS2.

Qu’est-ce que NIS2 ?

Une réponse aux cyberattaques sur les infrastructures critiques

NIS2 signifie Network and Information Security 2 — en français, “Sécurité des Réseaux et de l’Information”. C’est une directive européenne adoptée en 2022 qui impose des règles de cybersécurité aux organisations qui font tourner notre société : énergie, transports, santé, eau, services numériques, etc.

Pourquoi “2” ? Parce qu’elle remplace la première directive NIS de 2016. Cette première version avait un problème : elle ne couvrait pas assez d’organisations et les règles variaient trop d’un pays européen à l’autre. Résultat : des failles de sécurité partout.

NIS2 corrige ces lacunes en élargissant considérablement le périmètre et en harmonisant les règles.

Directive vs Règlement : quelle différence ?

Vous entendrez parler de “directive NIS2” et de “règlement CRA”. Ce ne sont pas la même chose :

Type de texte	Comment ça fonctionne	Exemple
Directive	Chaque pays doit créer sa propre loi nationale qui respecte les objectifs de la directive. Les détails peuvent varier.	NIS2
Règlement	S’applique directement et de manière identique dans tous les pays. Pas de transposition nationale.	CRA, RGPD

Concrètement pour NIS2 : la France a dû adopter une loi française transposant NIS2, l’Allemagne une loi allemande, etc. Les grandes lignes sont les mêmes, mais certains détails (comme les autorités de contrôle) varient.

Ce qui change par rapport à NIS1

Aspect	NIS1 (2016)	NIS2 (2022)	Ce que ça signifie
Nombre de secteurs	7	18	Plus du double de secteurs concernés
Nombre d’entités	~10 000	~160 000	16× plus d’organisations touchées
Sanctions	Variables selon les pays	Harmonisées (jusqu’à 10M€)	Même risque financier partout en Europe
Supply chain	Pas mentionnée	Obligation explicite	Vous devez vérifier vos fournisseurs
Dirigeants	Aucune responsabilité	Responsabilité personnelle	Le PDG peut être sanctionné personnellement

Êtes-vous concerné ?

Le principe : secteur + taille

NIS2 utilise deux critères pour déterminer si vous êtes concerné :

1. Votre secteur d’activité — faites-vous partie des 18 secteurs listés ?
2. Votre taille — avez-vous assez d’employés ou de chiffre d’affaires ?

Si vous cochez les deux cases, vous êtes soumis à NIS2.

Les 18 secteurs concernés

NIS2 divise les secteurs en deux groupes selon leur niveau de criticité :

Secteurs hautement critiques

Ces secteurs font tourner les fonctions vitales de la société. Une cyberattaque sur l’un d’eux peut avoir des conséquences immédiates et graves sur la population.

Secteur	Ce que ça inclut	Pourquoi c’est critique
Énergie	Électricité, gaz, pétrole, hydrogène, chauffage urbain	Sans énergie, tout s’arrête
Transports	Avions, trains, bateaux, routes	Mobilité des personnes et marchandises
Banque	Établissements de crédit	Accès à l’argent, paiements
Marchés financiers	Bourses, plateformes de trading	Stabilité économique
Santé	Hôpitaux, laboratoires, fabricants de matériel médical	Vie des patients
Eau potable	Distribution d’eau	Besoin vital
Eaux usées	Stations d’épuration	Santé publique
Infrastructure numérique	Datacenters, DNS, cloud, CDN	Internet fonctionne grâce à eux
Services informatiques B2B	Infogérance (MSP), sécurité managée (MSSP)	Ils gèrent l’IT d’autres entreprises
Administrations publiques	Gouvernements, collectivités	Services aux citoyens
Espace	Satellites, infrastructures spatiales	GPS, communications, météo

Autres secteurs critiques

Ces secteurs sont également importants, mais une attaque a généralement des conséquences moins immédiates.

Secteur	Ce que ça inclut	Pourquoi c’est critique
Services postaux	La Poste, transporteurs de colis	Livraison de documents et marchandises
Gestion des déchets	Collecte, traitement, recyclage	Santé publique, environnement
Chimie	Fabrication et distribution de produits chimiques	Risques industriels
Alimentation	Production, transformation, distribution alimentaire	Sécurité alimentaire
Fabrication	Matériel médical, électronique, machines, voitures	Chaîne d’approvisionnement
Services numériques	Places de marché en ligne, moteurs de recherche, réseaux sociaux	Économie numérique
Recherche	Laboratoires, instituts de recherche	Innovation, propriété intellectuelle

Les critères de taille

Une fois votre secteur identifié, vérifiez si votre organisation atteint les seuils :

Grande entreprise :

• Plus de 250 employés
• OU plus de 50 millions d’euros de chiffre d’affaires ET plus de 43 millions d’euros de bilan

Moyenne entreprise :

• Entre 50 et 250 employés
• OU entre 10 et 50 millions d’euros de chiffre d’affaires

Petite entreprise (moins de 50 employés ET moins de 10M€ CA) :

• Généralement exclue de NIS2
• Sauf exceptions : fournisseurs de DNS, registres de noms de domaine, prestataires de confiance qualifiés

Entité essentielle ou importante ?

NIS2 crée deux catégories avec des niveaux de contrôle différents :

Entités essentielles (EE) :

• Grandes entreprises dans les secteurs hautement critiques
• Certaines entités quelle que soit leur taille (DNS, administrations…)
• Supervision proactive : les autorités peuvent faire des contrôles à tout moment
• Sanctions maximales : jusqu’à 10M€ ou 2% du CA

Entités importantes (EI) :

• Moyennes entreprises dans les secteurs hautement critiques
• Grandes entreprises dans les autres secteurs critiques
• Moyennes entreprises dans les autres secteurs critiques
• Supervision réactive : contrôles uniquement après un incident ou une plainte
• Sanctions réduites : jusqu’à 7M€ ou 1,4% du CA

1. Identifiez votre secteur

   Parcourez les 18 secteurs ci-dessus. Votre activité principale entre-t-elle dans l’un d’eux ?

2. Calculez votre taille

   Regardez vos effectifs et votre dernier bilan. Dépassez-vous les seuils de la moyenne entreprise ?

3. Déterminez votre catégorie

   • Secteur hautement critique + Grande entreprise = Entité essentielle
   • Secteur hautement critique + Moyenne entreprise = Entité importante
   • Autre secteur critique + Grande ou Moyenne entreprise = Entité importante

4. Vérifiez les exceptions

   Certaines activités (DNS, TLD, prestataires de confiance) sont essentielles quelle que soit la taille.

Vous n’êtes pas directement concerné ? Lisez quand même

Si vous êtes fournisseur d’une entreprise soumise à NIS2, attendez-vous à recevoir des questionnaires de sécurité et des exigences contractuelles. Vos clients devront vérifier votre niveau de sécurité.

Ce que NIS2 vous demande de faire

Vue d’ensemble : les 10 domaines obligatoires

NIS2 impose de mettre en place des mesures dans 10 domaines. Ce n’est pas une liste de courses où l’on coche des cases : c’est une approche globale de gestion des risques.

Domaine	Ce que ça signifie concrètement
1. Politiques de sécurité	Documenter vos règles de sécurité et analyser vos risques
2. Gestion des incidents	Savoir détecter, réagir et se remettre d’une attaque
3. Continuité d’activité	Pouvoir continuer à fonctionner même après un incident grave
4. Sécurité supply chain	Vérifier que vos fournisseurs ne vous mettent pas en danger
5. Sécurité du développement	Intégrer la sécurité dans vos logiciels et systèmes
6. Évaluation des mesures	Tester régulièrement si vos protections fonctionnent
7. Cyber-hygiène	Former votre personnel aux bonnes pratiques
8. Cryptographie	Chiffrer les données sensibles
9. Sécurité RH	Contrôler les accès, gérer les départs
10. Authentification	Mettre en place la double authentification (MFA)

Focus : la sécurité de la supply chain

C’est l’une des grandes nouveautés de NIS2 et elle mérite qu’on s’y attarde.

Le problème : une entreprise peut avoir la meilleure sécurité du monde, si l’un de ses fournisseurs est compromis, elle l’est aussi. C’est ce qu’on appelle une attaque supply chain — l’attaquant passe par un maillon faible pour atteindre sa cible.

Exemples concrets :

• En 2020, l’attaque SolarWinds a touché 18 000 organisations via une mise à jour logicielle piégée
• En 2024, la backdoor XZ Utils aurait pu compromettre tous les serveurs Linux
• Un fournisseur cloud compromis peut exposer les données de tous ses clients

Ce que NIS2 vous demande :

1. Identifier vos fournisseurs critiques

   Faites la liste de tous les prestataires dont une défaillance bloquerait votre activité : hébergeur, éditeurs de logiciels, sous-traitants IT, fournisseurs de composants…

2. Évaluer leur niveau de sécurité

   Comment ? Questionnaires de sécurité, demande de certifications (ISO 27001, SOC 2), audits pour les plus critiques.

3. Intégrer des clauses dans vos contrats

   • Obligation de vous notifier en cas d’incident
   • Droit d’audit
   • Exigences de sécurité minimales
   • Clause de réversibilité (récupérer vos données si vous changez de prestataire)

4. Surveiller en continu

   Un fournisseur sûr aujourd’hui peut être compromis demain. Restez vigilant.

Lien avec le CRA

Le CRA (Cyber Resilience Act) impose aux fabricants de logiciels de livrer des produits sécurisés. NIS2 impose aux utilisateurs de vérifier la sécurité des produits qu’ils utilisent. Les deux textes se complètent.

Focus : le signalement des incidents

NIS2 impose des délais stricts pour signaler les incidents de sécurité. L’idée est de permettre une réponse coordonnée au niveau national et européen.

Qu’est-ce qu’un incident “significatif” ?

Un incident est significatif s’il :

• Cause ou peut causer une perturbation grave de vos services
• Provoque des pertes financières importantes
• Affecte d’autres organisations ou personnes (vos clients, partenaires, citoyens)

Les délais de notification :

1. Sous 24 heures : alerte précoce

   Dès que vous détectez un incident significatif, vous devez prévenir votre autorité nationale (en France : l’ANSSI). À ce stade, vous ne savez pas forcément grand-chose : ce n’est pas grave. L’important est de signaler rapidement.

   “Nous avons détecté un incident de sécurité significatif. Enquête en cours.”

2. Sous 72 heures : notification complète

   Vous devez fournir une première évaluation : quelle est la nature de l’attaque ? Quelle est sa gravité ? Quel est l’impact actuel et potentiel ?

3. Sur demande : rapports intermédiaires

   Si l’autorité vous le demande, vous devez fournir des mises à jour sur l’évolution de l’incident.

4. Sous 1 mois : rapport final

   Une fois l’incident résolu, vous devez fournir un rapport complet : cause probable, mesures prises, leçons apprises, impact transfrontalier éventuel.

À qui signaler ?

• En France : ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
• En Belgique : CCB (Centre pour la Cybersécurité Belgique)
• Au Luxembourg : CNPD et GovCERT
• Chaque pays a son autorité désignée

Focus : la responsabilité des dirigeants

C’est la nouveauté qui fait le plus parler. Jusqu’à présent, la cybersécurité était souvent vue comme “un problème de l’IT”. NIS2 change la donne : les dirigeants sont personnellement responsables.

Ce que les dirigeants doivent faire :

Obligation	Ce que ça signifie
Approuver les mesures	Le conseil d’administration doit valider la politique de cybersécurité
Superviser la mise en œuvre	Les dirigeants doivent s’assurer que les mesures sont réellement appliquées
Se former	Les membres de la direction doivent suivre des formations en cybersécurité
Former le personnel	Ils doivent s’assurer que les employés sont sensibilisés

Sanctions personnelles possibles :

• Interdiction d’exercer : un dirigeant peut être temporairement interdit de fonctions de direction
• Publication nominative : le nom du dirigeant peut être publié en cas de manquement grave

Ce n’est plus “un problème IT”

Un PDG ne peut plus dire “je ne savais pas” ou “c’est la responsabilité de l’équipe informatique”. NIS2 fait de la cybersécurité une question de gouvernance au plus haut niveau.

Calendrier : les dates à retenir

Date	Événement	Ce que ça signifie pour vous
Janvier 2023	Entrée en vigueur de NIS2	Le texte européen est adopté
17 octobre 2024	Date limite de transposition	Les lois nationales doivent être prêtes
17 avril 2025	Publication des listes d’entités	Vous saurez officiellement si vous êtes concerné
2025-2026	Période de mise en conformité	Mettez en place les mesures requises
17 octobre 2027	Révision de la directive	L’UE évaluera si NIS2 fonctionne

Le message est clair : n’attendez pas pour vous préparer. La mise en conformité prend du temps.

Les sanctions : ce que vous risquez

NIS2 harmonise les sanctions à l’échelle européenne. Fini les pays “laxistes” où les amendes étaient symboliques.

Amendes maximales :

Catégorie	Amende maximale
Entités essentielles	10 millions d’euros OU 2% du chiffre d’affaires mondial annuel (le plus élevé des deux)
Entités importantes	7 millions d’euros OU 1,4% du chiffre d’affaires mondial annuel

Autres sanctions possibles :

• Injonctions : l’autorité peut vous ordonner de corriger un problème sous peine d’astreinte
• Suspension de certifications : vous pouvez perdre temporairement des agréments
• Publication : votre non-conformité peut être rendue publique (atteinte à la réputation)
• Sanctions personnelles : voir la section sur les dirigeants

Pour mettre en perspective :

• Pour une entreprise à 100M€ de CA : amende jusqu’à 2M€ (entité essentielle)
• Pour une entreprise à 500M€ de CA : amende jusqu’à 10M€
• Pour une multinationale à 10 milliards de CA : amende jusqu’à 200M€

Comment se préparer concrètement

Étape 1 : Déterminez si vous êtes concerné

Reprenez les critères de secteur et de taille. Si vous avez un doute, consultez un avocat spécialisé ou votre autorité nationale.

Étape 2 : Faites un état des lieux

Évaluez votre situation actuelle par rapport aux 10 domaines de l’Article 21. Pour chaque domaine, posez-vous la question : “Avons-nous quelque chose en place ?”

□ Avons-nous une politique de sécurité écrite ?
□ Avons-nous un processus de gestion des incidents ?
□ Avons-nous un plan de continuité d'activité ?
□ Avons-nous évalué nos fournisseurs critiques ?
□ Intégrons-nous la sécurité dans nos développements ?
□ Testons-nous régulièrement nos défenses ?
□ Formons-nous nos collaborateurs ?
□ Chiffrons-nous les données sensibles ?
□ Contrôlons-nous les accès ?
□ Utilisons-nous la double authentification ?

Étape 3 : Priorisez les actions

Vous n’allez pas tout faire en même temps. Concentrez-vous sur :

1. Les quick wins : ce qui peut être mis en place rapidement (ex: activer la double authentification)
2. Les risques majeurs : ce qui expose le plus votre organisation
3. Les obligations les plus strictes : le signalement sous 24h par exemple

Étape 4 : Impliquez la direction

NIS2 impose la responsabilité des dirigeants. Si votre direction n’est pas encore impliquée :

• Présentez les risques (sanctions, réputation)
• Demandez une validation formelle de la politique de sécurité
• Proposez des formations adaptées

Étape 5 : Documentez tout

En cas de contrôle, vous devrez prouver que vous avez pris des mesures. Conservez :

• Les politiques et procédures écrites
• Les comptes-rendus de décisions
• Les preuves de formation
• Les évaluations de fournisseurs
• Les tests de sécurité réalisés

Pour les équipes techniques

Si vous êtes développeur, DevOps ou administrateur système, voici comment NIS2 impacte votre quotidien.

Sécurité du développement

NIS2 demande d’intégrer la sécurité dans le cycle de développement. Concrètement :

• Analyse statique (SAST) : scanner le code source à la recherche de vulnérabilités
• Analyse dynamique (DAST) : tester l’application en cours d’exécution
• Analyse des dépendances (SCA) : vérifier que vos bibliothèques tierces n’ont pas de failles connues
• Revue de code : faire relire le code critique par un pair
• Tests de pénétration : simuler des attaques pour trouver les failles

Gestion des incidents techniques

Vous devez être capable de :

• Détecter les incidents (logs, monitoring, alertes)
• Réagir rapidement (playbooks, procédures)
• Conserver les preuves pour l’analyse forensique
• Restaurer les systèmes (sauvegardes testées)

Supply chain logicielle

En tant que développeur, vous utilisez des dizaines de bibliothèques tierces. NIS2 vous demande de :

• Maintenir un inventaire des dépendances (SBOM)
• Surveiller les vulnérabilités publiées
• Mettre à jour rapidement les composants vulnérables
• Vérifier l’intégrité des packages téléchargés

Questions fréquentes

« Nous sommes une PME de 40 personnes, sommes-nous concernés ? »

Probablement non. Si vous avez moins de 50 employés ET moins de 10M€ de chiffre d’affaires, vous êtes généralement exclus de NIS2.

Exceptions : si vous fournissez des services DNS, gérez des noms de domaine (TLD), ou êtes prestataire de confiance qualifié, vous êtes concernés quelle que soit votre taille.

« Nous sommes sous-traitants d’un hôpital, sommes-nous concernés ? »

Pas directement, mais attendez-vous à des exigences de la part de votre client. L’hôpital, soumis à NIS2, devra vérifier la sécurité de ses fournisseurs. Il vous demandera probablement :

• De remplir un questionnaire de sécurité
• De prouver vos certifications (ISO 27001, HDS…)
• D’accepter des clauses contractuelles de sécurité
• Peut-être de subir un audit

« Nous avons déjà ISO 27001, ça suffit ? »

C’est un excellent point de départ, mais ce n’est pas suffisant à 100%. ISO 27001 couvre la plupart des exigences NIS2, mais vérifiez :

• Signalement des incidents : ISO 27001 n’impose pas de délai de 24h
• Supply chain : NIS2 a des exigences spécifiques
• Formation des dirigeants : pas dans ISO 27001
• Autorité de contrôle : ISO 27001 est un système d’auto-certification

« Nous sommes une filiale française d’un groupe américain »

NIS2 s’applique si vous opérez dans l’UE, quelle que soit la nationalité de votre maison mère. Vous relevez de l’État membre où se trouve votre établissement principal (là où sont prises les décisions de cybersécurité).

« Combien ça va coûter ? »

Difficile à estimer sans connaître votre situation. Les coûts typiques incluent :

• Audit initial et gap analysis : 10-50k€
• Outils de sécurité : variable selon la taille
• Formation : 1-5k€ par personne
• Accompagnement à la mise en conformité : 50-200k€
• Ressources humaines dédiées : 1 ETP minimum pour une ETI

Le coût de la non-conformité est généralement bien supérieur : sanctions, atteinte à la réputation, perte de contrats.

À retenir

1. NIS2 concerne ~160 000 organisations dans 18 secteurs — vérifiez si vous en faites partie
2. La taille compte : généralement les moyennes et grandes entreprises (50+ employés ou 10M€+ CA)
3. 10 domaines de mesures obligatoires : politique, incidents, continuité, supply chain, développement, évaluation, hygiène, crypto, RH, authentification
4. Supply chain = obligation explicite — vous devez évaluer et surveiller vos fournisseurs
5. Signalement sous 24h — préparez vos processus avant l’incident
6. Les dirigeants sont personnellement responsables — ce n’est plus qu’un sujet IT
7. Sanctions jusqu’à 10M€ ou 2% du CA — le non-respect coûte cher
8. Articulation avec le CRA — si vous fabriquez des produits, les deux textes s’appliquent

Liens utiles

• EU Cyber Resilience Act (CRA) — obligations pour les fabricants de produits numériques
• SBOM : comprendre et générer — inventaire des composants logiciels
• SCA : analyse des dépendances — scanner les vulnérabilités de vos bibliothèques
• Zero Trust — modèle de sécurité recommandé par NIS2

Ressources officielles

• Texte officiel NIS2 (EUR-Lex) ↗ — le texte juridique complet
• ENISA — NIS2 Directive ↗ — ressources de l’agence européenne
• ANSSI — Transposition française ↗ — pour les organisations françaises