Directive (UE) 2022/2555
Direct answer
NIS2, Directive (UE) 2022/2555, est la directive europeenne sur la securite des reseaux et des systemes d'information, remplacant la directive NIS de 2016 avec une date limite de transposition au 17 octobre 2024. Elle couvre les entites essentielles (secteurs de l'Annexe I, grandes entreprises) et importantes (Annexe I taille moyenne, secteurs de l'Annexe II), exige dix categories de mesures de securite, impose une alerte precoce de 24h et une notification d'incident de 72h, et engage la responsabilite personnelle des organes de direction.
NIS2, Directive (UE) 2022/2555, est le cadre juridique europeen pour la securite des reseaux et des systemes d'information dans les secteurs critiques et importants. Publiee le 27 decembre 2022 et entree en vigueur le 16 janvier 2023, elle a remplace la directive NIS de 2016 avec un perimetre etendu, des obligations de securite renforcees, une notification d'incidents harmonisee et une responsabilite personnelle des dirigeants.
NIS2 est une directive, pas un reglement. Cette distinction est importante: un reglement s'applique directement dans toute l'UE sans mesures nationales de mise en oeuvre, tandis qu'une directive doit etre transposee dans la loi nationale de chaque Etat membre. La date limite de transposition etait le 17 octobre 2024. En pratique, tous les Etats membres n'ont pas respecte ce delai, ce qui signifie que les obligations specifiques, l'autorite de surveillance et l'approche de mise en oeuvre varient selon les pays.
NIS2 s'applique aux entites qui: (1) appartiennent a un type repertorie a l'Annexe I ou II, (2) fournissent des services dans ou operent dans l'UE, et (3) atteignent ou depassent le seuil de taille (moyenne: 50 employes ou plus, ou 10 millions EUR ou plus de chiffre d'affaires annuel ou de bilan). Certaines entites sont dans le perimetre independamment de leur taille.
NIS2 distingue deux types d'entites. Les entites essentielles font l'objet d'une surveillance plus stricte: supervision proactive et ex ante par l'autorite nationale competente. Les entites importantes font l'objet d'une surveillance reactive: l'autorite intervient apres un incident ou une plainte. Les deux sont tenues de mettre en oeuvre les dix mesures de securite de l'Article 21. La distinction affecte l'intensite de la supervision et certains plafonds de sanctions, pas l'ensemble des obligations.
| Dimension | Entites essentielles | Entites importantes |
|---|---|---|
| Origine | Secteurs Annexe I ET grande entreprise (250+ employes ou 50M+ EUR de CA) | Secteurs Annexe I de taille moyenne (50-249 employes ou 10-49M EUR) OU secteurs Annexe II de taille moyenne+ |
| Inclusions independantes de la taille | Prestataires de services de confiance qualifies, registres TLD, fournisseurs DNS, fournisseurs de reseaux/services de communications electroniques publics, administration publique | Entites designees par l'Etat membre |
| Modele de supervision | Proactif, ex ante: audits et inspections sur site sans declencheur d'incident | Reactif, ex post: enquete declenchee par incident ou plainte |
| Plafond de sanction | Au moins 10 M EUR ou 2% du CA mondial annuel total, selon le plus eleve | Au moins 7 M EUR ou 1,4% du CA mondial annuel total, selon le plus eleve |
L'Article 21 est l'article central des obligations. Il exige que les entites essentielles et importantes prennent des mesures techniques, operationnelles et organisationnelles appropriees et proportionnees pour gerer les risques de cybersecurite. Les dix categories de mesures sont specifiees a l'Article 21(2).
| Art. 21(2) | Categorie de mesure | Ce que cela implique en pratique |
|---|---|---|
| (a) | Politiques d'analyse des risques et de securite des SI | Methodologie documentee d'evaluation des risques, politique de securite, inventaire des actifs, traitement continu des risques |
| (b) | Gestion des incidents | Plan de reponse aux incidents, criteres de classification, chaine d'escalade interne, workflow de notification CSIRT |
| (c) | Continuite d'activite, sauvegardes, reprise apres sinistre et gestion de crise | BIA pour les services critiques, procedures de sauvegarde et de reprise testees, plan de communication de crise |
| (d) | Securite de la chaine d'approvisionnement | Evaluation de securite des fournisseurs directs, exigences contractuelles de securite, surveillance continue |
| (e) | Securite dans l'acquisition, le developpement et la maintenance des SI | Cycle de developpement securise, programme de gestion des vulnerabilites, politique de divulgation responsable |
| (f) | Evaluation de l'efficacite des mesures de cybersecurite | Tests periodiques (tests de penetration, audits, exercices), KPI, reporting a la direction |
| (g) | Hygiene informatique de base et formation a la cybersecurite | Programme d'hygiene de base, formation de sensibilisation a la securite pour tous les employes |
| (h) | Cryptographie et, le cas echeant, chiffrement | Politique de chiffrement, gestion des cles, normes cryptographiques pour les donnees au repos et en transit |
| (i) | Securite des RH, controle d'acces et gestion des actifs | Processus entree/mutation/sortie, acces au moindre privilege, gestion des acces privilegies, registre des actifs |
| (j) | Authentification multifacteur et communications securisees | MFA pour tous les acces privilegies et a distance, communications voix/video/texte securisees |
L'Article 23 fixe les obligations de notification pour les incidents significatifs. Un incident significatif est un incident qui cause ou est susceptible de causer une perturbation operationnelle grave, une perte financiere ou un prejudice considerable a d'autres personnes. L'horloge de notification commence au moment ou l'entite prend connaissance de l'incident.
| Etape | Delai | Contenu requis |
|---|---|---|
| Alerte precoce | Dans les 24 heures apres avoir pris connaissance | Si un acte illicite ou malveillant est suspecte; si un impact transfrontalier est possible |
| Notification d'incident | Dans les 72 heures apres avoir pris connaissance | Evaluation initiale: gravite, indicateurs de compromission (si disponibles), hypothese initiale sur la cause |
| Rapport intermediaire | Sur demande du CSIRT ou de l'autorite | Mise a jour de la situation: evaluation en cours, mesures d'attenuation en cours |
| Rapport final | Au plus tard 1 mois apres la notification d'incident | Description complete, type d'incident, cause profonde, impact transfrontalier, mesures d'attenuation prises |
L'Article 20 est l'une des dispositions les plus importantes sur le plan operationnel. Il exige que les organes de direction approuvent les mesures de gestion des risques de cybersecurite et supervisent leur mise en oeuvre. Les membres des organes de direction sont personnellement responsables des infractions.
L'Article 20 exige egalement que les organes de direction des entites essentielles et importantes suivent une formation en cybersecurite, et qu'ils proposent une formation similaire a leurs employes. Il ne s'agit pas d'une bonne pratique optionnelle mais d'une obligation de conformite.
Les Articles 36 et 37 fixent les plafonds maximaux de sanctions. Les plafonds sont exprimes comme le plus eleve d'un maximum fixe ou d'un pourcentage du chiffre d'affaires mondial annuel total. Des mesures non financieres sont egalement disponibles: instructions contraignantes, audit oblige, divulgation publique de non-conformite et interdiction temporaire d'exercer des fonctions de direction.
| Type d'entite | Amende maximale | Plafond alternatif | Autres mesures disponibles |
|---|---|---|---|
| Entites essentielles | 10 000 000 EUR | 2% du CA mondial annuel total (selon le plus eleve) | Instructions contraignantes, mesures de securite obligatoires, divulgation publique, interdiction temporaire de direction |
| Entites importantes | 7 000 000 EUR | 1,4% du CA mondial annuel total (selon le plus eleve) | Instructions contraignantes, mesures de securite obligatoires, divulgation publique |
Pour les entites soumises au DORA (Reglement (UE) 2022/2554), la relation entre les deux cadres est regie par la regle lex specialis. Le DORA est la loi sectorielle specifique de l'UE pour le risque informatique dans les services financiers. En vertu de l'Article 4(2) de NIS2, le DORA s'applique en preference a NIS2 pour la gestion des risques informatiques, la notification des incidents informatiques majeurs, les tests de resilience operationnelle, la gestion des risques tiers informatiques et le partage d'informations.
En pratique: les entites financieres soumises au DORA suivent le DORA pour ces domaines et ne doivent appliquer NIS2 que dans les domaines non couverts de maniere equivalente par le DORA. Les deux frameworks dans Acuna partagent une meme bibliotheque de controles: un controle implemente produit des preuves pour les deux cadres.
Acuna est concu pour la facon dont NIS2 s'applique reellement aux equipes de conformite: aux cotes d'ISO 27001, DORA et RGPD, partageant controles, preuves et donnees de risques entre les cadres plutot que de gerer chacun comme un projet isole.
Pour NIS2 specifiquement: le volet Comply guide la determination du perimetre essentiel vs important, cartographie les dix mesures de l'Article 21, et documente le cadre de gestion des risques. Supplier Shield gere les obligations de la chaine d'approvisionnement de l'Article 21(d). Le workflow d'incident applique les horloges de notification de 24h et 72h. Le volet Assure maintient le dossier de preuves pour les controles des autorites competentes, y compris les approbations de l'organe de direction et les registres de formation de l'Article 20.
EXPLORE
A qui s'applique NIS2: entites essentielles vs importantes, seuils de taille, secteurs Annexe I et II, et portee de la chaine d'approvisionnement aux entites non europeennes.
Comment NIS2 et DORA se recoupent pour les entites financieres, la regle lex specialis, quel canal de notification s'applique, et comment gerer les deux dans une bibliotheque de controles partagee.
Construire le workflow derriere l'alerte precoce de 24h et la notification de 72h: criteres de classification, chemins d'escalade et modeles de notification.
Une liste de controle structuree couvrant la determination du perimetre, les mesures Article 21, la preparation a la notification d'incidents, la chaine d'approvisionnement et la responsabilite du conseil.
CONFORMITE NIS2
Acuna cartographie les obligations NIS2 de l'Article 21 sur votre type d'entite, execute la gestion des risques de l'Article 21 aux cotes d'ISO 27001 et DORA dans une bibliotheque de controles partagee, et maintient le dossier de preuves que les autorites competentes inspectent reellement.