NIS2: la directive pour la cyber-resilience europeenne.

Directive (UE) 2022/2555

Direct answer

NIS2, Directive (UE) 2022/2555, est la directive europeenne sur la securite des reseaux et des systemes d'information, remplacant la directive NIS de 2016 avec une date limite de transposition au 17 octobre 2024. Elle couvre les entites essentielles (secteurs de l'Annexe I, grandes entreprises) et importantes (Annexe I taille moyenne, secteurs de l'Annexe II), exige dix categories de mesures de securite, impose une alerte precoce de 24h et une notification d'incident de 72h, et engage la responsabilite personnelle des organes de direction.

Qu'est-ce que NIS2

NIS2, Directive (UE) 2022/2555, est le cadre juridique europeen pour la securite des reseaux et des systemes d'information dans les secteurs critiques et importants. Publiee le 27 decembre 2022 et entree en vigueur le 16 janvier 2023, elle a remplace la directive NIS de 2016 avec un perimetre etendu, des obligations de securite renforcees, une notification d'incidents harmonisee et une responsabilite personnelle des dirigeants.

NIS2 est une directive, pas un reglement. Cette distinction est importante: un reglement s'applique directement dans toute l'UE sans mesures nationales de mise en oeuvre, tandis qu'une directive doit etre transposee dans la loi nationale de chaque Etat membre. La date limite de transposition etait le 17 octobre 2024. En pratique, tous les Etats membres n'ont pas respecte ce delai, ce qui signifie que les obligations specifiques, l'autorite de surveillance et l'approche de mise en oeuvre varient selon les pays.

A qui s'applique NIS2

NIS2 s'applique aux entites qui: (1) appartiennent a un type repertorie a l'Annexe I ou II, (2) fournissent des services dans ou operent dans l'UE, et (3) atteignent ou depassent le seuil de taille (moyenne: 50 employes ou plus, ou 10 millions EUR ou plus de chiffre d'affaires annuel ou de bilan). Certaines entites sont dans le perimetre independamment de leur taille.

NIS2 distingue deux types d'entites. Les entites essentielles font l'objet d'une surveillance plus stricte: supervision proactive et ex ante par l'autorite nationale competente. Les entites importantes font l'objet d'une surveillance reactive: l'autorite intervient apres un incident ou une plainte. Les deux sont tenues de mettre en oeuvre les dix mesures de securite de l'Article 21. La distinction affecte l'intensite de la supervision et certains plafonds de sanctions, pas l'ensemble des obligations.

Entites essentielles vs entites importantes sous NIS2
DimensionEntites essentiellesEntites importantes
OrigineSecteurs Annexe I ET grande entreprise (250+ employes ou 50M+ EUR de CA)Secteurs Annexe I de taille moyenne (50-249 employes ou 10-49M EUR) OU secteurs Annexe II de taille moyenne+
Inclusions independantes de la taillePrestataires de services de confiance qualifies, registres TLD, fournisseurs DNS, fournisseurs de reseaux/services de communications electroniques publics, administration publiqueEntites designees par l'Etat membre
Modele de supervisionProactif, ex ante: audits et inspections sur site sans declencheur d'incidentReactif, ex post: enquete declenchee par incident ou plainte
Plafond de sanctionAu moins 10 M EUR ou 2% du CA mondial annuel total, selon le plus eleveAu moins 7 M EUR ou 1,4% du CA mondial annuel total, selon le plus eleve

Article 21: les dix mesures de securite requises

L'Article 21 est l'article central des obligations. Il exige que les entites essentielles et importantes prennent des mesures techniques, operationnelles et organisationnelles appropriees et proportionnees pour gerer les risques de cybersecurite. Les dix categories de mesures sont specifiees a l'Article 21(2).

Mesures de gestion des risques de cybersecurite (Article 21)
Art. 21(2)Categorie de mesureCe que cela implique en pratique
(a)Politiques d'analyse des risques et de securite des SIMethodologie documentee d'evaluation des risques, politique de securite, inventaire des actifs, traitement continu des risques
(b)Gestion des incidentsPlan de reponse aux incidents, criteres de classification, chaine d'escalade interne, workflow de notification CSIRT
(c)Continuite d'activite, sauvegardes, reprise apres sinistre et gestion de criseBIA pour les services critiques, procedures de sauvegarde et de reprise testees, plan de communication de crise
(d)Securite de la chaine d'approvisionnementEvaluation de securite des fournisseurs directs, exigences contractuelles de securite, surveillance continue
(e)Securite dans l'acquisition, le developpement et la maintenance des SICycle de developpement securise, programme de gestion des vulnerabilites, politique de divulgation responsable
(f)Evaluation de l'efficacite des mesures de cybersecuriteTests periodiques (tests de penetration, audits, exercices), KPI, reporting a la direction
(g)Hygiene informatique de base et formation a la cybersecuriteProgramme d'hygiene de base, formation de sensibilisation a la securite pour tous les employes
(h)Cryptographie et, le cas echeant, chiffrementPolitique de chiffrement, gestion des cles, normes cryptographiques pour les donnees au repos et en transit
(i)Securite des RH, controle d'acces et gestion des actifsProcessus entree/mutation/sortie, acces au moindre privilege, gestion des acces privilegies, registre des actifs
(j)Authentification multifacteur et communications securiseesMFA pour tous les acces privilegies et a distance, communications voix/video/texte securisees

Calendrier de notification des incidents NIS2

L'Article 23 fixe les obligations de notification pour les incidents significatifs. Un incident significatif est un incident qui cause ou est susceptible de causer une perturbation operationnelle grave, une perte financiere ou un prejudice considerable a d'autres personnes. L'horloge de notification commence au moment ou l'entite prend connaissance de l'incident.

Calendrier de notification des incidents significatifs NIS2 (Article 23)
EtapeDelaiContenu requis
Alerte precoceDans les 24 heures apres avoir pris connaissanceSi un acte illicite ou malveillant est suspecte; si un impact transfrontalier est possible
Notification d'incidentDans les 72 heures apres avoir pris connaissanceEvaluation initiale: gravite, indicateurs de compromission (si disponibles), hypothese initiale sur la cause
Rapport intermediaireSur demande du CSIRT ou de l'autoriteMise a jour de la situation: evaluation en cours, mesures d'attenuation en cours
Rapport finalAu plus tard 1 mois apres la notification d'incidentDescription complete, type d'incident, cause profonde, impact transfrontalier, mesures d'attenuation prises

Responsabilite personnelle des dirigeants sous NIS2

L'Article 20 est l'une des dispositions les plus importantes sur le plan operationnel. Il exige que les organes de direction approuvent les mesures de gestion des risques de cybersecurite et supervisent leur mise en oeuvre. Les membres des organes de direction sont personnellement responsables des infractions.

L'Article 20 exige egalement que les organes de direction des entites essentielles et importantes suivent une formation en cybersecurite, et qu'ils proposent une formation similaire a leurs employes. Il ne s'agit pas d'une bonne pratique optionnelle mais d'une obligation de conformite.

Cadre de sanctions NIS2

Les Articles 36 et 37 fixent les plafonds maximaux de sanctions. Les plafonds sont exprimes comme le plus eleve d'un maximum fixe ou d'un pourcentage du chiffre d'affaires mondial annuel total. Des mesures non financieres sont egalement disponibles: instructions contraignantes, audit oblige, divulgation publique de non-conformite et interdiction temporaire d'exercer des fonctions de direction.

Plafonds maximaux de sanctions administratives NIS2 (Articles 36 et 37)
Type d'entiteAmende maximalePlafond alternatifAutres mesures disponibles
Entites essentielles10 000 000 EUR2% du CA mondial annuel total (selon le plus eleve)Instructions contraignantes, mesures de securite obligatoires, divulgation publique, interdiction temporaire de direction
Entites importantes7 000 000 EUR1,4% du CA mondial annuel total (selon le plus eleve)Instructions contraignantes, mesures de securite obligatoires, divulgation publique

NIS2 et DORA: le recoupement pour les entites financieres

Pour les entites soumises au DORA (Reglement (UE) 2022/2554), la relation entre les deux cadres est regie par la regle lex specialis. Le DORA est la loi sectorielle specifique de l'UE pour le risque informatique dans les services financiers. En vertu de l'Article 4(2) de NIS2, le DORA s'applique en preference a NIS2 pour la gestion des risques informatiques, la notification des incidents informatiques majeurs, les tests de resilience operationnelle, la gestion des risques tiers informatiques et le partage d'informations.

En pratique: les entites financieres soumises au DORA suivent le DORA pour ces domaines et ne doivent appliquer NIS2 que dans les domaines non couverts de maniere equivalente par le DORA. Les deux frameworks dans Acuna partagent une meme bibliotheque de controles: un controle implemente produit des preuves pour les deux cadres.

NIS2 dans Acuna

Acuna est concu pour la facon dont NIS2 s'applique reellement aux equipes de conformite: aux cotes d'ISO 27001, DORA et RGPD, partageant controles, preuves et donnees de risques entre les cadres plutot que de gerer chacun comme un projet isole.

Pour NIS2 specifiquement: le volet Comply guide la determination du perimetre essentiel vs important, cartographie les dix mesures de l'Article 21, et documente le cadre de gestion des risques. Supplier Shield gere les obligations de la chaine d'approvisionnement de l'Article 21(d). Le workflow d'incident applique les horloges de notification de 24h et 72h. Le volet Assure maintient le dossier de preuves pour les controles des autorites competentes, y compris les approbations de l'organe de direction et les registres de formation de l'Article 20.

Voir comment Acuna soutient la conformite NIS2.

EXPLORE

NIS2

Perimetre et applicabilite NIS2Coming soon

A qui s'applique NIS2: entites essentielles vs importantes, seuils de taille, secteurs Annexe I et II, et portee de la chaine d'approvisionnement aux entites non europeennes.

NIS2 vs DORAComing soon

Comment NIS2 et DORA se recoupent pour les entites financieres, la regle lex specialis, quel canal de notification s'applique, et comment gerer les deux dans une bibliotheque de controles partagee.

Notification d'incidents sous NIS2Coming soon

Construire le workflow derriere l'alerte precoce de 24h et la notification de 72h: criteres de classification, chemins d'escalade et modeles de notification.

Liste de controle de preparation NIS2Coming soon

Une liste de controle structuree couvrant la determination du perimetre, les mesures Article 21, la preparation a la notification d'incidents, la chaine d'approvisionnement et la responsabilite du conseil.

NIS2: common questions.

Réponses associées

Questions que les praticiens se posent.

Qu’est-ce que NIS2 et à qui s’applique-t-il ?

NIS2 (Directive (UE) 2022/2555) est la directive européenne sur la cybersécurité pour les entités essentielles et importantes. Elle étend le périmètre de NIS1, introduit des exigences de sécurité renforcées en vertu de l’article 21, et impose le signalement des incidents dans les 24 heures (alerte précoce), 72 heures (notification) et un mois (rapport final). Les entités essentielles comprennent l’énergie, les transports, le secteur bancaire, la santé, l’eau et l’infrastructure numérique. Les entités importantes couvrent les services postaux, la gestion des déchets, la chimie, l’alimentation, l’industrie manufacturière et les fournisseurs numériques comptant 50 employés ou plus, ou un chiffre d’affaires de 10 millions d’euros ou plus. Acuna cartographie les articles NIS2 sur les contrôles, gère le risque de la chaîne d’approvisionnement et suit les délais de signalement des incidents.

CONFORMITE NIS2

Determinez votre perimetre. Comblez les lacunes.

Acuna cartographie les obligations NIS2 de l'Article 21 sur votre type d'entite, execute la gestion des risques de l'Article 21 aux cotes d'ISO 27001 et DORA dans une bibliotheque de controles partagee, et maintient le dossier de preuves que les autorites competentes inspectent reellement.

Voir Acuna pour NIS2Parler a un praticien
Conçu pour :RSSIResponsables conformitéMSSP