Un nouveau cadre pour renforcer la cybersécurité et la résilience à l'échelle de l'Union Européenne

Directive NIS 2

Façades d'immeubles
  • Publication
  • 02 juil. 2025

Le 16 janvier 2023 est entrée en vigueur la directive (UE) 2022/2555 du parlement Européen et du Conseil Européen, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, connue également sous le nom de Directive NIS 2 « Network and Information Security ».

 

Cette nouvelle directive répond à l'évolution rapide des menaces cybernétiques en renforçant la gestion des risques dans un paysage numérique en constante mutation. En élargissant les attentes et le champ d'application, cette directive anticipe les nouvelles formes d'attaques. Elle marque ainsi un changement de paradigme, passant d'une approche réactive à une stratégie proactive et engageant une collaboration étendue pour assurer la résilience des infrastructures critiques.

La Directive NIS 2 élargit considérablement le champ d'application de la Directive NIS de 2016 transposée en France en 2018. Elle s'adresse à un éventail plus large d'industries pour étendre et renforcer les exigences en matière de cybersécurité dans l’UE

Ceci inclut la maîtrise des risques liés au tiers, la rationalisation des obligations de signalement et l'introduction d’exigences strictes en matière de mise en application. En d'autres termes, la directive NIS 2 impose à un grand nombre d'organisations de mettre en place un cadre complet de gestion des risques, dans le but d'accroître le niveau global de résilience en matière de cybersécurité au sein de l'UE.

La directive NIS2 devra être transposée par chaque état membre de l’UE en droit national, au plus tard en octobre 2024. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l'autorité nationale en matière de cybersécurité et de cyberdéfense, assurera ensuite en tant que régulateur le respect de la loi nationale, en ayant recours, si nécessaire, à des sanctions administratives sévères et à des mesures correctives.

Video

[Parlons Cyber] Episode 4 : La directive NIS 2

Dans ce quatrième épisode, retrouvez Bichr Chenguiti, Directeur Cybersécurité, pour explorer les implications de la directive européenne NIS 2 et son impact sur plus de 18 secteurs d'activité en France.

0:49
More tools
  • Transcript
  • Plein Ecran
  • Partager
  • Closed captions

Playback of this video is not currently available

Transcript

Qui sera concerné par la directive NIS 2 ?

La Directive NIS 2 apporte en premier lieu une modification significative à son champ d'application, le rendant nettement plus étendu que celui de son prédécesseur. 

Désormais, la directive englobe un spectre élargi touchant près de 600 types d'entités différentes, regroupant plus de 10000 entités allant des Entreprises de Taille Intermédiaire (ETI) aux groupes du CAC40, réparties au sein de 18 secteurs d'activité distincts. 

Ces secteurs, définis dans la directive, sont stratifiés en deux catégories principales : les secteurs hautement critiques et les secteurs critiques.

  • Énergie *
  • Eau potable *
  • Banque *
  • Infrastructures des marchés bancaires et financiers *
  • Santé *
  • Transport *
  • Infrastructure numérique *
  • Fournisseurs numériques *

Les secteurs marqués d’un astérisque (*) étaient déjà couverts par la directive NIS 1.

 

  • Administration publique
  • Services postaux et d'expédition
  • Gestion des services TIC
  • Fabrication
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Recherche
  • Gestion des déchets
  • Gestion des eaux usées
  • Espace

En fonction de ces secteurs, les entités seront désormais considérées en tant qu’entités importantes (EI) ou entités essentielles (EE). Cette distinction marque une évolution par rapport à la directive NIS originale, qui s'appliquait aux « Opérateurs de Services Essentiels » (OSE) et aux « Fournisseurs de Services Numériques » (FSN).

Quelles interactions avec les autres législations ?

La directive NIS 2 ne remplace pas les réglementations sectorielles existantes, mais vient les compléter. Elle s’inscrit dans une logique d’harmonisation européenne de la cybersécurité, tout en laissant la place à des cadres plus spécifiques lorsque ceux-ci existent. Digital Operational Resilience Act (DORA), une réglementation sectorielle spécifique au secteur financier, est considérée comme une "lex specialis" par rapport à la directive NIS 2. Cela signifie que ses dispositions prévalent sur celles de NIS 2 pour les entités financières qualifiées d’essentielles ou importantes1

En revanche, lorsque les réglementations sectorielles ne couvrent pas l’ensemble des entités d’un secteur visé par NIS 2, les dispositions de cette directive continuent de s’appliquer aux entités non couvertes. Ces dernières doivent notamment signaler les incidents aux CSIRT et aux autorités compétentes désignées.

NIS 2 vs NIS 1 : une nouvelle ère pour la cybersécurité en Europe

La directive NIS 2, adoptée en 2025, redéfinit en profondeur les exigences de cybersécurité pour les organisations européennes. Bien plus ambitieuse que sa prédécesseuse, NIS 1, elle élargit son champ d’application à 18 secteurs critiques, contre seulement 6 auparavant. Elle introduit deux nouvelles catégories d’acteurs : les Entités Essentielles (EE) et les Entités Importantes (EI), soumises à des obligations renforcées.

Fini le système de désignation manuelle : désormais, toute entité répondant aux critères définis est automatiquement concernée. En France, cela représente un bond spectaculaire de 500 à près de 15 000 entités couvertes. NIS 2 impose des audits préventifs, une notification rapide des incidents, et des rapports de suivi détaillés. Elle prévoit également des sanctions dissuasives : amendes significatives, suspensions de certifications, voire interdictions temporaires d’exercer des fonctions de direction.

Autre nouveauté majeure : la création du réseau EU-CyCLONe, qui renforce la coopération entre États membres en cas de crise cyber. Là où NIS 1 reposait sur des initiatives nationales, NIS 2 mise sur une réponse coordonnée à l’échelle européenne.

En résumé, NIS 2 n’est pas une simple mise à jour : c’est un changement de paradigme qui place la cybersécurité au cœur de la résilience numérique des organisations.

Quels sont les principaux changements apportés par la directive NIS 2 ?

Bien que le processus de transposition nationale en France soit encore en cours d’élaboration, la Directive européenne NIS 2 met déjà clairement en avant trois piliers majeurs dans lesquels les entités essentielles et entités importantes devront intensifier leurs efforts pour garantir leur conformité.

Sanctions pénales à l’encontre des membres de direction des entités essentielles.

L’autorité nationale compétente est habilitée, en cas d’infraction, à : 

  • Suspendre temporairement la certification ou l'autorisation d'une entité essentielle
  • Requérir une interdiction temporaire de l’exercice de fonctions de direction au niveau du directeur général ou du représentant légal

De même, l'autorité compétente a le pouvoir discrétionnaire d'imposer des amendes considérables aux organisations qui ne respectent pas les lois de transposition nationales.

  • Entités essentielles : au moins jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial
  • Entités importantes : au moins jusqu'à 7 millions d'euros ou 1,4 % de leur chiffre d'affaires annuel mondial

Responsabilités de la direction

En vertu des dispositions de la norme NIS 2, les organes de direction des entités jugées essentielles ou importantes sont tenus d'approuver formellement les mesures de gestion des risques en matière de cybersécurité, de superviser rigoureusement leur mise en œuvre, et peuvent être tenus juridiquement responsables des infractions commises par leur organisation.

Dans ce contexte, tous les membres des organes de direction devront également suivre régulièrement une formation afin d'acquérir des connaissances et des compétences suffisantes pour identifier les risques, évaluer les pratiques de gestion des risques en cybersécurité et évaluer leur impact sur les services fournis par leur organisation.

Signalement des incidents

Selon la directive NIS 2, les entités essentielles et entités importantes sont tenues de signaler à l'autorité compétente (ANSSI), sans délai injustifié, tout incident ayant un impact significatif sur la prestation de leurs services.

Afin de respecter ces obligations de signalement, les organisations doivent fournir les types de rapports suivants :

  • Alerte précoce : émise sans délai injustifié et au plus tard dans les 24 heures suivant la prise de conscience de l'incident, en précisant si l'événement est soupçonné d'être le résultat d'une activité illégale ou malveillante ou s'il pourrait avoir des répercussions transfrontalières
  • Notification de l'incident : émise sans délai injustifié et au plus tard dans les 72 heures suivant la prise de conscience de l'incident, en mettant à jour les informations fournies dans l'alerte précoce et en donnant une évaluation préliminaire de la gravité et des effets de l'incident
  • Rapport intermédiaire : émis sur demande de l’ANSSI, mettant en évidence les mises à jour pertinentes de la gestion des incidents et des crises
  • Rapport final : doit être soumis au plus tard un mois après la notification de l'incident. Il doit contenir une description détaillée de l'incident, y compris sa cause profonde, les stratégies d'atténuation adoptées et tout impact transfrontalier

Cadre de surveillance

Comparé à NIS 1, la directive NIS 2 met en place un cadre de mise en application rigoureux visant à garantir un niveau de conformité plus élevé.

Tout d'abord, l’ANSSI pourra s'appuyer sur un cadre de mise en application et d'investigation robuste, dont les limites dépendent de la classification de votre organisation.

  • Entités essentielles : soumises à un régime de surveillance complet ex ante et ex post, dans lequel l’ANSSI a la possibilité de mener des perquisitions aléatoires, de réaliser des audits de sécurité (ad-hoc) et de demander certaines informations et preuves de conformité
  • Entités importantes : soumises à un régime de surveillance plus léger ex post, applicable en cas de preuve, indication ou information considérée par l’ANSSI comme suggérant des infractions potentielles à la directive

En vertu de la directive NIS 2, les entités essentielles et les entités importantes sont tenues d'adopter une approche proactive plutôt que réactive en matière de gestion des risques, en introduisant des politiques de sécurité de l'information solides, y compris pour les périmètres spécifiques tels que la cybersécurité OT (Operational Technology). Ces politiques visent à garantir une analyse systématique et approfondie des risques, une taxonomie homogène, une cartographie des risques prenant pleinement en compte les spécificités locales, ainsi qu’un processus de gestion des risques harmonisé.

En outre, ces politiques devraient être conçues sur la base d'une approche tous-risques, proportionnelle au risque, à la taille, au coût, à l'impact et à la gravité des incidents auxquels les organisations individuelles sont confrontées. En tenant compte de ce principe de proportionnalité, on s'attend à ce que les organisations mettent en œuvre des mesures de cybersécurité reconnues par l'industrie et à la pointe de la technologie, notamment dans les domaines suivants :

Prévention, détection et réponse aux incidents

En vertu de la NIS 2, les entités essentielles et importantes doivent disposer d'un cadre de gestion des incidents (Incident Management Framework) robuste, régulièrement testé et communiqué à toutes les parties concernées. De plus, la nouvelle directive du Parlement européen exige que les organisations mettent en place des procédures claires pour prévenir les attaques, enquêter sur les causes profondes et adopter des mesures d'atténuation.

Continuité des activités et gestion de crise

En vertu de la directive NIS 2, les entités essentielles et importantes doivent veiller à la continuité de leurs opérations en cas d'incident majeur (en matière de cybersécurité). Par conséquent, les organisations doivent mettre en place un cadre de résilience complet, englobant la continuité des activités, la reprise après sinistre et la gestion de crise, afin de minimiser les perturbations.

Maîtrise des risques liés aux tiers

À mesure que la sécurité de la chaîne d'approvisionnement numérique devient de plus en plus importante, NIS 2 exige des entités essentielles et importantes qu'elles s'engagent dans la gestion des risques liés aux tiers (Third Party Risk Management - TPRM). S'assurer du TPRM dans l'ensemble de leurs chaînes de valeur numérique représentera un défi de taille pour les organisations, et la mise en place d'un cadre de résilience de la chaîne d'approvisionnement complet pourrait être justifiée.

La directive NIS 2 renforce ainsi significativement les exigences en matière de gestion des risques et en matière de cybersécurité au niveau de l’union, avec une approche pro-active et des mesures fortes pour les entités essentielles et les entités importantes.

Directive NIS 2 : comment s’y préparer ?

Étapes clés pour vous préparer à la directive NIS 2

Forts de notre expérience aux côtés d'organisations dans toute l'Union européenne, nous vous recommandons les étapes suivantes :

  1. Évaluer si la directive NIS2 s'appliquera à votre cas et identifier le scope d’applicabilité.
  2. Identifier les manquements par rapport aux exigences de la directive.
  3. Déterminer les mesures à prendre pour respecter les obligations de gestion.
  4. Définir un cadre de cybersécurité solide, englobant des mesures à la fois organisationnelles et techniques.
  5. Mettre en place ces mesures à la fois du point de vue organisationnel et technique au sein de votre organisation.
  6. Concevoir et implémenter des mécanismes de surveillance pour vérifier l'efficacité de ces mesures en continu.

Régimes réglementaires : entités essentielles et importantes

La Directive NIS 2 établit deux catégories d'entités soumises à des exigences différentes en matière de cybersécurité : les entités essentielles (EE) et les entités importantes (EI). 

Le tableau ci-dessous présente les principales distinctions entre ces deux régimes réglementaires :

 

Taille entreprise Grande  Moyenne  Petite 
Nombre d'employés > 250 Entre 50 et 250  < 50
Chiffre d'affaires > 50 millions € Entre 10 et 50 millions €  < 10 millions €
Bilan Annuel > 43 millions € Entre 10 et 43 millions €  < 10 millions €
Annexe 1 Entités Essentielles Entités Importantes  Non concerné
Annexe 2 Entités Importantes Entités Importantes  Non concerné

Selon ce tableau :

  • Les grandes entreprises des secteurs listés en Annexe 1 sont considérées comme des Entités Essentielles.
  • Les moyennes entreprises des secteurs en Annexe 1 sont des Entités Importantes.
  • Les petites entreprises des secteurs en Annexe 1 sont des Entités Importantes.
  • Pour les secteurs listés en Annexe 2, seules les grandes et moyennes entreprises sont considérées comme des Entités Importantes. Les petites entreprises ne sont pas concernées par la Directive NIS2.

La classification en Entité Essentielle ou Importante dépend donc à la fois de la taille de l'entreprise (nombre d'employés, chiffre d'affaires, bilan) et du secteur d'activité critique visé par les Annexes 1 ou 2. 

Les exigences et le niveau de conformité requis par NIS2 varient ensuite selon cette classification.

Les exigences clés de la directive

La directive européenne NIS met l'accent sur l'implication de la gouvernance en matière de cybersécurité. Elle impose une responsabilité accrue des organes de direction pour la validation et la supervision de la gestion risques cybersécurité. 

Les membres de la direction doivent suivre des formations régulières pour évaluer les risques et les pratiques associés, assurant ainsi un pilotage efficace de la cybersécurité au plus haut niveau.

L'une des exigences majeures est la mise en place de mesures techniques et organisationnelles de cybersécurité proportionnées aux risques identifiés. 

Cela couvre de nombreux aspects comme l'analyse des risques, la continuité d'activité, la gestion des sauvegardes, la sécurité réseaux systèmes, le développement sécurisé, la formation, le contrôle d'accès, etc. Un suivi régulier de l'efficacité de ces mesures est requis.

En cas d'incident significatif, la directive NIS 2 impose des obligations de reporting strict aux autorités compétentes et CSIRT. 

Une alerte dans les 24 heures, puis une notification détaillée sous 72 heures avec une évaluation d'impact. Des rapports complémentaires sont ensuite à fournir, permettant une coordination renforcée.

L'importance de la sécurité des chaînes d'approvisionnement est soulignée, en particulier avec les fournisseurs. 

Les entités essentielles et entités importantes devront évaluer les vulnérabilités, pratiques de cybersécurité et qualité des produits/services de leurs partenaires. 

Une gestion des risques rigoureuse de la chaîne d'approvisionnement informatique est indispensable.

Le champ d'application élargi de la directive NIS 2 par rapport à la NIS 1, associé à ces nouvelles exigences renforcées, vise à améliorer la résilience en matière de cybersécurité à l'échelle de l'Union européenne.

Découvrez nos livres blancs sectoriels : Energies & Ressources et Santé

La directive (UE) 2022/2555, connue sous le nom de Directive NIS 2, vise à renforcer la cybersécurité dans l'Union Européenne. En tant qu'acteur d’un de ces secteurs, votre organisation doit se conformer à ces nouvelles exigences. Ce livre blanc vous aidera à comprendre les enjeux et défis de la directive NIS 2, son champ d'application, le régime de sanctions et son impact sur les différents sous-secteurs. Ne manquez pas ce guide essentiel pour vous conformer à cette réglementation.

Télécharger le livre blanc

Consultez notre offre de mise en conformité NIS 2


1 : Les articles 1.2 de DORA et 4.1 de NIS2 établissent cette hiérarchie juridique : les entités soumises à DORA ne sont pas tenues d’appliquer les dispositions équivalentes de NIS

Suivez-nous !

Contactez-nous

David Luponis

David Luponis

Associé, Digital Risks Services, PwC France et Maghreb

Bichr Chenguiti

Bichr Chenguiti

Directeur Cyber Intelligence, PwC France et Maghreb

Masquer