Aller au contenu
NIS2

FAQ sur la directive NIS2 en France

·
8 minutes de lecture
VOTRE ENTREPRISE EST-ELLE PRÊTE POUR NIS2 ?
Centralisez la gestion des appareils et des accès sur une seule plateforme, automatisez les politiques de sécurité et préparez-vous plus sereinement aux exigences de conformité et d’audit. Découvrez Factorial IT
Article rédigé par

La nouvelle directive NIS2 marque un tournant décisif pour la cybersécurité en Europe, et de nombreuses entreprises en France ne savent pas comment elle va les affecter ni ce qu’elles doivent faire exactement. Êtes-vous tenu de vous y conformer ? Quels sont les risques si vous ne le faites pas ? Par où commencer ?

Cette FAQ offre des réponses claires et rapides aux questions les plus fréquentes sur la directive NIS2 en France, afin que vous compreniez son impact et les démarches que vous devriez entreprendre au plus vite.

1. Qu’est-ce que la directive NIS2 et quel est son objectif ?

La directive NIS2 est une réglementation européenne dont le but est d’améliorer la cybersécurité dans l’ensemble de l’Union européenne. Son objectif principal est de mieux protéger les entreprises et les services essentiels contre les cyberattaques, en établissant des exigences communes en matière de sécurité et de gestion des risques. De plus, elle vise à renforcer la coopération entre les pays et à s’assurer que les organisations réagissent rapidement face aux incidents de sécurité.

2. Qu’est-ce qui change avec NIS2 par rapport à NIS1 ?

D’une part, la directive NIS2 élargit le champ d’application de la réglementation précédente (NIS1), en englobant beaucoup plus d’entreprises et de secteurs. D’autre part, elle établit des règles plus strictes en matière de gestion des risques, de notification des incidents et de supervision. Une autre différence clé est qu’elle accroît la responsabilité de la direction des entreprises et durcit les sanctions en cas de non-conformité.

3. Quand la directive NIS2 entre-t-elle en vigueur en France ?

La directive NIS2 est entrée en vigueur au niveau européen au début de l’année 2023 et fixait une date limite non négociable pour tous les pays : le 17 octobre 2024. À ce jour, la France accuse un retard considérable. Bien qu’à la fin de l’année 2024, le « projet de loi Résilience » ait été présenté au Sénat et ait ensuite progressé vers l’Assemblée nationale, le processus législatif a été ralenti par l’instabilité politique du pays, notamment la dissolution de l’Assemblée nationale.

Ce retard a conduit la Commission européenne à émettre des mises en demeure et à lancer des procédures d’infraction contre le pays. Malgré ce retard, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) exhorte les entreprises à mettre en œuvre dès à présent les mesures nécessaires, l’adoption définitive de la loi étant imminente.

📌 En savoir plus sur l’entrée en vigueur de la directive NIS2 en France.

4. Quelles entreprises sont tenues de se conformer à la directive NIS2 ?

La directive NIS2 s’applique aux entreprises considérées comme des entités essentielles et importantes, c’est-à-dire celles qui exercent des activités dans des secteurs critiques ou qui ont un impact significatif sur l’économie ou la société. En général, elle concerne les moyennes et grandes entreprises (plus de 50 employés ou plus de 10 millions d’euros de chiffre d’affaires), bien qu’elle puisse également inclure des organisations plus petites si leur activité est particulièrement critique.

📌 En savoir plus sur les entités concernées par la directive NIS2 en France.

5. Quels sont les secteurs concernés par la directive NIS2 ?

La directive NIS2 fait la distinction entre les secteurs hautement critiques (entités essentielles) et les autres secteurs critiques (entités importantes).

Secteurs hautement critiques :

  • Énergie.

  • Transports.

  • Secteur bancaire.

  • Infrastructures des marchés financiers.

  • Santé.

  • Eau potable.

  • Eaux usées.

  • Infrastructures numériques.

  • Gestion des services TIC (fournisseurs de services gérés).

  • Administration publique.

  • Espace.

Autres secteurs critiques :

  • Services postaux et d’expédition.

  • Gestion des déchets.

  • Fabrication, production et distribution de produits chimiques.

  • Production, transformation et distribution de denrées alimentaires.

  • Fabrication (notamment machines, véhicules, équipements électroniques, etc.).

  • Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux).

  • Recherche.

6. La directive NIS2 concerne-t-elle les PME ou uniquement les grandes entreprises ?

Bien que la nouvelle directive NIS2 vise principalement les moyennes et grandes entreprises, elle peut, dans certains cas, impacter les PME. Par exemple, si elles font partie de la chaîne d’approvisionnement d’une entreprise assujettie ou si elles opèrent dans des secteurs critiques. Dans la pratique, de nombreuses PME devront s’y adapter indirectement, car leurs clients ou partenaires exigeront d’elles le respect de certaines exigences en matière de cybersécurité.

7. Que sont les entités essentielles et importantes ?

La directive NIS2 classe les entreprises en deux grands groupes :

  • Entités essentielles : ce sont des organisations appartenant à des secteurs hautement critiques (comme l’énergie, les transports ou la santé) et qui sont soumises à un niveau de supervision plus élevé.

  • Entités importantes : elles appartiennent à d’autres secteurs pertinents, mais avec un niveau de criticité légèrement inférieur.

📌 En savoir plus sur la différence entre les entités essentielles et importantes.

8. Si je suis un fournisseur ou si je fais partie de la chaîne d’approvisionnement, la directive NIS2 me concerne-t-elle ?

Oui, même si vous n’y êtes pas directement assujetti, la directive NIS2 peut tout de même vous affecter si vous faites partie de la chaîne d’approvisionnement d’une entreprise qui l’est. Les organisations assujetties doivent garantir la sécurité de leurs fournisseurs ; il est donc courant qu’elles commencent à exiger des mesures de cybersécurité, des audits ou des certifications de la part de tiers. Dans la pratique, de nombreuses entreprises devront s’adapter à NIS2 de manière indirecte afin de pouvoir continuer à travailler avec leurs clients.

9. Quelles obligations la directive NIS2 impose-t-elle aux entreprises ?

La directive NIS2 établit une série d’obligations axées sur la gestion proactive de la cybersécurité et l’atténuation des risques. Parmi les principales, on retient :

  • Gouvernance et responsabilité d’entreprise : la direction générale est le responsable ultime de la cybersécurité, elle doit approuver les mesures et définir des rôles clairs (et assume la responsabilité en cas de négligence).

  • Gestion des risques liés à la cybersécurité : évaluer et gérer en continu les risques pesant sur les systèmes d’information, les réseaux et les services physiques.

  • Mesures de sécurité techniques et organisationnelles : mettre en œuvre des contrôles d’accès stricts, une authentification multifacteur (MFA), le chiffrement des données, la protection de l’infrastructure et une cyber-hygiène de base.

  • Gestion de la chaîne d’approvisionnement : s’assurer que les fournisseurs directs et les prestataires de services respectent des exigences de cybersécurité équivalentes afin d’éviter les attaques par des tiers.

  • Notification des incidents : signaler les menaces graves et les incidents de sécurité aux autorités compétentes en respectant strictement les délais légaux (24 h, 72 h et 1 mois).

  • Tests et audits : réaliser des évaluations périodiques, des audits de sécurité et des simulations pour mesurer l’efficacité des mesures mises en place.

  • Sensibilisation et formation : former obligatoirement et périodiquement l’ensemble du personnel (y compris la direction) à la cybersécurité et aux bonnes pratiques.

  • Plans de continuité et de reprise : garantir que l’entreprise puisse continuer à fonctionner et se rétablir rapidement après un incident grave (via des plans de reprise d’activité et des sauvegardes sécurisées).

  • Rapports et documentation : tenir un registre documenté de toutes les politiques, des mesures adoptées, des preuves et des évaluations des risques.

  • Coopération avec les autorités et d’autres entités : collaborer avec les organismes nationaux et internationaux, et participer à des réseaux de partage d’informations sur les cybermenaces.

10. Comment les incidents de sécurité doivent-ils être notifiés ?

La directive NIS2 est extrêmement stricte quant aux temps de réponse. Elle oblige les entreprises à notifier à l’autorité nationale compétente tout incident significatif en suivant un modèle par étapes immuable :

  • Alerte précoce : dans un délai maximum de 24 heures après avoir pris connaissance de l’incident, un premier avis doit être émis (même si tous les détails ne sont pas encore connus).

  • Notification formelle : dans un délai maximum de 72 heures, une mise à jour comprenant une évaluation initiale de l’incident, de sa gravité et de son impact doit être envoyée.

  • Rapport final : dans un délai maximum d’un mois, un document détaillant l’analyse complète de la cyberattaque, les conséquences réelles et les mesures d’atténuation adoptées doit être remis.

La directive NIS2 oblige les entreprises à signaler tout incident de cybersécurité affectant les services essentiels. La notification doit être adressée à l’autorité nationale compétente. Le délai dépend de la gravité de l’incident : généralement entre 24 et 72 heures à compter de sa détection. Des détails sur la nature de l’incident, son impact et les mesures prises doivent y être inclus.

11. La direction de l’entreprise a-t-elle une responsabilité légale avec NIS2 ?

Oui, totale et absolue. La directive NIS2 coupe court à l’excuse selon laquelle « la cybersécurité n’est qu’un problème du service informatique » et fait peser la responsabilité directement sur les épaules du conseil d’administration et de la direction générale. Cela se traduit par deux obligations critiques :

  • Formation obligatoire : les dirigeants sont tenus de se former régulièrement à la cybersécurité afin de comprendre les risques technologiques de leur secteur et de pouvoir évaluer correctement les mesures mises en place.

  • Responsabilité directe pour négligence : si une entreprise subit un incident grave pour ne pas avoir approuvé ou appliqué les mesures requises, les dirigeants peuvent être tenus personnellement responsables d’un point de vue légal. En fait, dans le cas des entités essentielles, les autorités peuvent aller jusqu’à suspendre temporairement les cadres dirigeants de leurs fonctions de direction.

12. Comment commencer à se conformer à la directive NIS2 ?

S’adapter à la directive NIS2 ne se fait pas du jour au lendemain. Les entreprises devraient suivre cette feuille de route :

  • Classification et périmètre : identifier formellement si l’entreprise est assujettie à la loi et dans quelle catégorie elle se situe (entité essentielle ou importante).

  • Implication de la direction : informer la direction générale de ses nouvelles responsabilités légales et s’assurer du budget nécessaire à l’adaptation.

  • Audit initial : évaluer l’état actuel de la cybersécurité au sein de l’entreprise par rapport aux exigences de la directive NIS2 afin de détecter les failles existantes et d’évaluer la criticité des systèmes.

  • Plan d’action : mettre en œuvre les solutions nécessaires pour combler ces failles : sécurité des réseaux, sauvegardes immuables, contrôle d’accès (MFA), chiffrement, etc.

  • Protocoles de réponse et de notification : définir et documenter des processus clairs pour savoir comment réagir face à une attaque et s’assurer de pouvoir en informer les autorités dans les 24 premières heures.

  • Sécuriser la chaîne d’approvisionnement : revoir les contrats avec les fournisseurs technologiques et les prestataires de services, en exigeant qu’ils respectent des exigences de cybersécurité équivalentes.

  • Sensibilisation continue : former périodiquement l’ensemble du personnel (y compris les dirigeants) pour créer une véritable culture de la cybersécurité et éviter les erreurs humaines.

13. Existe-t-il des logiciels spécifiques pour se conformer à la directive NIS2 ?

Oui, il existe des outils conçus pour faciliter la conformité à la directive NIS2, bien qu’il n’y ait pas de logiciel officiel unique. Ces solutions aident à gérer les risques, à documenter les contrôles et à s’assurer que les exigences de la directive sont respectées. Parmi les plus remarquables, on trouve :

  • Plateformes GRC (Governance, Risk & Compliance) : elles permettent de centraliser la gestion des risques, des politiques et des audits.

  • Logiciels spécifiques à NIS2 : des outils qui aident à documenter les mesures de sécurité, les incidents et les preuves de conformité.

  • Solutions techniques de cybersécurité : SIEM, EDR et surveillance des réseaux pour détecter et répondre aux incidents.

  • Conseils ou ressources externes : services spécialisés qui aident à adapter les processus et à former le personnel au respect de la réglementation.

14. Quelles sont les sanctions en cas de non-conformité à la directive NIS2 ?

Le non-respect de la directive NIS2 porte le risque financier à un tout autre niveau, alignant les amendes liées à la cybersécurité sur celles que nous connaissons déjà en matière de protection des données (RGPD). Les sanctions en cas de non-conformité à NIS2 se divisent en deux paliers selon la classification de l’entreprise :

  • Pour les entités essentielles : des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant toujours retenu).

  • Pour les entités importantes : des amendes pouvant aller jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total (le montant le plus élevé étant retenu).

Outre l’impact financier, les autorités peuvent imposer des audits périodiques (aux frais de l’entreprise en infraction), exiger que le non-respect soit rendu public (avec l’énorme préjudice de réputation que cela implique) et même suspendre les autorisations de l’entreprise à opérer ou à fournir des services.

Articles Similaires