La directive (UE) 2022/2555, dite NIS2, est le texte qui structure désormais l’obligation de cybersécurité de fond pour environ 15 000 entités françaises [1]. Elle remplace la directive NIS de 2016, dont le périmètre limité à 500 OIV et OSE en France était devenu insuffisant face à l’élargissement de la surface d’attaque sur l’économie numérique. Ce guide synthétise le périmètre, les obligations, les sanctions et le plan d’action attendu d’un dirigeant ou d’un RSSI dans les douze mois.
Qu’est-ce que NIS2 ?
NIS2 est l’acronyme de Network and Information Security 2. Il s’agit d’une directive européenne adoptée le 14 décembre 2022 et publiée au journal officiel de l’Union européenne le 27 décembre 2022 [1]. Elle est entrée en vigueur le 16 janvier 2023 et imposait aux États membres une transposition dans leur droit national avant le 17 octobre 2024. La transposition française est portée par la loi Résilience, qui transpose simultanément NIS2 et la directive REC (résilience des entités critiques).
L’élargissement par rapport à NIS1
La directive NIS de 2016 visait deux catégories d’acteurs : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN). En France, cela représentait environ 500 entités. NIS2 retient deux nouvelles catégories : les entités essentielles et les entités importantes, et étend le périmètre à 18 secteurs au lieu de 7 [2]. L’ANSSI estime que ce passage représente environ 15 000 entités en France, soit une multiplication par trente. Cette extension a une portée macroéconomique : la régulation cyber sort du club restreint des opérateurs critiques pour s’imposer comme un standard de fait pour les ETI.
Les 18 secteurs concernés
Les secteurs hautement critiques (annexe I) incluent énergie, transport, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administrations publiques, et secteur spatial. Les autres secteurs critiques (annexe II) couvrent services postaux et de courrier, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution de denrées alimentaires, fabrication (dispositifs médicaux, informatique, machines, véhicules), fournisseurs numériques, et organisations de recherche.
Êtes-vous concerné ?
Le critère de soumission à NIS2 est cumulatif. Une entité doit à la fois appartenir à un secteur listé en annexes I ou II, et dépasser le seuil de taille fixé par la directive.
Les seuils de taille
Le seuil général est celui d’une entité de taille intermédiaire au sens de la recommandation 2003/361/CE de la Commission européenne, soit : plus de 50 salariés, ou plus de 10 millions d’euros de chiffre d’affaires annuel, ou plus de 10 millions d’euros de total de bilan. Les microentreprises et petites entreprises (moins de 50 salariés et moins de 10 millions d’euros) sont par défaut exclues, sauf cas particuliers prévus par l’article 2 de la directive.
Les cas d’inclusion indépendante de la taille
Certains acteurs sont soumis à NIS2 indépendamment de leur taille. C’est le cas des fournisseurs de services DNS, des registres de noms de domaine de premier niveau, des fournisseurs de services de confiance qualifiés, des fournisseurs de réseaux de communications électroniques publics et des fournisseurs de services de communications électroniques accessibles au public. C’est également le cas des entités qualifiées d’entités essentielles uniques (article 2.4) par les autorités nationales sur la base d’une analyse de risque sectorielle.
Entité essentielle ou entité importante
La distinction repose sur deux critères combinés : le secteur (annexe I plus critique que annexe II) et la taille (grande entité au sens de la recommandation 2003/361/CE plus exigeant que ETI). Schématiquement, une grande entreprise opérant dans un secteur hautement critique sera classée entité essentielle. Une ETI dans un secteur autre critique sera classée entité importante. La différence opérationnelle porte principalement sur l’intensité de la supervision (proactive pour les essentielles, réactive pour les importantes) et sur les plafonds de sanctions financières.
| Critère | Entité essentielle | Entité importante |
|---|---|---|
| Secteur | Annexe I (11 secteurs hautement critiques) | Annexe II (7 autres secteurs critiques) |
| Taille minimale | Grande entreprise (sauf exceptions) | ETI minimum |
| Supervision | Proactive (ex ante) | Réactive (ex post) |
| Sanction max | 10 millions ou 2 pourcent CA mondial | 7 millions ou 1,4 pourcent CA mondial |
Les obligations de fond
L’article 21 de la directive liste les obligations minimales en matière de gestion des risques cyber. Le texte distingue les mesures de gouvernance et les mesures techniques et organisationnelles.
L’analyse de risque
L’analyse de risque est le préalable à toute mesure. Elle doit identifier les actifs critiques, les menaces pertinentes, les vulnérabilités, et les impacts en cas de réalisation. Elle doit être documentée, datée, et révisée à intervalles réguliers. L’ANSSI recommande l’usage des méthodes EBIOS Risk Manager ou équivalent [3]. L’analyse de risque alimente le plan de remédiation, qui définit la trajectoire de réduction du risque sur 12 à 36 mois.
Les mesures techniques minimales
L’article 21.2 liste dix catégories de mesures. Elles incluent l’analyse de risque et la politique de sécurité, le traitement des incidents, la continuité d’activité (sauvegarde, plan de reprise), la sécurité de la chaîne d’approvisionnement, la sécurité de l’acquisition et du développement, l’évaluation de l’efficacité, l’hygiène cyber et la formation, l’usage de la cryptographie et du chiffrement, la sécurité des ressources humaines, et l’authentification multifacteur. Les actes d’exécution européens précisent les exigences techniques pour certains secteurs (fournisseurs DNS, services TIC, etc.).
La gouvernance
L’article 20 introduit une obligation de gouvernance : les organes de direction approuvent les mesures de gestion des risques, en supervisent la mise en oeuvre, et suivent une formation cyber régulière. La responsabilité personnelle des dirigeants est inscrite : en cas de manquement avéré, les autorités peuvent suspendre temporairement les fonctions de direction.
La gestion des incidents
L’article 21.2.b impose un processus formalisé de traitement des incidents : détection, classification, escalade, traitement, retour d’expérience. Ce processus se matérialise dans un PRA (plan de reprise d’activité), un PCA (plan de continuité d’activité), et un plan de réponse à incident, qui doivent être documentés et testés. L’ANSSI publie des guides méthodologiques pour la mise en oeuvre de ces plans.
Les obligations de notification
L’article 23 de la directive instaure un régime de notification multi-étapes, qui constitue l’une des nouveautés opérationnelles majeures de NIS2.
Le calendrier de notification
Le mécanisme est en trois temps. D’abord, une alerte précoce (early warning) doit être transmise dans les 24 heures suivant la connaissance de l’incident important, indiquant si l’incident est susceptible d’avoir été causé par un acte illicite ou malveillant. Ensuite, une notification d’incident proprement dite doit suivre dans les 72 heures, avec une évaluation initiale de la gravité, de l’impact, et des indicateurs de compromission. Enfin, un rapport final doit être transmis dans le mois suivant la notification, détaillant l’incident, sa cause racine, les mesures correctives appliquées, et les impacts transfrontières le cas échéant.
Le destinataire
Le destinataire en France est l’ANSSI, qui joue le rôle d’autorité nationale compétente et de CSIRT national [3]. Les modalités techniques de notification sont précisées par la plateforme dédiée mise à disposition par l’ANSSI. Pour les entités financières soumises également à DORA, la notification s’effectue auprès des autorités sectorielles (ACPR, AMF) selon le règlement DORA, avec un mécanisme de transmission croisé vers l’ANSSI.
Articulation avec RGPD
Une violation de sécurité affectant des données personnelles déclenche en parallèle la notification CNIL au titre de l’article 33 du RGPD, dans un délai de 72 heures à compter de la connaissance. Les deux notifications (ANSSI au titre de NIS2 et CNIL au titre du RGPD) sont indépendantes, avec des contenus partiellement différents : NIS2 est centrée sur la résilience opérationnelle, RGPD sur la protection des personnes concernées.
Les sanctions
NIS2 introduit un régime de sanctions financières harmonisé à l’échelle européenne, qui s’aligne sur les ordres de grandeur du RGPD.
Les plafonds financiers
Pour les entités essentielles, l’article 34 prévoit des amendes administratives d’un montant maximal de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total. Ces plafonds sont à comparer à ceux du RGPD (20 millions ou 4 %), à un niveau légèrement inférieur mais cohérent.
Les sanctions non financières
Outre les amendes, l’article 32 prévoit un éventail de mesures de supervision et de coercition : injonctions de mise en conformité, mise en demeure publique, interdiction temporaire d’exercer pour les dirigeants, suspension de certifications ou agréments. Ces mesures peuvent être cumulatives, et leur publication est elle-même prévue (effet réputationnel).
La responsabilité personnelle du dirigeant
L’article 20.1 introduit l’obligation d’approbation des mesures de gestion des risques par les organes de direction. L’article 20.2 introduit une obligation de formation cyber pour les membres des organes de direction. L’article 32.5 permet aux autorités, en dernier recours et pour les manquements répétés, d’imposer une interdiction temporaire d’exercer des fonctions de direction. C’est une rupture juridique majeure : la sanction ne se limite plus à la personne morale.
Transposition française
La France transpose NIS2 par la loi relative à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier, dite loi Résilience. Le texte transpose simultanément NIS2, la directive REC, et complète DORA. Le calendrier d’adoption, les choix de transposition spécifiques à la France, et les arrêtés sectoriels sont détaillés dans : Loi Résilience : transposition NIS2 en droit français.
Articulation avec DORA
Pour les entités financières soumises également à DORA, le considérant 28 de NIS2 et l’article 1.2 de DORA précisent que DORA prévaut comme lex specialis sur le périmètre TIC opérationnel. NIS2 conserve une portée résiduelle sur les obligations non couvertes par DORA (gouvernance générale, sécurité physique, etc.). Le détail des cinq piliers DORA et de l’articulation est traité dans : DORA : obligations cyber du secteur financier au 17 janvier 2025.
Articulation avec ReCyF
Le référentiel cybersécurité fournisseur de l’ANSSI (ReCyF) vient compléter NIS2 sur la dimension chaîne d’approvisionnement (article 21.2.d). Il fournit une grille d’évaluation des prestataires intervenant dans les SI sensibles, et constitue un outil de mise en conformité pour les acheteurs publics et les entités essentielles. La grille ReCyF et son articulation avec PASSI et SecNumCloud sont détaillées dans : ReCyF ANSSI : référentiel cybersécurité fournisseur 2026.
Plan d’action 6 mois
Pour une entité venant d’identifier sa qualification NIS2 (essentielle ou importante), le plan d’action structurant tient en six étapes, à conduire sur six à neuf mois.
Mois 1 : cartographie et identification
Identifier précisément la catégorie de soumission (essentielle ou importante), le secteur, et les éventuelles filiales ou établissements concernés. Cartographier les actifs informationnels, les processus critiques, les flux de données, et les prestataires TIC tiers. Cette étape s’appuie sur un inventaire ISO 27001 ou équivalent. Sans cartographie fiable, le reste du plan d’action est fragile.
Mois 2 : gap analysis
Confronter la situation existante aux 10 catégories de mesures de l’article 21.2. Une grille EBIOS RM ou une matrice ISO 27001 peut servir de cadre. La gap analysis identifie les non-conformités, leur criticité, et leur coût estimé de remédiation. Elle alimente le plan de remédiation et le budget cybersécurité de l’année.
Mois 3 à 5 : remédiation prioritaire
Traiter les non-conformités les plus critiques. Les chantiers fréquents incluent : déploiement MFA généralisé, durcissement des sauvegardes (3-2-1, immutable, testées), mise en oeuvre d’un EDR ou MDR (voir EDR, MDR, XDR : comparatif pour RSSI), formalisation du plan de réponse à incident, mise à jour de la PSSI, formation des dirigeants.
Mois 4 : gouvernance et formation
Mettre en place les instances de gouvernance prévues par l’article 20 : approbation par le comité de direction, formation cyber régulière des dirigeants, désignation d’un référent cyber rattaché à la direction. Documenter les délibérations et les décisions.
Mois 5 à 6 : gestion des fournisseurs
Cartographier les prestataires TIC tiers (article 21.2.d). Mettre à jour les clauses contractuelles cyber (audit, notification d’incident, droit de réaliser des tests). Mettre en place un registre des fournisseurs critiques, avec niveau de risque et plan de contrôle.
Mois 6 : capacité de notification
Mettre en place le canal de notification ANSSI, désigner les responsables internes, formaliser le processus de classification d’un incident (important au sens de l’article 23, ou non), et tester le processus par un exercice tabletop. L’objectif est d’être capable de notifier dans les 24 heures un incident significatif, ce qui suppose une chaîne de décision pré-positionnée.
Sources et références
[1] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, journal officiel de l’Union européenne L 333. [2] Commission européenne, communications officielles sur la directive NIS2. [3] ANSSI, publications de référence sur NIS2 et l’analyse de risque (EBIOS Risk Manager).