La vision de Cyber Academy
NIS 1 (Directive 2016/1148) était la première directive européenne de cybersécurité intersectorielle, couvrant les opérateurs de services essentiels et les fournisseurs de services numériques. Remplacée par NIS 2 en octobre 2024, car son périmètre était trop étroit, son application inégale et ses obligations de notification d'incidents sans véritable portée. Citée ici principalement pour que vous sachiez ce qu'était réellement l'« ancien régime » dont vos collègues gardent encore un vague souvenir.
Ce que NIS 1 voulait accomplir
La directive NIS 1 a été la première tentative de l'Union européenne d'imposer un socle commun de cybersécurité aux secteurs qui font tourner un pays. Avant elle, les États membres abordaient la sécurité des infrastructures critiques selon leurs propres termes, sans référentiel partagé et sans moyen coordonné de gérer les incidents transfrontaliers. NIS 1 a changé cela en demandant à chaque État membre d'identifier les opérateurs dont la perturbation aurait un effet d'entraînement grave, de leur imposer des obligations de sécurité et de notification d'incidents, et de mettre en place la machinerie nationale chargée de les superviser. En France, cette machinerie était l'ANSSI, et les opérateurs qu'elle a désignés connaissaient déjà le régime plus lourd des OIV, antérieur à la directive.
Parce qu'il s'agissait d'une directive et non d'un règlement, NIS 1 ne s'appliquait pas directement. Chaque État membre devait la transposer en droit national, ce qui explique une grande partie des disparités. Deux États pouvaient lire le même texte et aboutir à des listes différentes d'entités réglementées, à des seuils de notification différents et à des appétits très différents pour la mise en application. Ce patchwork est la première raison pour laquelle le régime a finalement été reconstruit.
Deux catégories : services essentiels et fournisseurs de services numériques
NIS 1 a divisé le monde réglementé en deux groupes, et la distinction compte parce que les obligations et la supervision n'étaient pas symétriques.
| Aspect | Opérateurs de services essentiels | Fournisseurs de services numériques |
|---|---|---|
| Qui ils étaient | Énergie, transports, banque, infrastructures de marchés financiers, santé, eau potable, infrastructures numériques | Places de marché en ligne, moteurs de recherche, services d'informatique en nuage |
| Comment ils étaient désignés | Identifiés au cas par cas par chaque État membre selon des critères | Inclus automatiquement dans le périmètre, avec une approche plus légère |
| Supervision | Proactive : les autorités pouvaient auditer et exiger des preuves | Surtout réactive : action après un incident |
| Attente en matière de sécurité | Mesures techniques et organisationnelles appropriées et proportionnées | Mesures similaires, mais un régime réglementaire plus léger |
Les opérateurs de services essentiels étaient au cœur de la directive. Les États membres devaient les nommer, et une fois nommés ils portaient de réelles obligations de gérer le risque et de notifier les incidents significatifs à l'autorité nationale ou au CSIRT. Les fournisseurs de services numériques étaient traités plus légèrement, sur la théorie qu'ils opéraient déjà au-delà des frontières et se concurrençaient sur la résilience, de sorte qu'un régime harmonisé mais plus léger éviterait de fragmenter le marché unique.
Pourquoi elle a été remplacée
Le verdict honnête sur NIS 1 est qu'elle a prouvé le concept mais sous-livré. Trois faiblesses sont revenues de façon répétée. Le périmètre était trop étroit, laissant des secteurs entiers et la plupart des organisations de taille moyenne hors de toute obligation, même lorsque leur défaillance aurait causé des dommages. La mise en application était inégale, parce que la transposition laissait chaque État membre décider qui entrait dans le périmètre et avec quelle fermeté pousser, de sorte qu'une entreprise pouvait être réglementée dans un pays et intouchée juste à côté. Et la notification d'incidents était de fait sans dents, avec des seuils et des délais qui variaient tellement que la visibilité transfrontalière que la directive devait créer ne s'est jamais vraiment matérialisée.
NIS 2 a été la réponse à ces trois problèmes. Elle a élargi le périmètre à bien plus de secteurs et à un critère fondé sur la taille, remplacé la division OES/DSP par les entités essentielles et importantes, resserré la notification d'incidents en étapes plus claires, et placé une véritable responsabilité de la direction et des sanctions derrière les obligations. Pour un praticien aujourd'hui, NIS 1 est surtout du contexte : elle explique la forme des règles sous lesquelles vous vivez désormais et les réflexes que votre organisation a construits avant la reconstruction.
Frequently asked questions
01NIS 1 est-elle toujours en vigueur ?
Non. NIS 1 a été abrogée et remplacée par la directive NIS 2, devenue applicable en octobre 2024. Les obligations découlent désormais de NIS 2 et de sa transposition nationale, non de la directive de 2016.
02Quelle est la différence entre un OES et un DSP sous NIS 1 ?
Les opérateurs de services essentiels étaient identifiés au cas par cas par les États membres dans des secteurs critiques et faisaient l'objet d'une supervision proactive. Les fournisseurs de services numériques, comme les fournisseurs de cloud et les places de marché en ligne, étaient inclus dans le périmètre de manière plus automatique et supervisés selon un régime plus léger, surtout réactif.
03Pourquoi NIS 1 était-elle considérée comme trop faible ?
Son périmètre était étroit, la transposition rendait la mise en application inégale entre États membres, et les règles de notification d'incidents variaient tellement que la visibilité transfrontalière n'a jamais fonctionné comme prévu. NIS 2 a été rédigée spécifiquement pour combler ces trois lacunes.
04Si mon organisation se conformait à NIS 1, cela couvre-t-il NIS 2 ?
Pas par défaut. NIS 2 élargit le périmètre, relève les attentes en matière de gestion des risques et de notification, et ajoute la responsabilité de la direction. Un programme NIS 1 est un point de départ utile mais nécessite une analyse d'écart au regard de NIS 2.
05Quel est le lien entre NIS 1 et le RGPD ?
Ils sont distincts. Le RGPD protège les données personnelles et est appliqué par les autorités de protection des données. NIS 1 portait sur la sécurité opérationnelle et la résilience des services essentiels et numériques. Un incident peut déclencher les deux régimes à la fois.