La vision de Cyber Academy
NIS 2 est la directive européenne qui engage directement la responsabilité des dirigeants en matière de cybersécurité. Si votre organisation est de taille moyenne ou grande et opère dans l'un des 18 secteurs listés, vous êtes dans le périmètre. Le chronomètre démarre dès le premier incident significatif : alerte précoce sous 24 heures, notification sous 72 heures, rapport complet à un mois. Les sanctions sont sévères (10 millions d'euros ou 2 % du chiffre d'affaires mondial). L'état de transposition varie selon les pays.
Ce que NIS 2 change réellement
NIS 2 est la deuxième version de la directive européenne sur la sécurité des réseaux et de l'information, et elle élargit considérablement le champ par rapport au régime NIS initial. Là où la première directive s'appuyait sur les autorités nationales pour identifier les opérateurs de services essentiels au cas par cas, NIS 2 fixe des critères d'auto-identification : si vous opérez dans l'un des secteurs listés et que vous dépassez le seuil de taille, vous êtes dans le champ d'application et censé le savoir. La directive classe les organisations concernées en deux catégories, les entités "essentielles" et "importantes", ce qui influe surtout sur la manière dont la supervision et les sanctions s'appliquent plutôt que sur les obligations de base elles-mêmes.
Le changement majeur, c'est la responsabilité. NIS 2 rend les organes de direction responsables de l'approbation et de la supervision des mesures de gestion des risques de cybersécurité, et attend d'eux qu'ils suivent une formation pour pouvoir exercer concrètement cette supervision. La sécurité cesse d'être un sujet géré discrètement par le service informatique pour devenir une question de gouvernance que le conseil doit valider. C'est la raison pratique pour laquelle la directive est si souvent résumée par l'idée de "responsabiliser les conseils d'administration".
Champ d'application, secteurs et test de taille
Le champ d'application repose sur deux questions : opérez-vous dans un secteur listé, et êtes-vous suffisamment grand ? La directive couvre des secteurs répartis entre les catégories "hautement critiques" et "autres secteurs critiques", couvrant l'énergie, les transports, la banque, la santé, l'eau, l'infrastructure numérique, l'administration publique, les services postaux, la fabrication de certains produits, l'alimentation, et bien d'autres.
Le test de taille englobe généralement les moyennes et grandes organisations, certaines entités plus petites étant parfois concernées lorsque leur rôle est critique indépendamment de leurs effectifs. Comme les États membres peuvent désigner des entités supplémentaires, la seule approche sûre consiste à cartographier vos propres activités au regard des annexes sectorielles plutôt que de supposer que vous êtes trop petit pour être concerné.
Le compte à rebours de la notification d'incident
Ce que les praticiens ressentent le plus directement, c'est le calendrier de notification, qui s'enclenche en cas d'incident important. Il se déroule par étapes : une alerte précoce dans les 24 heures, une notification plus complète dans les 72 heures, et un rapport final à l'échéance d'un mois, l'autorité compétente ou le CSIRT étant le destinataire. L'objectif du modèle par étapes est de faire remonter rapidement les incidents sans imposer un tableau forensique complet dès le premier jour. Pour y répondre, il vous faut une détection qui signale rapidement la gravité, un responsable de décision capable de classifier un incident, et des modèles de notification préétablis afin que le compte à rebours ne vous surprenne pas à rédiger de zéro.
Le calendrier s'appuie sur des obligations de gestion des risques qui se lisent comme un socle familier : traitement des incidents, continuité d'activité et sauvegardes, sécurité de la chaîne d'approvisionnement, développement et maintenance sécurisés, traitement des vulnérabilités, recours à la cryptographie, contrôle d'accès et authentification multifacteur, et politiques pour tester l'efficacité de l'ensemble. Rien de tout cela n'est exotique. Une organisation dotée d'un SMSI mature, par exemple aligné sur ISO 27001, couvre déjà l'essentiel du terrain ; le travail consiste à mettre en correspondance les contrôles existants avec les attentes de NIS 2 et à combler les lacunes de gouvernance et de notification.
Ce qu'être dans le champ d'application signifie en pratique
Si vous concluez que vous êtes dans le champ d'application, le programme pratique est assez constant : vous enregistrer auprès de l'autorité nationale compétente lorsque cela est requis, formaliser une supervision du risque cyber au niveau du conseil, documenter vos mesures de gestion des risques au regard des rubriques de la directive, mettre en place un processus de classification et de notification des incidents capable de respecter les fenêtres de 24/72 heures et d'un mois, et étendre la diligence raisonnable à votre chaîne d'approvisionnement car les fournisseurs font explicitement partie du tableau des risques.
L'application a du mordant, avec des amendes atteignant des dizaines de millions d'euros ou un pourcentage du chiffre d'affaires mondial, plus la possibilité d'une responsabilité de la direction, ce qui explique précisément pourquoi la directive fait remonter la responsabilité vers le haut.
Frequently asked questions
01Comment savoir si mon organisation entre dans le champ d'application de NIS 2 ?
Vérifiez deux choses : si vous opérez dans l'un des secteurs listés par la directive, et si vous atteignez le seuil de taille, qui englobe généralement les moyennes et grandes organisations. Certaines entités plus petites sont concernées lorsque leur rôle est critique, et les États membres peuvent en désigner d'autres : cartographiez donc vos activités au regard des annexes sectorielles plutôt que de faire des suppositions.
02Quels sont les délais de notification d'incident de NIS 2 ?
Pour un incident important, le compte à rebours se déroule par étapes : une alerte précoce dans les 24 heures, une notification dans les 72 heures, et un rapport final dans un délai d'un mois. Le destinataire est l'autorité nationale compétente ou le CSIRT.
03Quelle est la différence entre NIS 1 et NIS 2 ?
NIS 2 élargit le champ d'application à davantage de secteurs et utilise des critères de taille auto-identifiants au lieu de s'appuyer principalement sur les autorités nationales pour désigner les opérateurs. Elle renforce aussi la notification des incidents, la sécurité de la chaîne d'approvisionnement et, surtout, rend les organes de direction directement responsables des mesures de cybersécurité.
04Quel est le lien entre NIS 2 et ISO 27001 ?
Ils se recoupent fortement sur le fond. Un SMSI aligné sur ISO 27001 couvre déjà la plupart des mesures de gestion des risques de NIS 2, comme le traitement des incidents, la continuité d'activité, le contrôle d'accès et la cryptographie. ISO 27001 est une norme certifiable que vous adoptez volontairement, tandis que NIS 2 est une obligation légale ; la tâche pratique consiste à mettre en correspondance vos contrôles existants avec la directive et à combler les lacunes de notification et de gouvernance.
05Pourquoi NIS 2 parle-t-elle autant de la responsabilité de la direction ?
Parce qu'elle rend les organes de direction responsables de l'approbation et de la supervision des mesures de gestion des risques de cybersécurité, et attend d'eux qu'ils soient formés pour le faire. La sécurité devient un sujet de gouvernance au niveau du conseil, et la responsabilité peut être imputée à la direction, pas seulement à la fonction informatique.