La vision de Cyber Academy
NIS 2 (Directive (UE) 2022/2555) est la directive de l'UE qui engage la responsabilité des conseils d'administration en matière de cybersécurité. Les entités de taille moyenne ou supérieure relevant de 18 secteurs listés sont dans le périmètre. En cas d'incident important : alerte précoce sous 24 heures, notification sous 72 heures, rapport complet à un mois. Sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Transposée de manière inégale selon les États membres depuis octobre 2024.
TL;DR
- 1Dans le périmètre : 18 secteurs, entités de taille moyenne (50+ ETP / 10M+ de chiffre d'affaires) et supérieure. Deux catégories, essentielles et importantes, avec une intensité de supervision différente.
- 2Dix mesures de gestion des risques de cybersécurité au titre de l'Article 21. La directive dit quoi ; ISO 27001 est le comment le plus courant.
- 3Notification d'incident : alerte précoce sous 24 heures, notification sous 72 heures, rapport complet à un mois. Définissez le processus avant d'en avoir besoin.
- 4La responsabilité personnelle et la responsabilité de la direction sont désormais explicites. Le conseil d'administration est engagé, pas seulement le RSSI.
- 5L'état de transposition varie d'un pays à l'autre : vérifiez votre autorité nationale avant de supposer que le texte de l'UE s'applique tel quel.
Déterminer si vous êtes dans le périmètre, et à quelle catégorie
Le périmètre est la question qui décide de tout le reste : résolvez-la donc en premier et consignez le raisonnement. NIS 2 s'applique aux entités opérant dans l'un des 18 secteurs listés qui atteignent également un seuil de taille. La règle par défaut est le plancher de la moyenne entreprise : au moins 50 employés, ou un chiffre d'affaires annuel et un bilan supérieurs à 10 millions d'euros. En deçà de ce plancher, vous êtes généralement hors périmètre, mais pas toujours : la directive inclut certains fournisseurs indépendamment de leur taille lorsque le service est suffisamment critique (par exemple les fournisseurs de DNS, les registres de noms de domaine de premier niveau, et certains fournisseurs de communications électroniques publiques et de services de confiance).
Les deux catégories, essentielles et importantes, ne sont pas deux listes parmi lesquelles vous choisissez. Elles découlent de votre secteur et de votre taille. Les secteurs hautement critiques (énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, administration publique, espace) produisent des entités essentielles aux plus grandes tailles ; les autres secteurs listés, ainsi que les entités plus petites dans les secteurs hautement critiques, sont généralement classés comme importants. La conséquence pratique est l'intensité de la supervision, et non un ensemble d'obligations plus souple : les mesures de sécurité et les délais de notification sont identiques pour les deux catégories.
Essentielles ou importantes : là où les deux catégories divergent réellement
Les deux catégories portent les mêmes mesures de l'Article 21 et le même calendrier de notification d'incident. Ce qui change, c'est la manière dont le régulateur vous surveille et ce qu'il peut faire lorsque quelque chose ne va pas. Les entités essentielles font l'objet d'une supervision proactive, ex ante : une autorité peut inspecter et exiger des preuves sans attendre un incident. Les entités importantes sont supervisées de manière réactive, ex post, ce qui signifie que l'examen suit généralement un incident ou une plainte crédible. Les plafonds de sanctions diffèrent également, et cet écart est la raison la plus souvent citée pour confirmer votre catégorie tôt.
| Dimension | Entités essentielles | Entités importantes |
|---|---|---|
| Modèle de supervision | Proactif (ex ante) : inspections et demandes de preuves à tout moment | Réactif (ex post) : déclenché par un incident ou une plainte |
| Amende administrative maximale | Au moins 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu | Au moins 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
| Obligations de sécurité (Article 21) | Les dix mesures s'appliquent | Les dix mesures s'appliquent (identique) |
| Calendrier de notification | 24h / 72h / 1 mois (identique) | 24h / 72h / 1 mois (identique) |
| Responsabilité de la direction | Explicite ; les organes peuvent être tenus responsables, les individus peuvent faire l'objet d'interdictions temporaires de direction | Explicite ; la responsabilité individuelle s'applique, les interdictions de direction sont généralement réservées aux entités essentielles |
Lisez le tableau comme le ferait un auditeur : les mesures et les délais ne sont négociables pour personne, donc la catégorie vous indique surtout quelle marge d'erreur vous avez avant que quelqu'un ne vienne enquêter. Les entités essentielles doivent partir du principe qu'une inspection peut survenir un mardi sans histoire. Les entités importantes doivent partir du principe que le premier vrai test sera un incident en direct, ce qui est le pire moment pour découvrir que vos preuves sont minces.
Les dix mesures de l'Article 21, et pourquoi ISO 27001 est la réponse habituelle
L'Article 21(2) liste dix catégories de mesures de gestion des risques de cybersécurité que chaque entité dans le périmètre doit mettre en œuvre, proportionnellement à son exposition au risque. La directive décrit des résultats, pas des contrôles, et c'est délibéré : elle vous dit ce qui doit être couvert et vous laisse le comment.
- Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information.
- Gestion des incidents (détection, réponse et obligations de notification ci-dessous).
- Continuité des activités, y compris la gestion des sauvegardes et la reprise après sinistre, et gestion de crise.
- Sécurité de la chaîne d'approvisionnement, couvrant la sécurité des relations avec les fournisseurs directs et les prestataires de services.
- Sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information, y compris le traitement et la divulgation des vulnérabilités.
- Politiques et procédures pour évaluer l'efficacité des mesures.
- Pratiques d'hygiène cyber de base et formation à la sécurité.
- Politiques et procédures relatives à la cryptographie et, le cas échéant, au chiffrement.
- Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs.
- Authentification multifacteur, communications sécurisées et communication d'urgence sécurisée le cas échéant.
Lisez cette liste à côté d'un ensemble de mesures de l'Annexe A et le recoupement est évident. C'est pourquoi, en pratique, la voie la plus courante vers une conformité démontrable est un système de management de la sécurité de l'information ISO 27001. NIS 2 nomme les résultats ; ISO 27001 vous donne le système de management, la discipline de traitement des risques et les preuves documentées qui se mappent sur neuf des dix catégories sans grande traduction. Vous n'avez pas strictement besoin d'un certificat pour satisfaire NIS 2, mais la structure d'un ISMS est le moyen le plus propre de produire les enregistrements qu'une autorité attend.
La manière la plus rapide pour une équipe d'intégrer à la fois l'obligation et la construction est de coupler la vision réglementaire avec la vision de mise en œuvre : le cours NIS 2 Directive Lead Implementer pour le programme lui-même, et le cours ISO 27001 Lead Implementer pour établir l'ISMS qui porte l'essentiel du poids de l'Article 21.
Le compte à rebours de notification : 24 heures, 72 heures, un mois
L'obligation de notification se déclenche en cas d'incident important, c'est-à-dire un incident qui a causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière, ou qui a affecté d'autres parties par un dommage matériel ou immatériel considérable. Le compte à rebours se déroule ensuite en trois étapes vers votre CSIRT national ou votre autorité compétente.
- 24 heures : une alerte précoce. Indiquez si vous soupçonnez que l'incident est illicite ou malveillant et s'il pourrait avoir un impact transfrontalier. C'est un signalement, pas un rapport forensique.
- 72 heures : une notification d'incident. Mettez à jour l'alerte précoce avec une évaluation initiale, incluant la gravité, l'impact et tout indicateur de compromission dont vous disposez.
- Un mois : un rapport final. Un compte rendu complet de l'incident, sa cause profonde probable, l'atténuation appliquée et tout impact transfrontalier. Si l'incident est toujours en cours à un mois, vous fournissez un rapport d'avancement et un rapport final à sa clôture.
Les délais semblent généreux jusqu'à ce que vous les confrontiez à un incident réel. L'alerte de 24 heures tombe alors que vous êtes encore en train de confirmer ce qui s'est passé, donc le processus doit être défini à l'avance : qui décide qu'un incident est « important », qui rédige l'alerte précoce, qui a l'autorité pour la déposer, et vers quel portail ou contact elle est envoyée dans chaque État membre où vous opérez. Répétez-le. Un exercice sur table qui se termine par une alerte précoce rédigée contre la montre vaut plus que n'importe quel document de politique sur la notification.
Responsabilité de la direction et erreurs qui apparaissent dans la salle d'audit
NIS 2 fait remonter la responsabilité. Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et suivre une formation afin de pouvoir identifier les risques eux-mêmes. La non-conformité peut être imputée à des individus nommément désignés, et pour les entités essentielles, les autorités peuvent imposer des interdictions temporaires aux individus exerçant des fonctions de direction. Le conseil d'administration est engagé, et « le RSSI s'occupe de la sécurité » n'est plus une réponse complète face à un régulateur.
Les échecs récurrents que nous observons sont rarement exotiques. Ils sont prévisibles, et ils sont évitables :
- Traiter la transposition comme uniforme. La directive est transposée en droit national et le calendrier, les seuils, les obligations d'enregistrement et les portails de notification varient selon les pays. Vérifiez l'autorité nationale de chaque État membre où vous opérez avant de supposer que le texte de l'UE s'applique tel quel.
- Ignorer l'obligation d'enregistrement et d'auto-identification. De nombreux États membres exigent que les entités dans le périmètre s'enregistrent auprès de l'autorité compétente. Être dans le périmètre et non enregistré constitue un constat à part entière, distinct de toute lacune de sécurité.
- Sous-investir dans la sécurité de la chaîne d'approvisionnement. C'est l'une des dix mesures, et c'est là que les plus grandes entités sont les plus exposées. Un processus de risque fournisseur léger est une faiblesse visible.
- Confondre catégories et obligations. Les entités importantes supposent parfois qu'une supervision plus légère signifie des obligations plus légères. Ce n'est pas le cas : les mêmes mesures et le même compte à rebours de notification s'appliquent.
- Pas de processus de notification répété. L'alerte de 24 heures est l'obligation la plus souvent manquée, parce que personne n'a pris la décision ni rédigé le brouillon jusqu'à ce que l'incident l'impose.
Si votre équipe a besoin de se repérer sur le périmètre, les catégories et les obligations avant de s'engager dans une construction, le cours NIS 2 Directive Foundation est le bon point de départ ; passez aux parcours Lead Implementer et ISO 27001 une fois que vous cadrez le programme lui-même.
NIS 2 interagit avec d'autres régimes de l'UE (DORA régit la résilience opérationnelle du secteur financier et y prévaut généralement en tant que règle plus spécifique ; le règlement sur l'IA ajoute ses propres obligations pour les systèmes d'IA), donc confirmez quel régime est chef de file pour une obligation donnée plutôt que de notifier le même incident deux fois ou, pire, pas du tout. En cas de doute, la posture sûre est celle que la directive elle-même récompense : des décisions documentées, un mapping de contrôles maintenu et un processus de notification que vous avez éprouvé avant d'en avoir besoin.
Frequently asked questions
01Suis-je dans le périmètre de NIS 2 ?
Deux filtres : le secteur et la taille. Vous devez relever de l'un des 18 secteurs listés (énergie, transports, finance, santé, infrastructure numérique, administration publique, espace, alimentation, produits chimiques, services postaux, fabrication de produits critiques, recherche, gestion des déchets, et quelques autres). Et vous devez atteindre le seuil de taille : 50+ employés ou 10 millions d'euros de chiffre d'affaires annuel. En deçà, vous êtes hors périmètre par défaut, avec des exceptions nationales pour les entités critiques de toute taille.
Deux catégories dans le périmètre : les entités essentielles (énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC B2B, administration publique, espace) font l'objet d'une supervision plus lourde et de sanctions plus élevées. Les entités importantes (postal, déchets, produits chimiques, alimentation, fabrication, fournisseurs numériques, recherche) font l'objet d'une supervision plus légère mais des mêmes obligations de sécurité.
02Quelles sont les dix mesures de l'Article 21 ?
L'Article 21(2) liste dix mesures de gestion des risques de cybersécurité : (a) politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information ; (b) gestion des incidents ; (c) continuité des activités et gestion de crise ; (d) sécurité de la chaîne d'approvisionnement ; (e) sécurité de l'acquisition, du développement et de la maintenance ; (f) politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité ; (g) hygiène cyber de base et formation à la cybersécurité ; (h) politiques relatives à la cryptographie et au chiffrement ; (i) sécurité des ressources humaines, contrôle d'accès et gestion des actifs ; (j) l'utilisation de l'authentification multifacteur, de communications voix/vidéo/texte sécurisées et de systèmes de communication d'urgence sécurisés.
La directive ne dit pas comment mettre en œuvre chacune. ISO 27001 se mappe proprement sur les dix ; NIST CSF et CIS Controls en couvrent la plupart. Choisissez un référentiel, documentez le mapping, et l'autorité de supervision est satisfaite.
03Quel est le calendrier de notification d'incident ?
En cas d'incident important, trois échéances : alerte précoce sous 24 heures (évaluation initiale, indiquant si l'incident est soupçonné d'être causé par des actes illicites ou malveillants, impact transfrontalier potentiel) ; notification sous 72 heures (évaluation plus large, indicateurs de compromission) ; rapport final à un mois (description détaillée de l'incident, gravité, impact, mesures d'atténuation prises, analyse des causes profondes lorsqu'elle est disponible).
Un incident important est un incident qui a causé ou est susceptible de causer une perturbation opérationnelle grave ou des pertes financières, ou qui affecte d'autres parties en causant un dommage matériel ou immatériel considérable. Les seuils sont précisés par les autorités nationales ; vérifiez les vôtres.
04Quelles sont les sanctions ?
Les entités essentielles encourent des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les entités importantes encourent jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Les autorités nationales peuvent également imposer des sanctions non financières : injonctions de mise en conformité, divulgation publique de la non-conformité, interdictions temporaires pour les personnes exerçant des fonctions de direction.
Les sanctions ne sont pas le seul vecteur d'application. Le dialogue de supervision, les audits et les injonctions d'effectuer une action corrective spécifique se situent tous en deçà du seuil de l'amende et sont plus fréquents en pratique.
05Comment NIS 2 interagit-elle avec DORA et le règlement sur l'IA ?
Pour les entités financières, DORA est lex specialis sur les sujets TIC : là où DORA s'applique, elle prévaut sur NIS 2 pour les dispositions liées aux TIC. Les entités financières appliquent toujours NIS 2 pour les sujets non TIC couverts par la directive.
Le règlement sur l'IA est parallèle : il régit les systèmes d'IA, pas les programmes de cybersécurité. Si vous exploitez des systèmes d'IA à haut risque dans un secteur critique, vous êtes soumis aux deux : NIS 2 pour le socle de cybersécurité, le règlement sur l'IA pour le travail de conformité de l'IA.


