Chapitres 08 En vigueur: 18 octobre 2024

Directive NIS2

Directive sur la sécurité des réseaux et des systèmes d'information

Vue d'ensemble

La NIS2 remplace et étend considérablement la directive NIS originale, établissant un niveau commun élevé de cybersécurité à travers l'UE. Elle s'applique à un éventail beaucoup plus large de secteurs et d'entités, introduit des mesures de supervision plus strictes et harmonise les sanctions entre les États membres.[1]

En tant que directive, la NIS2 devait être transposée en droit national avant le 17 octobre 2024. La mise en œuvre varie selon les États membres.

Champ d'application : Entités essentielles vs importantes

Entités essentielles (surveillance renforcée)[2]

SecteurExemples
ÉnergieÉlectricité, pétrole, gaz, hydrogène, chauffage urbain
TransportAir, rail, eau, route
BanqueInstitutions de crédit
Marchés financiersPlaces de marché, contreparties centrales
SantéFournisseurs de soins, laboratoires, pharma, dispositifs médicaux
Eau potableFournisseurs d'eau
Eaux uséesTraitement des eaux usées
Infrastructure numériqueIXP, DNS, registres TLD, cloud, centres de données, CDN, TSP
Gestion des services TICFournisseurs de services gérés, fournisseurs de services de sécurité gérés
Administration publiqueEntités gouvernementales centrales
EspaceOpérateurs d'infrastructures terrestres

Entités importantes (surveillance allégée)

SecteurExemples
Services postauxServices postaux et de messagerie
Gestion des déchetsCollecte et traitement des déchets
Produits chimiquesFabrication et distribution
AlimentationProduction et distribution
FabricationDispositifs médicaux, électronique, machines, véhicules
Fournisseurs numériquesPlaces de marché en ligne, moteurs de recherche, réseaux sociaux
RechercheOrganismes de recherche

Seuils de taille

La NIS2 s'applique généralement aux entités de taille moyenne et grande :

  • Moyenne : 50+ employés OU chiffre d'affaires/bilan ≥ 10 M€
  • Grande : 250+ employés OU chiffre d'affaires ≥ 50 M€ OU bilan ≥ 43 M€

Certaines entités s'appliquent indépendamment de la taille (DNS, registres TLD, fournisseurs cloud, centres de données, etc.).

Exigences clés

Mesures de gestion des risques (Article 21)[3]

Les entités doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées :

  1. Politiques : Analyse des risques et politiques de sécurité des systèmes d'information
  2. Gestion des incidents : Procédures de détection, réponse et récupération
  3. Continuité d'activité : Sauvegarde, reprise après sinistre, gestion de crise
  4. Sécurité de la chaîne d'approvisionnement : Exigences de sécurité pour les fournisseurs
  5. Sécurité réseau : Sécurité lors de l'acquisition, du développement et de la maintenance
  6. Évaluation de l'efficacité : Politiques pour évaluer l'efficacité des mesures de sécurité
  7. Hygiène cyber de base : Programmes de formation et de sensibilisation
  8. Cryptographie : Politiques sur les contrôles cryptographiques et le chiffrement
  9. Ressources humaines : Sécurité du personnel et contrôles d'accès
  10. Authentification multifactorielle : MFA et systèmes de communication sécurisés

Notification des incidents (Article 23)[4]

DélaiExigence
24 heuresAlerte précoce au CSIRT/autorité compétente
72 heuresNotification de l'incident avec évaluation initiale
1 moisRapport final avec cause racine et mesures d'atténuation

Les incidents significatifs doivent être signalés s'ils causent ou peuvent causer une perturbation opérationnelle grave ou une perte financière, ou affecter d'autres personnes physiques ou morales.

Responsabilité de la direction

Les organes de direction doivent :

  • Approuver les mesures de gestion des risques en cybersécurité
  • Superviser la mise en œuvre des mesures de sécurité
  • Être personnellement responsables en cas de non-conformité
  • Suivre une formation en cybersécurité

Sanctions

  • Entités essentielles : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial
  • Entités importantes : Jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial[5]

Les États membres peuvent imposer des sanctions supplémentaires, y compris des interdictions temporaires de gestion.

Obligations des développeurs et fournisseurs de services TIC

Si vous fournissez des services ou produits TIC :

  1. Fournisseurs de services gérés : Directement concernés en tant qu'entités essentielles
  2. Fournisseurs cloud : Directement concernés en tant qu'entités essentielles
  3. Développeurs de logiciels : Obligations dans la chaîne d'approvisionnement des entités clientes
  4. Fournisseurs de sécurité : Peuvent être désignés comme entités importantes

Sources & Références

[1]
Directive (UE) 2022/2555 sur un niveau commun élevé de cybersécurité. EUR-Lex : Texte officiel NIS2
[2]
Annexes I et II de la NIS2 : secteurs des entités essentielles et importantes. NIS2-Directive.com : Secteurs
[3]
Article 21 de la NIS2 : mesures de gestion des risques en cybersécurité. NIS2-Directive.com : Article 21
[4]
Article 23 de la NIS2 : obligations de notification des incidents. NIS2-Directive.com : Article 23
[5]
Article 34 de la NIS2 : amendes administratives. NIS2-Directive.com : Article 34