Qu’est-ce que la directive NIS 2 et comment s’y préparer ?

La directive révisée de l’UE sur la sécurité des réseaux et de l’information, baptisée directive NIS 2, est entrée en vigueur en janvier 2023. Les États membres ont jusqu’au 17 octobre 2024 pour la transposer dans leur législation nationale. Qu’est-ce que cela signifie et comment s’y préparer ?

Le sujet d’aujourd’hui est la directive NIS 2, qui vise à améliorer la cyberrésilience des infrastructures critiques et des entités essentielles et importantes. Au sein de l’UE, la directive NIS 2 devrait faire pour la sécurité de l’information ce que le RGPD a fait pour la confidentialité des données des utilisateurs.

La transposition de cette nouvelle directive dans les législations nationales ne saurait tarder, si bien que si votre entreprise n’est pas encore prête, il est temps de prendre les mesures appropriées.

Qu’est-ce que la directive NIS 2 ?

La directive révisée sur la sécurité des réseaux et de l’information (directive NIS 2) définit la législation européenne en matière de cybersécurité. La directive NIS 2 met à jour et complète la directive NIS originale, adoptée en 2016, et crée un cadre juridique pour améliorer le niveau général de cybersécurité à travers l’UE.

La directive révisée NIS 2 se concentre sur trois points principaux :

  • Extension de son champ d’application: aux sept secteurs déjà couverts par la directive NIS originale s’ajoute un certain nombre de nouveaux secteurs.
  • Nouveaux mécanismes pour les rapports d’incidents et pour le partage d’informations: la directive NIS 2 impose la notification en temps opportun des incidents significatifs.
  • Renforcement de la lutte contre la non-conformité: la directive révisée NIS 2 introduit des sanctions particulières en cas de non-conformité, notamment des amendes pouvant atteindre 2 % du chiffre d’affaires mondial annuel.

À quelles organisations s’applique la directive NIS 2 ?

Comme indiqué précédemment, la directive révisée élargit considérablement son champ d’application par rapport à la version originale de 2016. Par ailleurs, la directive NIS 2 introduit une classification qui répartit les secteurs couverts en deux catégories :

  • Secteurs hautement critiques (annexe I) :
    • Énergie (électricité, chauffage et rafraîchissement urbains, gaz, hydrogène, pétrole)
    • Transports (aérien, ferroviaire, maritime, routier)
    • Banque
    • Infrastructure des marchés financiers
    • Santé
    • Eau potable
    • Eaux usées
    • Infrastructure numérique
    • Gestion des services TIC (MSP, MSSP)
    • Entités de l’administration publique
    • Espace
  • Autres secteurs critiques (annexe II) :
    • Services postaux et de courrier
    • Gestion des déchets
    • Fabrication, production et distribution de produits chimiques
    • Production, traitement et distribution de denrées alimentaires
    • Industrie manufacturière (dispositifs médicaux, produits informatiques, électroniques ou optiques, matériel électrique, machines, véhicules à moteur, autre matériel de transport)
    • Fournisseurs de services numériques
    • L’étude

En plus de la classification des secteurs, la directive NIS 2 introduit une classification complémentaire d’entités particulières. Ces entités sont également réparties en deux catégories :

  • Essentielles (article 3.1) :
    • Grandes entités (chiffre d’affaires annuel supérieur à 50 millions d’euros) dans les secteurs hautement critiques
    • Autorités de certification, bureaux d’enregistrement de domaines de haut niveau et fournisseurs DNS, quelle que soit la taille de l’entreprise
    • Fournisseurs de télécommunications, à partir d’une taille moyenne (chiffre d’affaires supérieur à 10 millions d’euros)
    • Institutions de l’administration publique
    • Toute entité appartenant à un secteur hautement critique ou à tout autre secteur critique et définie comme essentielle par un État membre de l’UE
    • Entités critiques au sens de la directive (UE) 2022/2557
  • Importantes (article 3.2) :
    • Entités de taille moyenne (chiffre d’affaires annuel entre 10 et 50 millions d’euros) dans les secteurs hautement critiques
    • Moyennes et grandes entités dans d’autres secteurs critiques
    • Toute entité définie comme importante par un État membre de l’UE

La catégorie à laquelle appartient une entité entraîne des implications pratiques significatives. Les activités des entités classées comme essentielles sont soumises à une surveillance beaucoup plus stricte et proactive, y compris des inspections aléatoires, des contrôles de sécurité spéciaux et des demandes de preuves de conformité. En cas de non-conformité à la directive NIS 2, les entités essentielles peuvent se voir infliger une amende pouvant atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel mondial.

Les entités classées comme importantes peuvent quant à elles respirer un peu plus, car elles sont soumises à des contrôles moins stricts. Pour les entités importantes, les sanctions sont un peu plus raisonnables, puisqu’elles peuvent atteindre 7 millions d’euros ou 1,4 % de leur chiffre d’affaires annuel mondial.

Chronologie de la directive NIS 2

Notez que, contrairement au RGPD, la directive NIS 2 est une directive, et non un règlement de l’Union européenne. Dans ce cas-là, les États membres de l’UE sont légalement tenus de modifier leur législation nationale dans un délai donné. Dans le cas de la directive NIS 2, l’échéance est fixée au 17 octobre 2024.

En outre, les États membres de l’UE devront dresser des listes d’entités essentielles et importantes soumises à la directive NIS 2 d’ici le 17 avril 2025.

À ce stade, il apparaît utile de revenir sur la chronologie des principales étapes de la directive NIS 2 :

  • 6 juillet 2016 : adoption de la directive (UE) 2016/1148, soit la directive NIS originale
  • 9 mai 2018 : date limite accordée aux États membres de l’UE pour transposer la directive NIS dans leur législation nationale
  • 7 juillet 2020 : ouverture des consultations de la Commission européenne (CE) sur la révision de la directive NIS
  • 16 décembre 2020 : publication de la proposition pour la directive NIS 2 par la CE
  • 13 mai 2022 : vote du Parlement européen sur l’adoption de la directive NIS 2
  • 10 novembre 2022 : approbation de la directive NIS 2 par le Conseil de l’UE
  • 14 décembre 2022 : publication de la directive NIS 2 au Journal officiel de l’UE sous le titre Directive (UE) 2022/2555
  • 16 janvier 2023 : entrée en vigueur de la directive NIS 2
  • 17 octobre 2024 : date limite accordée aux États membres de l’UE pour transposer la directive NIS 2 dans leur législation nationale
  • 17 avril 2025 : date limite accordée aux États membres de l’UE pour dresser leurs listes d’entités essentielles et importantes. Par la suite, ces listes doivent être mises à jour régulièrement, au moins tous les deux ans.
  • 17 octobre 2027 : révision de la directive NIS 2

Comment vous préparer à la mise en œuvre de la directive NIS 2 ?

  • Déterminez si les exigences de la directive NIS 2 s’appliquent à votre entreprise, et dans quelle mesure.
  • Enquêtez sur la manière dont la directive NIS a été transposée dans la législation nationale de votre État membre de l’UE.
  • Suivez les recommandations des autorités nationales de cybersécurité.
  • Développez et évaluez des mesures techniques, opérationnelles et organisationnelles en lien avec la gestion des réseaux et des systèmes d’information et avec les risques pour la sécurité.

De plus amples informations sur la directive révisée de l’UE sur la sécurité des réseaux et de l’information et sur la manière dont les entreprises peuvent se préparer à son entrée en vigueur sont disponibles sur notre site dédié à la directive NIS 2.

Conseils