La directive européenne NIS 2 (2022/2555) vise à renforcer la cybersécurité dans toute l’Union en imposant des règles communes aux organisations jugées « critiques ». Elle remplace l’ancienne directive NIS 1 à compter du 18 octobre 2024 et élargit très fortement le nombre d’acteurs concernés, en visant désormais les « entités essentielles » et les « entités importantes », principalement selon le secteur d’activité (18 secteurs critiques ou hautement critiques) et la taille (seuils de 50 et 250 salariés et de 10 et 50 M€ de chiffre d’affaires ou de bilan).
Toute entité publique ou privée entrant dans ces secteurs et dépassant ces seuils est en principe soumise à NIS 2, avec la possibilité, pour certaines activités particulièrement sensibles, d’être qualifiée « essentielle » même en‑dessous des seuils.
Les entités assujetties doivent mettre en place des mesures de gestion des risques en matière de cybersécurité (politique de sécurité, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, contrôle d’accès, formation, etc.) et notifier sans délai les incidents importants ou susceptibles de causer de graves perturbations ou dommages à un CSIRT/à l’ANSSI.
Les États doivent recenser et notifier à la Commission la liste des entités concernées, contrôler leur niveau de sécurité et peuvent adopter des exigences plus strictes que le minimum prévu par la directive.
En France, la transposition en cours doit aboutir en 2025 : l’ANSSI sera l’interlocuteur central, avec des obligations de déclaration, de mise en conformité progressive (délai d’environ trois ans envisagé) et un régime de contrôle et de sanctions administratives aligné sur la directive (jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes).
Pour une entreprise, l’enjeu pratique est de vérifier si elle entre dans le champ (secteur + taille), puis d’anticiper : cartographie des risques cyber, politique de sécurité, procédures de gestion de crise et d’alerte, et préparation aux contrôles et notifications.
Commentaires récents