Directive NIS 2
directive de l'Union européenne portant sur la cybersécurité
From Wikipedia, the free encyclopedia
La directive NIS 2 (Network and Information Security 2) ou directive (UE) 2022/2555 est une directive de l'Union européenne visant à renforcer la cybersécurité des infrastructures critiques et des services essentiels dans l'Union européenne. Adoptée le 14 décembre 2022 et publiée au Journal officiel de l'Union européenne le 27 décembre 2022[1], elle remplace la directive NIS 1 de 2016 en élargissant significativement son champ d'application.
Cet article est une ébauche concernant l’Union européenne et l’informatique.
| Directive (UE) 2022/2555 | |
|---|---|
| Type | Directive de l'Union européenne |
| Adoption | |
| Publication | |
| Transposition | |
| Application | |
| Domaine | Cybersécurité, Infrastructure critique |
| Remplace | Directive NIS 1 (2016/1148) |
| Texte intégral | EUR-Lex |
La directive impose aux États membres de l'Union européenne une transposition dans leur droit national avant le 17 octobre 2024, pour une application effective à partir du 18 octobre 2024[2]. Elle introduit des obligations renforcées en matière de gestion des risques de cybersécurité, de notification des incidents et de responsabilité des dirigeants[3].
Contexte et objectifs
Continuité de la directive NIS 1
La directive NIS 2 s'inscrit dans la continuité de la première directive NIS (directive (UE) 2016/1148) adoptée en 2016, qui constituait le premier texte législatif européen en matière de cybersécurité[4]. La directive NIS 1 visait principalement à protéger les opérateurs de services essentiels dans des secteurs limités (énergie, transport, santé, services bancaires)[5].
L'expérience de mise en œuvre de NIS 1 a révélé plusieurs limites : un périmètre trop restreint, des obligations inégalement appliquées selon les États membres, et des sanctions insuffisamment dissuasives[6]. NIS 2 répond à ces lacunes en proposant un cadre harmonisé et renforcé.
Élargissement du périmètre
La directive NIS 2 élargit considérablement son champ d'application en ciblant 18 secteurs d'activité contre 7 pour NIS 1[3]. L'ANSSI indique que la directive s'appliquera à des milliers d'entités appartenant à plus de dix-huit secteurs, concernant environ 600 types d'entités différentes, allant des PME aux groupes du CAC 40[7]. Elle intègre désormais les petites et moyennes entreprises, les collectivités territoriales et les administrations publiques, reconnaissant ainsi que la cybersécurité ne concerne plus seulement les grandes infrastructures critiques[2].
Accent sur la cybersécurité industrielle
La directive accorde une attention particulière à la cybersécurité des systèmes industriels, notamment les technologies opérationnelles (OT), les systèmes de contrôle industriel (ICS) et l'Internet des objets (IoT)[8]. Elle s'appuie sur des référentiels reconnus comme la norme IEC 62443 pour la cybersécurité des systèmes d'automatisation et de contrôle industriel, standard international de référence pour la sécurité des environnements OT[9].
Champ d'application
Secteurs concernés
La directive NIS 2 identifie 18 secteurs répartis en deux catégories[2],[10] :
Secteurs hautement critiques : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, gestion des services TIC, administrations publiques, espace.
Autres secteurs critiques : services postaux et d'expédition, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution de denrées alimentaires, industrie manufacturière, fournisseurs numériques, recherche.
Typologie des entités
La directive distingue deux catégories d'entités selon leur taille et leur criticité[6],[11] :
Les entités essentielles comprennent les organisations d'au moins 250 salariés ou affichant un chiffre d'affaires annuel supérieur à 50 millions d'euros et un bilan annuel supérieur à 43 millions d'euros.
Les entités importantes regroupent les organisations qui ne sont pas des entités essentielles et qui emploient au moins 50 salariés ou affichent un chiffre d'affaires et un bilan annuel supérieurs à 10 millions d'euros.
Critères d'applicabilité
Une organisation est susceptible d'être concernée par NIS 2 si elle remplit simultanément trois critères : employer plus de 50 salariés, réaliser un chiffre d'affaires supérieur à 10 millions d'euros, et intervenir dans l'un des 18 secteurs couverts par la directive[12].
Principales obligations
Approche systémique de la cybersécurité
NIS 2 impose une approche systémique de la cybersécurité inspirée des référentiels ISO/IEC 27001 et IEC 62443[13]. Les entités doivent mettre en place un cadre de gestion des risques qui s'apparente à un système de management de la sécurité de l'information (SMSI), intégrant une gestion du risque systématique, évaluée périodiquement et impliquant les parties prenantes internes et externes[14].
Gouvernance
La directive impose plusieurs exigences en matière de gouvernance[6],[15] :
- nomination d'un responsable de la cybersécurité (RSSI ou équivalent) ;
- implication obligatoire de la direction générale dans la validation des politiques de sécurité ;
- responsabilité personnelle des dirigeants, qui peuvent être sanctionnés directement en cas de manquement.
Gestion des risques
Les entités doivent réaliser un inventaire exhaustif de leurs actifs, mettre en place une segmentation réseau pour séparer les environnements IT et OT, et établir un processus de gestion des correctifs[11]. Pour les environnements industriels spécifiquement, les entités doivent adapter leurs approches aux contraintes opérationnelles des systèmes OT, notamment en matière d'inventaire des actifs industriels et de gestion des vulnérabilités[9].
Gestion de la chaîne d'approvisionnement
La directive introduit des obligations renforcées concernant la sécurité de la chaîne d'approvisionnement[1]. Les entités doivent établir une politique de sécurité de la chaîne d'approvisionnement, intégrer des clauses de cybersécurité dans les contrats avec les fournisseurs, et réaliser des évaluations et audits continus des fournisseurs critiques[6].
Notification des incidents
L'une des obligations majeures de NIS 2 concerne la notification rapide des incidents de cybersécurité aux autorités compétentes[2],[16] :
- notification préliminaire dans les 24 heures suivant la découverte de l'incident ;
- notification détaillée sous 72 heures ;
- rapport final attendu dans un délai d'un mois.
Sanctions
La directive NIS 2 prévoit un régime de sanctions beaucoup plus dissuasif que sa version précédente[2],[16].
Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Pour les entités importantes, les amendes peuvent atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
La directive introduit également la responsabilité personnelle des dirigeants, qui peuvent faire l'objet d'interdictions d'exercer ou de poursuites civiles et pénales[6]. Cette disposition élève la cybersécurité au rang d'enjeu stratégique pour les conseils d'administration.
Transposition en droit national
Calendrier
Les États membres devaient transposer la directive dans leur droit national avant le 17 octobre 2024[2]. Malgré cette échéance, de nombreux pays ont pris du retard dans ce processus. En novembre 2024, la Commission européenne a ouvert des procédures d'infraction contre 23 États membres[17]. En mai 2025, la Commission a envoyé un avis motivé à 19 États membres pour transposition incomplète[18].
Transposition en France
En France, l'ANSSI pilote la transposition de la directive et assure sa mise en œuvre[7]. Un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été présenté pour transposer NIS 2 dans le droit français[19]. Le projet de loi a été présenté en Conseil des ministres en octobre 2024 et suit le parcours parlementaire[20].
L'ANSSI a mis en place un simulateur en ligne permettant aux organisations de déterminer si elles entrent dans le champ d'application de la directive[12]. L'agence accorde un délai de trois ans aux entreprises pour atteindre la conformité totale, bien que certaines obligations devront être respectées avant cette échéance[21].
En février 2026, le retard pris par la transposition en droit français de cette directive est analysé, selon certains, comme dû à l'article 16bis introduit par le Sénat. Cet article interdit l'affaiblissement volontaire des dispositifs de chiffrement de bout en bout par l'ajout de portes dérobées[22].
Articulation avec d'autres réglementations
La directive NIS 2 s'inscrit dans un écosystème réglementaire européen en matière de cybersécurité et doit être articulée avec d'autres textes[6] :
- Le Cyber Resilience Act (CRA), qui établit des exigences de cybersécurité pour les produits comportant des éléments numériques ;
- Le Règlement général sur la protection des données (RGPD), qui régit la protection des données personnelles ;
- Le Digital Operational Resilience Act (DORA), spécifique au secteur financier ;
- La directive européenne sur la résilience des entités critiques (CER).
Réception
La directive a été globalement bien accueillie par les experts en cybersécurité, qui reconnaissent la nécessité d'un cadre européen harmonisé et renforcé face à l'augmentation des cybermenaces[23].
Cependant, certaines organisations professionnelles ont exprimé des préoccupations concernant la complexité de mise en œuvre pour les PME, le coût de la conformité, et les délais de transposition jugés parfois courts[24].
