NIS 2 : Pour Qui ? Mais surtout pour Quand ?

La directive européenne NIS 2 (Network and Information Security), adoptée en décembre 2022, vise à renforcer la cybersécurité au sein de l’Union européenne en élargissant le champ d’application de la première directive NIS de 2016. Elle impose des obligations accrues à un plus grand nombre d’entreprises et d’organisations, y compris en France, afin de garantir un niveau élevé de sécurité des réseaux et des systèmes d’information.

Catégorisation des entités

La directive introduit deux nouvelles catégories d’entités :

  • Entités essentielles EE: grandes entreprises de plus de 250 employés ou réalisant un chiffre d’affaires supérieur à 50 millions d’euros, opérant dans les secteurs hautement critiques.
  • Entités importantes EI : entreprises de taille moyenne, comptant entre 50 et 250 employés et un chiffre d’affaires compris entre 10 et 50 millions d’euros, actives dans les autres secteurs critiques.

Cette classification permet d’adapter les obligations en fonction de la taille et de l’importance de l’entité concernée, a quelques exceptions près.

Champ d’application élargi

La directive NIS 2 s’applique désormais à un éventail plus large de secteurs considérés comme critiques ou importants pour la société et l’économie. Ces secteurs sont répartis en deux catégories :

  1. Secteurs hautement critiques, impactant principalement les EE :
    • Énergie
    • Transports
    • Secteur bancaire
    • Infrastructures des marchés financiers
    • Santé
    • Eau potable
    • Eaux usées
    • Infrastructures numériques
    • Gestion des services TIC
    • Administration publique
    • Espace
  2. Autres secteurs critiques, impactant principalement les EI :
    • Services postaux et de messagerie
    • Gestion des déchets
    • Industrie chimique
    • Production, transformation et distribution de denrées alimentaires
    • Fabrication
    • Fournisseurs de services numériques
    • Recherche

Cette extension signifie que de nombreuses entreprises françaises, auparavant non concernées, doivent désormais se conformer aux exigences de la directive. Selon certaines estimations, le nombre d’entreprises concernées en France pourrait passer d’environ 300 à 20 000 ou plus.

Soyons proactif ! : Revue des obligations pour les entreprises

Les entreprises concernées par la directive NIS 2 doivent mettre en place plusieurs mesures pour renforcer leur cybersécurité :

  1. Mesures de sécurité : adopter des politiques de gestion des risques, des protocoles de réponse aux incidents et des formations pour le personnel.
  2. Gestion des incidents : établir des procédures pour détecter, gérer et signaler les incidents de sécurité aux autorités compétentes.
  3. Continuité des activités : assurer la résilience des systèmes d’information pour maintenir les services essentiels en cas d’incident.
  4. Sécurité des chaînes d’approvisionnement : évaluer et gérer les risques liés aux fournisseurs et aux partenaires.
  5. Signalement des incidents : notifier aux autorités nationales désignées les incidents de sécurité ayant un impact significatif et fournir des rapports sur l’évolution de la situation.

Le non-respect de ces obligations peut entraîner des sanctions significatives, notamment des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités importantes. Au delà de l’entreprise, la responsabilité des dirigeants est engagée en cas de manquement aux obligations.

C’est pour quand ? : Mise en œuvre en France

Fin 2024, seul 3 pays sur 27 ont d’ores-et-déjà transposé la directive NIS 2. Par obligation, la France a débuté le processus de transposition en octobre 2024 et elle devrait donc être finalisée “dans les prochains mois”. Sans date exacte sur son application, difficile donc de se projeter à très court terme.

Pourtant, compte tenu des sanctions encourues, il est primordial pour les entreprises et leurs dirigeants d’auditer leur posture de résilience, afin d’établir une feuille de route dès aujourd’hui.

Cela n’est plus un sujet technique pour les DSI, mais un sujet stratégique pour les entreprises et leur chaîne de valeur. Car si une grande entreprise souhaite se protéger, et devra surement inciter ses partenaires à en faire de même.

Il y a un peu de chemin à parcourir, alors n’attendez pas le dernier moment.

Le gouvernement a mis à disposition un test en ligne, afin de déterminer si votre entité est concernée: https://monespacenis2.cyber.gouv.fr/

Contactez-nous pour être conseillé dans votre démarche de mise aux normes NIS 2.

Share This Post

More To Explore
Announcement

CREST Certification for our SOC

REST Solution achieves CREST Certification for Security Operations Center (SOC) We are proud to announce that our Security Operations Center (SOC) is now officially certified

August 1, 2025
Insights & Blogs

SASE to mordenize and simplify enterprise networking

Understand SASE SASE (Secure Access Service Edge) is a cloud-based network security architecture that integrates networking and security functions into a unified service. Introduced by

June 30, 2025