La directive européenne NIS2, adoptée en janvier 2023, marque une avancée majeure dans la régulation de la cybersécurité. Elle impose de nouvelles obligations à un plus grand nombre d’entités pour renforcer leur niveau de protection face à l’évolution des cybermenaces.
Évolution de NIS1 vers NIS2
| Aspect | NIS1 | NIS2 |
|---|---|---|
| Année d’adoption | 2016 | 2023 |
| Objectif principal | Renforcer la sécurité des réseaux et systèmes d’information | Élever le niveau de maturité cyber dans toute l’UE |
| Champ d’application | Limité à quelques secteurs essentiels (santé, énergie, transport, etc.) | Étendu à 35 secteurs incluant les télécoms, services postaux, social media, spatial, etc. |
| Taille des entités concernées | Grandes entreprises et OSE | Entités de plus de 50 salariés et 10 M€ CA dans les secteurs critiques |
| Approche de catégorisation | Uniforme | Différenciée : entités essentielles vs importantes |
| Sanctions | Peu de détails | Sanctions renforcées : amendes, obligations de remédiation, responsabilité managériale |
| Inclusion des sous-traitants | Non spécifié | Oui, via le volet Supply Chain |
NIS2 vs DORA : Deux Régulations Complémentaires
| Critère | NIS2 | DORA (Digital Operational Resilience Act) |
|---|---|---|
| Type | Directive (transposition nationale obligatoire) | Règlement (application directe dans tous les États membres) |
| Entrée en vigueur | À transposer avant le 17 octobre 2024 | En application dès janvier 2025 |
| Secteurs concernés | 35 secteurs critiques dont santé, eau, énergie, spatial, etc. | Uniquement le secteur financier (banques, assurances, fintechs, prestataires de services IT) |
| Objectif | Maturité cyber à l’échelle européenne | Résilience opérationnelle numérique dans la finance |
| Supervision nationale | ANSSI | ACPR, AMF, ESMA, EBA, etc. |
Concepts Clés
- Entités Essentielles vs Entités Importantes (NIS2)
- DORA ne distingue pas les entités
| Type | Définition |
|---|---|
| Entités Essentielles | Organisations dont le dysfonctionnement aurait un impact systémique. |
| Entités Importantes | Entreprises moins critiques mais toujours vulnérables à des cyberattaques. |
Inclusion des Sous-Traitants : la Supply Chain Cyber
- Les attaques de type Supply Chain ont montré que la cybersécurité d’un prestataire peut affecter des milliers d’autres entreprises.
- NIS2 impose une vigilance renforcée sur les prestataires et fournisseurs avec des obligations contractuelles précises.
Calendrier de Mise en Œuvre
| Étape | Date |
|---|---|
| Adoption par l’UE | Novembre 2022 |
| Publication au JOUE* | Décembre 2022 |
| Période de transposition par les États membres | Jusqu’au 17 octobre 2024 |
| Mise en application | Après transposition nationale |
Comment se Préparer à NIS2 ?
Étapes recommandées :
- Identifier si l’entreprise est concernée : > 50 salariés + > 10 M€ de CA dans un secteur critique.
- Faire un audit de maturité cybersécurité.
- Cartographier ses risques (internes + partenaires/sous-traitants).
- Mettre à jour les politiques SSI, PRA/PCA, Gestion des vulnérabilités.
- Former les collaborateurs (sensibilisation au phishing, RGPD, etc.).
- Désigner des référents cybersécurité.
- Prévoir un plan de conformité avec échéancier et budget.
Dispositifs Complémentaires à Connaître
| Nom | Objectif |
|---|---|
| RGPD | Protection des données personnelles, complémentaire à la NIS2 |
| DORA | Cybersécurité financière (bancaire, assurance, prestataires tiers IT) |
| LPM (Loi de Programmation Militaire) | Oblige les opérateurs d’importance vitale (OIV*) à des obligations cyber renforcées |
| Directive CER (Critical Entities Resilience) | Résilience physique et numérique des entités critiques (complémentaire à NIS2) |
| Directive RED (Radio Equipment Directive) | Obligations de sécurité pour les équipements connectés |
*OIV (Opérateurs d’importance vitale) : une administration, une entreprise publique ou privée dont l’Etat a jugé le fonctionnement indispensable à la vie de la nation
Pourquoi Anticiper ?
Menace croissante : ransomware, exfiltration de données, attaques DDoS.
Risques économiques et juridiques : sanctions administratives, atteinte à l’image.
✅ Opportunité d’améliorer sa résilience et renforcer la confiance client/partenaire.
En conclusion, la directive NIS2 va au-delà d’un simple texte réglementaire. Elle incarne un changement de paradigme pour les entreprises et les institutions européennes. Elle vise à faire de la cybersécurité un pilier stratégique, au même titre que la finance ou les RH par exemple.
Vous êtes concernés par la directive NIS2 et vous souhaitez vous mettre en conformité ?
AUCAE vous accompagne à travers les étapes clés : Gestion de crise, Exercices de simulation, …
Contactez-nous pour un accompagnement adapté à vos besoins et à vos enjeux sectoriels.
Face aux exigences croissantes et aux défis de cybersécurité actuels, AUCAE accompagne les entreprises dans leur mise en conformité et le renforcement de leur posture de sécurité. Nous avons pour but d’accompagner les entreprises dans l’armement efficace de leurs cellules de crises. Nous mettons en avant l’importance de l’exercice pour une anticipation optimale face aux menaces grandissantes.
L’entrainement étant une nécessité pour être en conformité avec ces lois et directives, notre outil de gestion de crise DCR (Digital Crisis Response), vous permet de vous préparer aux crises réelles (outil déconnecté du SI, Hébergement souverain, sécurisé et indépendant, …) et de vous entrainer en continu. Vous avez également la possibilité d’automatiser vos exercices, avec notre outil CRS (Crisis Response Simulator) en préparant en amont des scénarios de crise. Il permet de rendre l’entrainement plus simple d’accès en réduisant et en simplifiant le processus de mise en place d’exercice de gestion de crise.
