Réglementaire & conformité

NIS 2

Directive UE 2022/2555 sur la cybersécurité

Définition

Directive européenne adoptée en décembre 2022 qui durcit les obligations de cybersécurité pour les entités essentielles et importantes (santé, énergie, transport, banque, secteur public, fournisseurs cloud). Transposée en droit français en octobre 2024. Impose : gestion des risques cyber, notification d'incidents (24h pour les majeurs), audits réguliers, sanctions jusqu'à 10 M€ ou 2% du chiffre d'affaires.

En détail

NIS 2 (Network and Information Security 2) est la directive européenne (UE) 2022/2555 du 14 décembre 2022, qui remplace la directive NIS de 2016 jugée trop hétérogène dans son application entre États membres. Elle élargit considérablement le périmètre des entités concernées et durcit les exigences de cybersécurité.

NIS 2 distingue deux catégories : les entités essentielles (énergie, transport, banque, infrastructures financières, santé, eau, infrastructure numérique, administration publique centrale, espace) et les entités importantes (services postaux, gestion des déchets, chimie, agroalimentaire, fabrication, fournisseurs numériques, recherche). Le seuil de taille s'applique : entités moyennes (50+ salariés ou 10+ M€ CA) ou plus, avec exceptions pour les acteurs critiques quel que soit leur taille.

Les obligations portent sur dix domaines : politique d'analyse des risques et de sécurité des systèmes, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement (supply chain), sécurité dans le développement et la maintenance, politiques d'évaluation de l'efficacité, hygiène cyber et formation, cryptographie, contrôle d'accès et MFA, sécurité des ressources humaines.

La notification d'incident est triplement étagée : alerte précoce sous 24 heures, notification d'incident sous 72 heures, rapport final sous un mois. Les sanctions atteignent 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes.

Contexte et origine

La directive NIS originelle (UE 2016/1148) a été adoptée en juillet 2016 dans le contexte des cyberattaques massives contre les hôpitaux, opérateurs et entreprises européennes (TV5Monde 2015, ransomwares Locky/Petya). Elle visait les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques. Elle a été transposée en France par la loi du 26 février 2018 et le décret n° 2018-384.

Le bilan de NIS 1 a montré une mise en œuvre très inégale entre États membres et une couverture trop étroite face aux menaces de la décennie 2020 (SolarWinds, Colonial Pipeline, ransomwares hospitaliers). NIS 2 a été adoptée le 14 décembre 2022 pour répondre à ces angles morts.

La transposition française a été portée par la loi n° 2024-364 du 22 octobre 2024 et le décret d'application publié fin 2024. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité compétente. La mise en application opérationnelle s'étale sur 2025-2028 selon les obligations.

Pourquoi c'est important

Ce que cela change pour un dirigeant

Le passage de NIS 1 à NIS 2 multiplie par 5 à 10 le nombre d'entités concernées en France — passant de quelques centaines d'opérateurs critiques à plusieurs milliers d'entreprises et acteurs publics. Beaucoup de dirigeants découvrent en 2025-2026 que leur entité tombe dans le périmètre, alors qu'ils n'étaient pas concernés par NIS 1.

La responsabilité personnelle des dirigeants est explicitement engagée : NIS 2 prévoit la possibilité de sanctions personnelles, voire de suspension temporaire des dirigeants en cas de manquements graves. C'est une rupture par rapport à la culture cyber française.

Le coût de mise en conformité varie fortement selon la maturité existante. Pour une entité ISO 27001 ou déjà alignée HDS / DORA, le delta est souvent gérable. Pour une PME industrielle ou une collectivité de taille moyenne qui découvre le sujet, c'est un programme de transformation de 12 à 24 mois.

Approche Access International

Comment nous abordons ce sujet

Notre approche NIS 2 est opérationnelle, pas seulement documentaire. Nous démarrons par une auto-qualification : l'entité est-elle dans le périmètre, en quelle catégorie, avec quels seuils de notification d'incident ? Cette qualification sert de base au plan d'action.

Nous travaillons ensuite sur trois axes : cartographie des risques (croisement des actifs critiques avec les scénarios cyber sectoriels), mise en place du processus de notification incident (24h / 72h / 1 mois — testé avec des exercices de table top), et chantier supply chain (NIS 2 demande explicitement un suivi des fournisseurs critiques, ce qui transforme les contrats commerciaux).

Sur le volet IA, nous croisons NIS 2 avec AI Act et DORA pour produire une matrice unique. Notre principe : un programme cyber qui ne tient pas en deux pages de tableau de bord pour le COMEX ne tiendra pas dans le temps.