Sécurité de l'information

La nouvelle directive NIS2 de l'UE : ce que vous devez savoir

La directive NIS2, annoncée en décembre 2022, est le successeur de la directive NIS. Ce cadre juridique améliore la cybersécurité des réseaux et des systèmes d'information dans l'UE.

Auteur
Dr. Kilian Schmidt
Date
2.2.2025
Mis à jour le
4.5.2026
La nouvelle directive NIS2 de l'UE : ce que vous devez savoir

Directive NIS2 : une nouvelle norme pour la cybersécurité dans l'UE

En 2016, l'UE a introduit la directive sur Sécurité des réseaux et de l'information (NIS) a été le premier à introduire une législation à l'échelle de l'UE afin de créer un niveau uniforme de cybersécurité dans les États membres. Cependant, les carences liées à la résilience incohérente des différents États membres et secteurs, à l'absence de réponse commune à la crise et à l'incapacité de faire face à un paysage de menaces en constante évolution ont incité la Commission européenne à remplacer le NIS par 2 ANS à remplacer.

La directive NIS2 annoncée en décembre 2022 est la Successeur de la directive NIS. Ce cadre juridique améliore la cybersécurité des réseaux et des systèmes d'information dans l'UE. Les principales modifications apportées à la directive NIS2 incluent un champ d'application plus large, des exigences plus strictes et une application plus stricte. Les États membres doivent se conformer aux dispositions du NIS2 jusqu'au 17 octobre 2024 l'intégrer dans leur législation locale.

Champ d'application de la directive

La directive NIS2 s'applique aux fournisseurs de services critiques/essentiels qui faisaient partie des secteurs EPCIP en vigueur depuis le NIS1 (2016) et qui ont été ajoutés aux secteurs EPCIP depuis le NIS2 (2022). Le terme secteurs EPCIP fait référence aux secteurs relevant du Programme européen pour la protection des infrastructures critiques.

  • Secteurs existants depuis NIS1: énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, infrastructures numériques et fournisseurs numériques.
  • Secteurs supplémentaires depuis NIS2: production et transformation, fournisseurs de services de communications électroniques accessibles au public, gestion des services TIC (technologies de l'information et de la communication), administration publique, services spatiaux, services postaux et de messagerie, gestion des déchets et des eaux usées et recherche.

Si un fournisseur appartient à l'un des secteurs mentionnés ci-dessus, certains critères supplémentaires le qualifient de fournisseur de services critiques ou essentiels :

  • mesuré: Effectif d'une équipe de 50 personnes ou plus.
  • chiffre d'affaires: Chiffre d'affaires annuel de plus de 10 millions d'euros.
  • exclusivité: Le seul fournisseur d'un service important, quelle que soit sa taille.

Les institutions essentielles sont les entreprises et les organisations dont l'interruption des activités peut perturber de manière significative le fonctionnement de l'économie et le bien-être public. Ces secteurs incluent énergie, transports, banques, santé, infrastructures numériques, espace, approvisionnement et distribution d'eau potable etc. Les grandes entreprises fournissent des services essentiels, mais leur interruption ne peut pas avoir le même impact que celle des services essentiels. Ces secteurs comprennent les services postaux et de messagerie, les fabricants et distributeurs de produits alimentaires et chimiques, les instituts de recherche, etc. Le champ d'application de la directive NIS2 s'applique également aux entreprises fournissant des services essentiels à l'Union européenne, indépendamment de leur présence dans l'UE. Cela signifie que les entreprises opérant en dehors de l'UE sont également soumises aux dispositions de la directive si leurs services sont considérés comme essentiels dans l'UE. Ces entreprises doivent désigner un représentant dans l'État membre dans lequel elles fournissent leurs services.

La structure du NIS2 et ses principales exigences en matière de cybersécurité

Outre le préambule de la directive, son corps principal comprend 46 articles. Ces articles, divisés en neuf chapitres, couvrent notamment le champ d'application de la directive, les définitions, les exigences de sécurité, la coopération, la notification des incidents, les autorités compétentes, les sanctions et les dispositions finales.

Sur les neuf chapitres, étonnamment, seul Chapitre IV intitulée « Mesures de gestion des risques de cybersécurité et exigences en matière de rapports », les exigences de sécurité que les entreprises essentielles et importantes doivent respecter pour se conformer à la directive.

Les chapitres suivants (I, II, III, V, VI, VII, VIII et IX) définissent les obligations des pays de l'UE (États membres) et des autorités gouvernementales en ce qui concerne l'application du NIS 2. Ces chapitres couvrent la structure générale, les règles et les mécanismes relatifs au cadre, à la gouvernance et à l'application de la directive au niveau de l'UE.

Principaux objectifs de la directive NIS2

Les trois principaux objectifs du NIS2 sont l'augmentation de la cyberrésilience, la réduction des écarts de résilience et l'amélioration de la connaissance partagée de la situation. La directive comprend une série de mesures qui fonctionnent ensemble pour atteindre les objectifs, notamment :

  • Évaluation et gestion des risques: Les organisations sont tenues de procéder à des évaluations régulières des risques afin d'identifier les risques avant qu'ils ne deviennent une menace majeure pour la sécurité. Il aide à développer et à mettre en œuvre des stratégies de gestion des risques, notamment en allouant des ressources en fonction des priorités, afin d'atténuer l'impact des risques identifiés.
  • Volonté de répondre aux incidents et de les signaler: Le NIS2 exige des entreprises qu'elles élaborent et tiennent à jour à l'avance des plans de réponse aux incidents. Il décrit étape par étape les procédures à effectuer en cas de cyberattaque. En outre, ces incidents doivent être signalés aux autorités compétentes afin qu'elles puissent mieux comprendre le nouveau paysage des menaces.
  • Meilleure collaboration et échange d'informations: La collaboration et l'échange d'informations entre les entreprises, les agences gouvernementales et les forces de l'ordre, promus par NIS2, contribuent à améliorer la résilience dans le cyberespace. La directive atteint cet objectif grâce à divers mécanismes, notamment :
  • l'élaboration d'accords de partage d'informations pour réglementer l'échange sécurisé et conforme à la loi d'informations sensibles en matière de cybersécurité entre les entreprises et les autorités.
  • Collaboration interinstitutions en réunissant des agences gouvernementales, des entités privées et des experts en cybersécurité pour mettre en œuvre des réponses coordonnées. Dans le cadre d'exercices conjoints, des cyberattaques courantes sont simulées afin de tester les plans de gestion des risques et de réponse d'une entreprise et de tirer des enseignements de l'expérience des autres.

Conformité et application

Le NIS2 prévoit un système échelonné de sanctions en cas de non-conformité. Pour les entreprises essentielles, le non-respect des exigences NIS2 peut résulter de 10 millions d'euros, soit 2 % du chiffre d'affaires mondial annuel être condamné à une amende, selon le montant le plus élevé. Pour les entreprises importantes, la non-conformité peut entraîner des amendes de jusqu'à 7 millions d'euros, soit 1,4 % du chiffre d'affaires mondial annuel être puni, selon le montant le plus élevé. Les autorités peuvent également imposer des sanctions, telles que la suspension temporaire des services proposés par les entreprises. Pour se conformer à la norme NIS2, les organisations doivent s'en tenir au cadre suivant.

  1. Découvrez à quelle catégorie d'entreprises ils appartiennent, essentielle ou importante.
  2. Procéder à une analyse des lacunes afin d'identifier les domaines dans lesquels des améliorations sont nécessaires.
  3. Élaborez des stratégies de gestion des risques, notamment en mettant en œuvre les politiques, les processus et les contrôles de sécurité nécessaires.
  4. Mettez en place une réponse robuste aux incidents pour atténuer les risques en cas de cyberattaque
  5. Évaluez et gérez les risques de cybersécurité dans la chaîne d'approvisionnement.
  6. Préparez-vous à d'éventuels audits, inspections et mesures coercitives de la part des autorités.

Sécurité réseau conforme à la norme NIS2 avec Kertos

Bien que le NIS2 introduise des exigences supplémentaires en matière de sécurité des réseaux et des informations dans les secteurs critiques, nombre de ses réglementations sont conformes aux normes existantes, telles que NORME ISO 27001 d'accord. Cela signifie que la conformité à la norme ISO 27001 peut grandement faciliter la conformité à la norme NIS2.

Chez Kertos, nous respectons les principales réglementations en matière de protection des données et les normes de sécurité de l'information reconnues au niveau international. Ne manquez pas notre assistance en matière d'évaluation et de gestion des risques, de préparation aux incidents, d'éducation et de sensibilisation aux menaces !

Le guide du fondateur à propos de NIS2 : Préparez votre entreprise maintenant

Protégez votre start-up : découvrez comment NIS2 peut avoir un impact sur votre activité et ce que vous devez prendre en compte dès maintenant. Lisez le livre blanc gratuit dès maintenant !

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Jetzt downloaden
La nouvelle directive NIS2 de l'UE : ce que vous devez savoir
Bereit, deine Compliance auf Autopilot zu setzen?
Angebot anfordern
Dr Kilian Schmidt

Dr Kilian Schmidt

PDG et cofondateur de Kertos GmbH

Le Dr Kilian Schmidt a développé très tôt un vif intérêt pour les processus juridiques. Après des études de droit, il a commencé sa carrière en tant que conseiller juridique principal et responsable de la protection des données au sein du groupe Home24. Après avoir travaillé chez Freshfields Bruckhaus Deringer, il a rejoint TIER Mobility, où, en tant que directeur juridique, il a participé de manière significative à l'expansion du département juridique et des politiques publiques. L'entreprise est passée d'une à 65 villes et de 50 à 800 employés. Motivé par les avancées technologiques limitées dans le secteur juridique et inspiré par son travail de consultant chez Gorillas Technologies, il a cofondé Kertos pour développer la prochaine génération de technologies européennes de protection des données.

À propos de Kertos

Kertos est l'épine dorsale moderne des activités de protection des données et de conformité des entreprises en pleine expansion. Nous permettons à nos clients de mettre en œuvre des processus intégrés de protection des données et de sécurité des informations conformément au RGPD, à la norme ISO 27001, à la TISAX®, à la SOC2 et à de nombreuses autres normes rapidement et à moindre coût grâce à l'automatisation.

Prêts pour un allègement concernant le DSGVO ?

Demandez un devisDécouvrez la plateforme
CTA Image

ARTICLE

Autres articles

La pénurie de compétences en cybersécurité s'aggrave. Ce que font actuellement les responsables de la sécurité à ce sujet
Sécurité de l'information
All
La pénurie de compétences en cybersécurité s'aggrave. Ce que font actuellement les responsables de la sécurité à ce sujet

Les discussions avec les RSSI, les directeurs techniques et les responsables de la sécurité de l'information à travers l'Europe révèlent une vérité inquiétante : la pénurie de professionnels de la sécurité n'est plus un problème pour l'avenir.

Jetzt reinhören
Que sont les contrôles ISO 27001 et pourquoi devriez-vous les connaître ?
Sécurité de l'information
All
Que sont les contrôles ISO 27001 et pourquoi devriez-vous les connaître ?

ISO 27001:2022 est une version mise à jour de la norme ISO 27001. La version précédente, ISO 27001:2013, contenait 114 contrôles répartis en 14 domaines. L' « Annexe A » de la norme ISO 27001:2022 contient de nombreuses modifications.

Jetzt reinhören
Kertos cofinancé par l'Union européenne
News
All
Kertos cofinancé par l'Union européenne

Nous sommes heureux que Kertos ait reçu 2,2 millions d'euros de financement de l'Union européenne en 2024 dans le cadre du projet EUPROFIT ! Ces fonds soutiennent notre mission qui consiste à automatiser la conformité manuelle et souvent coûteuse aux réglementations en matière de protection des données grâce à des solutions d'IA innovantes.

Jetzt reinhören

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check