Mourez Politique NIS2 définit les principales exigences en matière de cybersécurité auxquelles les moyennes et grandes entreprises des secteurs critiques et importants de l'Union européenne doivent satisfaire. Il a remplacé le cadre NIS d'origine par un champ d'application plus large, une supervision plus stricte, des obligations de gouvernance plus strictes et des exigences plus explicites en matière de gestion des risques de cybersécurité et de signalement des incidents. Pour les entreprises qui souhaitent comprendre ce que signifie réellement la conformité dans la pratique, les parties les plus importantes de la loi sont les réglementations de gouvernance dans L'article 20, les mesures de gestion des risques de cybersécurité énoncées à l'article 21 et les exigences en matière de rapports énoncées à l'article 23.
Si vous recherchez une réponse pratique à des questions concernant les exigences NIS2, c'est la façon la plus simple de l'examiner. Le NIS2 impose aux institutions concernées de déterminer si elles sont couvertes par la directive, d'attribuer des responsabilités au niveau exécutif, de mettre en œuvre des mesures de sécurité techniques, opérationnelles et organisationnelles proportionnées, de documenter ces mesures, de former la direction, de se préparer aux interruptions d'activité, de sécuriser les principaux fournisseurs et de signaler les incidents de sécurité importants à l'autorité compétente dans des délais serrés. Ces exigences sont délibérément générales car la directive attend des entreprises qu'elles adaptent leurs contrôles à leur propre profil de risque, à leur secteur d'activité et à leur réalité opérationnelle.
Quelles sont les exigences du NIS2 ?
À un niveau supérieur, les exigences du NIS2 peuvent être divisées en quatre domaines interdépendants. Le premier est le champ d'application, c'est-à-dire si votre entreprise est une institution essentielle ou installation importante est au sens de la directive. Le second est la gouvernance, c'est-à-dire la responsabilité des organes de direction d'approuver et de contrôler les mesures de cybersécurité. Le troisième est la gestion des risques, c'est-à-dire les exigences minimales relatives aux mesures de sécurité qui doivent être mises en œuvre conformément à l'article 21. Le quatrième est le signalement des incidents, c'est-à-dire l'obligation de signaler les incidents de sécurité importants rapidement et de manière structurée.
Cette structure est importante car de nombreux articles n'expliquent qu'un seul niveau du sujet. En réalité, une entreprise ne peut satisfaire aux exigences du NIS2 que si ces quatre niveaux sont liés entre eux. Le champ d'application détermine si vous êtes concerné. La gouvernance détermine qui est responsable. gestion des risques Déterminez ce que vous devez mettre en œuvre. Les rapports déterminent ce que vous devez faire en cas de problème. La loi est rédigée de telle sorte que la cybersécurité devienne une tâche de gestion au lieu de rester une question informatique restreinte. La Commission européenne souligne elle-même que NIS2 apporte la cybersécurité au Conseil d'administration en rendant la haute direction responsable en cas de non-respect des mesures de gestion des risques.
Qui doit se conformer à la norme NIS2 ?
La NIS2 s'applique à un éventail de secteurs beaucoup plus large que la réglementation originale de la NIS. La Commission déclare que les nouvelles règles s'ajoutent à celles déjà établies par Secteurs couverts par le NIS1 s'appliquent également aux fournisseurs de communications électroniques publiques, d'autres services numériques tels que les plateformes de réseaux sociaux, la gestion des déchets et des eaux usées, la fabrication de produits critiques, les services postaux et de messagerie, l'administration publique et le secteur spatial.
En règle générale, les moyennes et grandes institutions des secteurs couverts sont concernées, la directive couvrant certaines institutions, quelle que soit leur taille, notamment certains fournisseurs de DNS, des registres de domaines de premier niveau, des prestataires de services de confiance et certains organismes de l'administration publique.
La directive divise les institutions concernées en deux catégories réglementaires : les institutions essentielles et les institutions importantes. Cette distinction est pertinente pour la supervision, mais les deux catégories sont soumises à la même gestion de base des risques de cybersécurité et Exigences en matière de rapports. Les installations essentielles sont généralement supervisées de manière plus proactive, tandis que les installations critiques sont souvent surveillées de manière plus réactive, en particulier à la suite d'incidents ou en cas de signes de non-conformité.
L'essentiel est le suivant : le fait d'être classé comme « important » ne signifie pas que les exigences sont faibles. Les obligations restent importantes et les autorités de surveillance disposent de pouvoirs d'exécution.
Quand le NIS2 est-il entré en vigueur ?
Le NIS2 est entré en vigueur en janvier 2023 et les États membres avaient jusqu'au 17 octobre 2024 pour le transposer en droit national. La Commission note également que le NIS2 a abrogé le NIS1 à compter du 18 octobre 2024.
Il existe un autre développement important que de nombreux autres articles négligent encore. Le 17 octobre 2024, la Commission a adopté le règlement d'exécution (UE) 2024/2690, qui fixe des exigences techniques et méthodologiques pour certaines installations numériques et liées aux TIC, notamment les fournisseurs de cloud, les fournisseurs de services de centres de données, les fournisseurs de services de sécurité gérés, les places de marché en ligne, les moteurs de recherche en ligne, les plateformes de réseaux sociaux et les prestataires de services de confiance. Mourez Guide de mise en œuvre technique de l'ENISA From 2025 a été publié spécifiquement pour aider ces institutions à opérationnaliser cette réglementation.
Article 20 : La responsabilité de la direction en tant qu'exigence clé du NIS2
L'une des exigences les plus importantes du NIS2 est la responsabilité de la direction. L'article 20 impose aux organes directeurs des institutions essentielles et importantes d'approuver les mesures de gestion des risques de cybersécurité prises pour se conformer à l'article 21, de surveiller leur mise en œuvre et d'assumer la responsabilité des violations. L'article 20 impose également aux États membres de veiller à ce que les organes de direction reçoivent une formation et à ce que les employés reçoivent une formation régulière afin qu'ils acquièrent les connaissances et les compétences nécessaires pour identifier les risques et Pratiques de gestion des risques de cybersécurité à évaluer.
De nombreuses entreprises sous-estiment la directive en la matière. NIS2 ne considère pas la cybersécurité comme un silo technique qui peut être délégué sans supervision. La directive attend des conseils d'administration et de la direction qu'ils participent à l'approbation, au suivi et au renforcement des capacités. Dans la pratique, cela signifie que votre entreprise devrait être en mesure de prouver où la direction a officiellement approuvé le programme de cybersécurité, comment elle reçoit les rapports sur la mise en œuvre et les incidents, quels sont les seuils d'escalade existants et comment la formation des cadres est documentée. Sans ces preuves de gouvernance, de nombreuses organisations auront du mal à prouver leur conformité, même si elles disposent de contrôles techniques appropriés.
Article 21 : Les 10 mesures minimales de gestion des risques de cybersécurité
L'article 21 est au cœur des exigences du NIS2. Elle impose aux institutions essentielles et importantes de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de sécurité des réseaux et des systèmes d'information qu'elles utilisent pour exploiter ou fournir des services, et pour prévenir ou minimiser l'impact des incidents de sécurité sur les destinataires de leurs services et sur les autres services. La directive établit ensuite une liste minimale de mesures qui doivent être prises en compte.
La première exigence est une politique d'analyse des risques et de sécurité des systèmes d'information. Cela signifie que l'entreprise doit comprendre quels systèmes, actifs, processus métier, dépendances et scénarios de menace sont les plus importants, puis traduire cette compréhension en une approche de contrôle documentée. Un programme mature comprend généralement Inventaires d'actifs, la transparence des flux de données, les critères de risque, les décisions de traitement et les cycles d'évaluation liés à l'évolution de l'environnement.
La deuxième exigence concerne la gestion des incidents. Le NIS2 attend des institutions qu'elles identifient les incidents, y répondent, les gèrent, les documentent et en tirent des enseignements. Cela nécessite généralement des niveaux de gravité définis, des itinéraires d'escalade, des manuels techniques, des procédures de communication internes et des processus d'examen post-incident qui produisent des mesures correctives et des états financiers.
La troisième exigence est la continuité des activités, y compris la gestion des sauvegardes, la reprise après sinistre et la gestion des crises. Cela signifie que la conformité va au-delà de la prévention de la sécurité. Les régulateurs s'attendent à de la résilience, ce qui signifie que votre organisation peut maintenir ou rétablir ses opérations critiques en cas de perturbation. La couverture des sauvegardes, les objectifs de restauration, les tests de restauration, les rôles en cas de crise et les protocoles de décision deviennent des éléments de preuve essentiels.
La quatrième exigence concerne la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité liés aux relations entre chaque institution et ses fournisseurs directs ou prestataires de services. L'article 21 stipule également que les entreprises doivent tenir compte des vulnérabilités spécifiques aux fournisseurs directs et aux prestataires de services, ainsi que de la qualité globale de leurs produits et de leurs pratiques en matière de cybersécurité, y compris des processus de développement sécurisés, le cas échéant. Il s'agit de l'une des parties les plus exigeantes du NIS2 sur le plan opérationnel, car elle est permanente. Gestion des risques liés aux tiers impose des contrôles d'approvisionnement au lieu d'un contrôle ponctuel.
La cinquième exigence concerne la sécurité lors de l'achat, du développement et de la maintenance des réseaux et des systèmes d'information, y compris la gestion et la divulgation des vulnérabilités. Cela place NIS2 dans le domaine des pratiques de cycle de vie sécurisées. Les organisations doivent être en mesure de démontrer la gouvernance des correctifs, des bases de configuration sécurisées, le contrôle des modifications, le triage des vulnérabilités, les calendriers de correction et un processus de réception et de traitement des rapports de vulnérabilité.
La sixième exigence concerne les lignes directrices et les procédures d'évaluation de l'efficacité des mesures de gestion des risques de cybersécurité. Cela signifie que les contrôles eux-mêmes doivent être évalués, et pas simplement documentés. L'audit interne, les tests de contrôle, la surveillance, les mesures et l'examen de gestion deviennent tous pertinents. Une bibliothèque de politiques documentée sans discipline de test sera rarement suffisante.
La septième exigence concerne les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité. Les documents de mise en œuvre de l'article 21 mettent l'accent sur la prise de conscience des risques, l'importance de la cybersécurité et l'utilisation de pratiques d'hygiène informatique par les employés, les organes directeurs, les fournisseurs et les prestataires de services, le cas échéant. La formation dans le cadre du NIS2 est basée sur les rôles, récurrente et vise à soutenir des performances opérationnelles mesurables.
La huitième exigence concerne les politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du cryptage. Cela inclut la gouvernance des domaines dans lesquels le chiffrement est requis, de la manière dont les clés sont gérées, des états des données protégés et de la manière dont les exceptions sont approuvées et examinées.
La neuvième exigence concerne la sécurité du personnel, politiques de contrôle d'accès et gestion d'actifs. Ce domaine concerne le recrutement, le changement de rôle, l'offboarding, la gestion des privilèges, la séparation des fonctions, la propriété des appareils, l'utilisation acceptable et la gestion du cycle de vie des actifs informationnels.
La dixième exigence est l'utilisation de solutions d'authentification multifactorielle ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'établissement, le cas échéant. Cela montre clairement que le NIS2 attend des contrôles techniques concrets, même si la directive de haut niveau reste basée sur les risques et neutre sur le plan technologique.
Article 23 : Délais de déclaration des incidents NIS2
L'article 23 est l'une des parties les plus recherchées de la directive car les délais de déclaration sont stricts et hautement opérationnels. Le NIS2 impose aux institutions de signaler immédiatement les incidents de sécurité importants. Le délai habituel consiste en une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident important, un rapport d'incident dans les 72 heures et un rapport final au plus tard un mois après le signalement de l'incident. La notification initiale et les notifications suivantes doivent contenir suffisamment d'informations pour que l'autorité compétente ou CHEMISE peut comprendre la gravité, l'impact, les indicateurs de compromission disponibles et les éventuelles implications transfrontalières.
Du point de vue de la mise en œuvre, l'obligation de reporting signifie que les entreprises ont besoin de plus qu'un simple plan de réponse aux incidents. Ils ont besoin d'un modèle de prise de décision qui définit ce qui est considéré comme un incident significatif, qui décide de l'obligation de signalement, de la manière dont les équipes juridiques et de communication sont impliquées, des informations à recueillir dans les premières heures et de la manière dont les approbations internes fonctionnent sous pression. C'est l'une des principales raisons pour lesquelles les entreprises matures ont leur Préparation au NIS2 s'appuyer sur des scénarios et des exercices de simulation plutôt que sur de simples lettres de politique générale.
De quelles preuves avez-vous besoin pour prouver la conformité à la norme NIS2 ?
Le NIS2 ne crée pas de certificat européen uniforme de conformité générale, et la charge de la preuve incombe à l'institution de prouver qu'elle a mis en œuvre les mesures appropriées. Dans la pratique, cela signifie que les preuves sont tout aussi importantes que les contrôles. Le guide de mise en œuvre 2025 de l'ENISA est particulièrement utile à cet égard car il combine des exigences avec des exemples de preuves et des attentes pratiques en matière de mise en œuvre pour les secteurs numériques concernés.
Une entreprise bien préparée doit donc disposer d'une base de preuves solide en matière de gouvernance, de risque, de fonctionnement, de résilience, de fournisseurs et Gestion des incidents maintenir. Cela inclut généralement les évaluations des risques, les politiques de sécurité, les approbations du conseil d'administration, les dossiers de formation, les journaux d'incidents, la documentation relative au devoir de diligence des fournisseurs, les résultats des tests de continuité des activités, les résultats de la gestion des vulnérabilités, les examens d'accès et les contrôles d'évaluation de l'efficacité. Ce point est particulièrement important car de nombreuses personnes souhaitent répondre à la question très pratique de savoir comment ils vont prouver la conformité au cours de la supervision, de l'audit ou de l'enquête.
Une feuille de route pratique pour répondre aux exigences du NIS2
La voie la plus efficace vers la conformité commence par la portée et la classification. Votre entreprise doit confirmer si elle relève des secteurs de l'annexe I ou de l'annexe II, si les seuils de taille sont atteints, si des exemptions spécifiques au secteur ou à l'institution s'appliquent et si la législation nationale exige des informations supplémentaires. Après cela, devrait La gouvernance peut être formalisée rapidement, car l'approbation et la supervision du conseil d'administration ne sont pas des activités qui peuvent être reprogrammées de manière crédible à la dernière minute.
La phase suivante consiste en une analyse des lacunes par rapport aux articles 20, 21 et 23, soutenue le cas échéant par le règlement d'exécution 2024 et les lignes directrices 2025 de l'ENISA, qui devraient identifier les lacunes en matière de contrôle, les preuves manquantes, les responsabilités floues, les processus immatures des fournisseurs, les tests inadéquats et la faible volonté de faire rapport. Une fois l'analyse des lacunes terminée, les organisations doivent hiérarchiser les mesures correctives en fonction de la criticité du service, du risque de concentration et de l'exposition à la réglementation, puis créer un plan de mise en œuvre documenté avec les étapes, les responsabilités et les rapports de gestion.
La dernière phase est la mise en oeuvre. Cela implique de tester le processus d'incident, de valider les sauvegardes et les restaurations, de revoir les décisions relatives aux risques des fournisseurs, de confirmer que la gestion des vulnérabilités fonctionne dans la pratique et de s'assurer que les exigences de reporting peuvent être respectées dans les délais légaux. Les entreprises qui obtiennent les meilleurs résultats en matière de NIS2 sont généralement celles qui considèrent la conformité comme un modèle opérationnel, étayé par des preuves et une supervision de la direction, plutôt que comme un projet administratif.
Erreurs courantes commises par les entreprises avec NIS2
Une erreur courante consiste à supposer que NIS2 est avant tout un exercice de documentation. La politique repose sur une résilience démontrable et une gestion des risques, ce qui signifie que les contrôles, les preuves, les tests et la responsabilité sont tous importants ensemble. Une autre erreur courante est Sécurité des fournisseurs à traiter comme un questionnaire d'achat plutôt que comme une discipline vivante de gestion des risques.
Une troisième erreur consiste à ignorer la formation et les diplômes d'approbation des cadres, même si l'article 20 les place au cœur de l'action. Une quatrième erreur consiste à découvrir trop tard que les décisions relatives au signalement des incidents ne peuvent pas être prises rapidement, car les équipes juridiques, de sécurité et opérationnelles n'ont jamais défini de seuils d'importance ni de flux de travail de reporting à l'avance.
Exigences NIS2 : les choses les plus importantes à la fin
Les exigences du NIS2 sont vastes, sérieuses et exigeantes sur le plan opérationnel, car la directive vise à relever le niveau réel de résilience en matière de cybersécurité en Europe. Pour la plupart des entreprises, le principal défi en matière de conformité consiste à transformer le texte législatif en un système d'exploitation pour la gouvernance, la gestion des risques, la résilience, la supervision des fournisseurs et la création rapide de rapports. Si vous comprenez la directive par le biais des articles 20, 21 et 23 et que vous comprenez ensuite ces obligations par processus basés sur la vérification , concentrez-vous sur les parties du NIS2 qui sont les plus importantes dans la pratique.
Rubrique FAQ
Une liste complète des 50 principales questions fréquemment posées sur le NIS2 est disponible ici : https://www.kertos.io/nis2-faq
Quelles sont les principales exigences du NIS2 ?
Les principales exigences du NIS2 incluent la définition du champ d'application, la responsabilité de la direction, les mesures de gestion des risques de cybersécurité en vertu de l'article 21 et les exigences de notification des incidents en vertu de l'article 23. La directive impose également aux entreprises de conserver des preuves, de former la direction et de mettre en œuvre des mesures de sécurité proportionnées entre les systèmes, les fournisseurs et les capacités de continuité des activités.
Quelles sont les 10 mesures prévues à l'article 21 du NIS2 ?
L'article 21 couvre l'analyse des risques, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d'approvisionnement, la sécurité des achats et du développement, l'évaluation de l'efficacité, la cyberhygiène et la formation, la cryptographie et le cryptage, la sécurité du personnel et le contrôle d'accès, ainsi que l'authentification multifactorielle et la communication sécurisée, le cas échéant.
Quelles sont les dates limites de déclaration du NIS2 ?
Le NIS2 exige généralement une alerte précoce dans les 24 heures, un rapport d'incident dans les 72 heures et un rapport final dans un délai d'un mois pour les incidents importants. Les règles de mise en œuvre nationales peuvent définir le processus de déclaration précis, mais la directive fixe le calendrier sous-jacent.
Qui entre dans le champ d'application du NIS2 ?
La règle de base du NIS2 est que les moyennes et grandes institutions actives dans les secteurs énumérés aux annexes I et II sont concernées. Ces secteurs comprennent des domaines tels que l'énergie, les transports, la santé, les infrastructures numériques, l'administration publique, les services financiers, l'industrie manufacturière et certains services numériques et de recherche. Certaines entités sont couvertes quelle que soit leur taille, en particulier lorsqu'elles fournissent des services particulièrement critiques, tels que des services de confiance, des services DNS et TLD, des services publics de communications électroniques, certains organismes de l'administration publique et des entités désignées comme fournisseurs essentiels ou uniques d'un service essentiel dans un État membre. Les États membres peuvent également inclure de plus petits établissements à haut risque.
Les secteurs couverts vont désormais bien au-delà de la réglementation initiale du NIS et incluent des domaines tels que les fournisseurs numériques, les communications électroniques publiques, la gestion des déchets et des eaux usées, la fabrication critique, les services postaux, l'administration publique et les voyages dans l'espace.
Existe-t-il une certification NIS2 officielle ?
Il n'existe pas de certification générale NIS2 délivrée par l'UE qui démontre la conformité comme le font certaines normes de systèmes de management. Les organisations sont tenues de démontrer leur conformité par la mise en œuvre de contrôles, de gouvernance, de documentation et de preuves.
Comment commencer votre voyage avec le NIS2
Kertos propose une automatisation de la conformité spécialement conçue pour les exigences européennes, notamment NIS2 pour les opérateurs KRITIS. Notre plateforme réduit les coûts de mise en œuvre de 80 % par rapport aux approches manuelles, grâce à des modèles prêts à l'emploi répondant aux exigences réglementaires allemandes et à une collection intégrée de preuves pour la préparation à l'audit.
Commencez par votre évaluation NIS2 gratuite et vérifiez si votre entreprise est concernée par la nouvelle directive de l'UE.
