Synthèse sur la directive NIS et NIS2 (Network and Information Security)

, Synthèse sur la directive NIS et NIS2 (Network and Information Security)

Synthèse sur la directive NIS et NIS2 (Network and Information Security)

  • Auteur/autrice de la publication :
  • Post category:Normes

NIS 1

Directive NIS 1 (UE 2016/1148), entrée en vigueur le 10 mai 2018, visant à garantir un niveau élevé et commun de cybersécurité dans l’UE en imposant des obligations de sécurité et de notification d’incidents à des acteurs clés (« Opérateurs de Services Essentiels » et « Fournisseurs de Services Numériques »)

Cadre légal et autorités

  • Transposition
    • Loi n° 2018‑133 du 26 février 2018 « portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité »
    • Décret n° 2018‑384 du 23 mai 2018 précisant les obligations des OSE et FSN
    • Arrêtés de juin et septembre 2018 fixant les modalités de déclaration des incidents et les règles techniques de sécurité
  • Autorité nationale : l’Agence nationale de la sécurité des systèmes d’information (ANSSI) chapeaute le régime, délivre des guides sectoriels et procède aux contrôles et sanctions

Périmètre et obligations

  • Opérateurs de Services Essentiels (OSE) : secteurs « critique » (énergie, transport, santé, finances, eau potable, etc.) listés par arrêté
  • Fournisseurs de Services Numériques (FSN) : places de marché en ligne, moteurs de recherche, services cloud
  • Principales obligations
    • Mise en place de mesures techniques et organisationnelles adaptées au risque (gestion des accès, chiffrement, plans de continuité…)
    • Notification à l’ANSSI de tout incident de sécurité ayant un impact significatif dans un délai maximal de 72 heures
    • Tenue d’un registre des incidents et d’un plan de réponse documenté

Sanctions

  • En cas de manquement, l’ANSSI peut prononcer injonctions, mises en demeure et amendes financières (jusqu’à plusieurs millions d’euros selon la gravité)

 

NIS 2 – renforcement et extension

Directive NIS 2 (UE 2022/2555), adoptée le 14 décembre 2022, renforce et étend le périmètre et les exigences en matière de cybersécurité pour un nombre plus large d’entités, en réponse à l’évolution des menaces et à l’hétérogénéité des transpositions nationales

Objectifs et innovations

  • Harmonisation accrue : pallier les divergences d’interprétation et de mise en œuvre de NIS 1 entre États membres
  • Périmètre élargi : deux catégories d’entités régulées selon leur criticité – Essential Entities (EE) et Important Entities (IE) – couvrant davantage de secteurs (eau usée, chimie, agroalimentaire, services postaux, titulaires de données publiques, etc.)
  • Mesures renforcées : reporting des incidents plus rapide (notification initiale dès prise de conscience, rapport détaillé sous 72 h), gestion du risque en amont (analyse de la chaîne d’approvisionnement, plan de reprise, tests de résilience), gouvernance interne (personne responsable cybersécurité)

 

Obligations clés

  • Gestion des risques (Art. 21) : cartographie, contrôles d’accès, chiffrement, MFA, journalisation
  • Notification d’incidents (Art. 19) : signalement initial dans les 24 h (ou dès que possible), compte-rendu complet dans les 72 h
  • Chaîne d’approvisionnement : due diligence, clauses contractuelles, tests tiers
  • Sanctions : élargissement des mécanismes de sanction (amendes, injonctions, publication des manquements)

 

Calendrier et textes en cours

  • Délai européen : adoption des mesures nationales avant le 17 octobre 2024, application dès le 18 octobre 2024
  • Projet de loi français
    • Déposé le 15 octobre 2024 pour transposer NIS 2, REC et DORA
    • Adopté par le Sénat le 12 mars 2025 (avec amendements) ; examen en séance par l’Assemblée nationale attendu avant l’été 2025
  • Autorité de supervision : l’ANSSI restera compétente pour le contrôle, la délivrance d’orientations et la sanction des entités régulées

 

Préparation et bonnes pratiques

  • Récupérer et modéliser les systèmes et les flux : inventaire des actifs, cartographie des processus et des données de flux, modéliser les points d’entrée et de sortie, les circuits internes et les interconnexions externes
  • Gap analysis : évaluer l’écart entre l’existant et les nouvelles exigences (reporting, mesures techniques)
  • Renforcement organisationnel : nomination d’un responsable de la cybersécurité, révision des contrats tiers
  • Sensibilisation et formation : parcours dédiés pour RSSI, DSI et équipes opérationnelles