Accueil
Actualités
NIS2 en entreprise : êtes-vous prêt pour la conformité en 2025 ?


#CYBERSÉCURITÉ

NIS2 en entreprise : êtes-vous prêt pour la conformité en 2025 ?



Depuis l’adoption de la Directive (UE) 2022/2555, plus connue sous le nom de NIS2, la donne a changé pour de nombreuses entreprises en Europe.

Cette directive vise à renforcer le niveau de cybersécurité des systèmes d’information dans des secteurs jugés essentiels ou importants au sein de l’Union Européenne. Elle élargit considérablement le périmètre défini par la version précédente (NIS1).

Elle impose des obligations bien plus conséquentes en matière de gestion des risques, de détection et de réponse aux incidents. Aussi, la directive NIS2 prévoit des sanctions dissuasives en cas de non-conformité.

En pratique : si vous êtes à la DSI, juriste, RSSI, ou intervenez dans le secteur public comme opérateur de service essentiel, il est crucial d’anticiper dès maintenant les changements à venir. Cette directive doit entrer en vigueur à la fin 2025.

Le compte à rebours a démarré… Êtes-vous prêts ?

DÉCRYPTAGE : QU’EST-CE QUE LA DIRECTIVE NIS2 ?

Adoptée en 2022, la directive NIS2 pose un cadre législatif pour garantir un haut niveau commun de cybersécurité parmi les États membres de l’Union Européenne (UE). La NIS2 s’applique à 18 secteurs critiques comme :

  • l’énergie (électricité, gaz, pétrole),
  • la santé (hôpitaux, centres de soin),
  • les transports (aériens, ferroviaires, maritimes),
  • la gestion et distribution de l’eau,
  • les finances, les infrastructures numériques,
  • les administrations publiques,
  • et bien d’autres.

Comment ont été choisis ces secteurs dits “critiques” ? Pour déterminer si une entité est concernée par la directive, trois critères sont à prendre en compte : le secteur d’activité, la taille de l’organisation (effectifs, chiffre d’affaires et autres informations de contexte) et le fait qu’elle délivre un service à l’échelle de l’Union.

En France, ce sont environ 15 000 organismes qui sont concernés par la directive NIS2.

A noter que la taille de l’organisation n’est pas un critère pris en compte. Ainsi, des grandes entreprises et des PME/ETI sont concernées.

DE NOUVELLES OBLIGATIONS EXIGÉES PAR LA NIS2 EN MATIÈRE DE CYBERSÉCURITÉ

La directive NIS2 impose aux organisations concernées un ensemble de mesures obligatoires :

  • gestion des risques cyber,
  • politiques de sécurité des systèmes d’information comme la mise en place d’un centre opérationnel de sécurité (SOC),
  • détection et réponse aux incidents,
  • plan de continuité d’activité,
  • sécurité de la chaîne logistique,
  • notification des incidents et autres formalisations,
  • réalisation d’audits réguliers...

Ces obligations listées dans la directive NIS2 ont une approche dite “all-hazards”. Cela signifie que la protection issue de ces mesures associées doit couvrir les menaces cyber, mais aussi risques liés à l’environnement, la chaîne d’approvisionnement et autres.

Comme le site du gouvernement le mentionne, “ces exigences s’inscriront dans la suite logique de l’actuelle réglementation NIS 1 et porteront principalement sur des aspects d’hygiène informatique fondamentale afin que les entités puissent se protéger contre les menaces les plus courantes.”

DÉLAIS EXIGÉS PAR LA NIS2

En ce qui concerne le calendrier : la directive NIS2 a été publiée fin 2022 et les États membres de l’Union Européenne avaient jusqu’au 17 octobre 2024 pour la transposer en droit national. En France, c’est le 12 mars 2025 que le Sénat a voté la transposition nationale de la directive NIS 2.

Cette transposition doit être effective pour la fin d’année 2025, après le vote du budget 2026. A partir de cette date, les plus de 15 000 organismes français concernés auront 3 ans pour se mettre en conformité.

Pour la Direction des Système d’Information (DSI) et les juristes, cette directive est perçue comme une opportunité pour (enfin) structurer une cybersécurité plus résistante et prédictive.

NIS2 : CONTRÔLES ET SANCTIONS EN CAS DE NON-CONFORMITÉ

Le cadre de sanctions de NIS2 a été pensé pour être sévère et dissuasif. Bien sûr, une des premières sanctions redoutées reste les pénalités financières. Pour les entités qualifiées d’essentielles au sein de l’Union Européennes, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires global annuel.

A noter que le montant le plus élevé sera retenu. Pour les entités jugées “importantes”, un plafond a été fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires global.

Au-delà des sanctions financières, des mesures non financières sont également possibles : injonctions de mise en conformité, suspension temporaire de services, obligation de rendre publics les manquements, voire responsabilité personnelle des dirigeants en cas de négligence.

Des arguments de choc pour faire prioriser la NIS2 au sein des directions générales et auprès des RSSI (Responsables de la Sécurité des Systèmes d’Information).

RÔLE CENTRAL DU RSSI & CARTOGRAPHIE DES RISQUES

Dans les entreprises concernées, la mise en conformité NIS2 incite à la nomination d’un RSSI (Responsable de la Sécurité des Systèmes d’Information), chargé de définir, superviser et faire valider par la direction les politiques de cybersécurité.

Une des missions du RSSI est de conduire une cartographie des risques :

  • identifier les actifs critiques (données, systèmes, infrastructures) et les menaces (cyberattaques, incidents techniques, chaîne logistique,...),
  • évaluer les vulnérabilités et les impacts,
  • définir un plan de traitement des risques (mesures techniques, organisationnelles, continuité, etc.) pour assurer une continuité de l’activité.

Dès fin 2025, la directive NIS2 impose un cadre de cybersécurité plus strict et plus large, touchant bien au-delà des anciens opérateurs de services essentiels (OSE).

Dans ce cadre légal, la DSI et le RSSI jouent un rôle central, notamment via la cartographie des risques et la mise en œuvre des mesures requises par la directive NIS2.

Les sanctions financières et administratives poussent les organismes concernés à prioriser le sujet dès 2026.