Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/Cybersécurité/NIS2
🛡️Cybersécurité & IT

Directive NIS 2 — Cybersécurité

Analyse du 17 avril 20263 sourcesVersion consolidée du 27.12.2022EUR-Lex Original

Notre entreprise est-elle soumise à NIS 2 — et que risque-t-on concrètement si la gestion des risques et les notifications d'incidents ne sont pas en place ?

Les entités moyennes et grandes dans 18 secteurs critiques doivent appliquer depuis le 18 octobre 2024 des mesures de cybersécurité et une notification d'incident sous 24 heures — sous peine d'amendes pouvant atteindre 10 millions d'EUR ou 2 % du chiffre d'affaires mondial pour les entités essentielles [Art. 34 par. 4].

Réponse courte

La directive NIS 2 élargit considérablement le périmètre des entités réglementées et distingue les entités 'essentielles' (annexe I, supervision proactive) des entités 'importantes' (annexes I et II, contrôle ex post) [Art. 3]. Les organes de direction doivent approuver et superviser personnellement les mesures de gestion des risques en matière de cybersécurité et peuvent être tenus responsables en cas de manquement [Art. 20 par. 1]. Tout incident important doit faire l'objet d'une alerte précoce dans les 24 heures, d'une notification dans les 72 heures et d'un rapport final dans un délai d'un mois [Art. 23 par. 4]. Les dix mesures minimales de l'article 21, paragraphe 2, couvrent l'analyse des risques, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d'approvisionnement, la cryptographie et l'authentification multifacteur.

Concernés

Entités publiques ou privées de taille moyenne ou supérieure (au moins 50 salariés ou 10 millions d'EUR de chiffre d'affaires, selon la recommandation 2003/361/CE) dans les secteurs hautement critiques (annexe I : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace) et les autres secteurs critiques (annexe II : services postaux, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution de denrées alimentaires, fabrication, fournisseurs numériques, recherche) [Art. 2 par. 1]. Certaines entités relèvent de la directive quelle que soit leur taille : fournisseurs de réseaux de communications électroniques publics, prestataires de services de confiance, registres de noms de domaine de premier niveau, fournisseurs de services DNS [Art. 2 par. 2], entités critiques au sens de la directive (UE) 2022/2557 [Art. 2 par. 3] et entités fournissant des services d'enregistrement de noms de domaine [Art. 2 par. 4].

Échéance

Le délai de transposition a expiré le 17 octobre 2024 ; les obligations s'appliquent depuis le 18 octobre 2024 [Art. 41 par. 1]. L'obligation permanente la plus contraignante est la notification d'incidents importants : alerte précoce sous 24 heures, notification détaillée sous 72 heures, rapport final sous un mois [Art. 23 par. 4]. L'enregistrement des entités essentielles et importantes auprès des autorités compétentes devait être effectué au plus tard le 17 avril 2025 [Art. 3 par. 3].

Risque

Entités essentielles : amendes administratives jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu [Art. 34 par. 4]. Entités importantes : jusqu'à 7 000 000 EUR ou 1,4 % du chiffre d'affaires annuel mondial [Art. 34 par. 5]. Au-delà des amendes, les autorités compétentes peuvent imposer des instructions contraignantes, des inspections sur place et, en dernier recours pour les entités essentielles, la suspension de certifications ou l'interdiction temporaire d'exercer des responsabilités dirigeantes [Art. 32 par. 4, Art. 32 par. 5]. Des astreintes sont également prévues [Art. 34 par. 6].

Preuves

Statut juridique

  • En vigueur
  • au 2026-04-17
  • Version consolidée du 27.12.2022

Sources primaires

À faire maintenant

Juridique / DPO

  • Vérifier le statut de l'entité (essentielle ou importante) au regard de l'annexe I et de l'annexe II et des critères de taille de l'article 2 — une qualification erronée fausse l'ensemble du régime de supervision applicable [Art. 2, Art. 3].
  • Valider que les organes de direction approuvent formellement les mesures de gestion des risques et suivent une formation en cybersécurité, sous peine de responsabilité personnelle [Art. 20 par. 1].
  • Documenter la procédure de notification d'incidents en trois étapes (alerte précoce 24 h, notification 72 h, rapport final 1 mois) et désigner le point de contact auprès du CSIRT ou de l'autorité compétente [Art. 23 par. 4].

Conformité

  • Cartographier les dix mesures minimales de l'article 21, paragraphe 2 (analyse des risques, gestion des incidents, continuité, chaîne d'approvisionnement, développement sécurisé, évaluation de l'efficacité, cyberhygiène, cryptographie, contrôle d'accès, authentification multifacteur) et réaliser une analyse d'écart [Art. 21 par. 2].
  • Mettre en place un registre des incidents et des quasi-incidents pour alimenter les alertes précoces sous 24 heures et les rapports de synthèse trimestriels transmis à l'ENISA [Art. 23 par. 4, Art. 23 par. 9].
  • Intégrer la sécurité de la chaîne d'approvisionnement dans les contrats fournisseurs en tenant compte des résultats des évaluations coordonnées des risques au niveau de l'Union [Art. 21 par. 3, Art. 22].

IT / Sécurité

  • Déployer l'authentification multifacteur ou l'authentification continue et des communications sécurisées (voix, vidéo, texte) conformément aux exigences de l'article 21, paragraphe 2, point j) [Art. 21 par. 2 j)].
  • Mettre en oeuvre un plan de continuité des activités incluant gestion des sauvegardes, reprise des activités et gestion des crises, testé régulièrement [Art. 21 par. 2 c)].
  • Instaurer un processus de traitement et de divulgation des vulnérabilités pour les réseaux et systèmes d'information, y compris les composants acquis auprès de tiers [Art. 21 par. 2 e)].

Produit / Ingénierie

  • Intégrer les exigences de développement sécurisé dès la conception pour tout produit TIC, service TIC ou processus TIC utilisé en interne ou fourni à des clients, y compris le traitement des vulnérabilités [Art. 21 par. 2 e)].
  • Évaluer la conformité des produits TIC critiques avec les schémas européens de certification de cybersécurité lorsque les États membres l'exigent [Art. 24 par. 1].
  • Documenter les politiques d'analyse des risques spécifiques aux systèmes d'information produit et assurer leur évaluation périodique conformément à l'article 21, paragraphe 2, points a) et f) [Art. 21 par. 2 a), Art. 21 par. 2 f)].

Termes clés

Entité essentielle
Entité d'un type visé à l'annexe I dépassant les seuils des moyennes entreprises, ou entité expressément désignée (prestataires de services de confiance qualifiés, registres TLD, fournisseurs DNS, etc.), soumise à une supervision proactive [Art. 3 par. 1].
Entité importante
Toute entité relevant du champ d'application de la directive NIS 2 qui n'est pas classée comme entité essentielle, soumise à un régime de supervision ex post [Art. 3 par. 2].
Incident important
Événement ayant causé ou susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières, ou ayant affecté ou susceptible d'affecter d'autres personnes en causant des dommages considérables [Art. 23 par. 3].
CSIRT
Centre de réponse aux incidents de sécurité informatique désigné par chaque État membre pour recevoir les notifications d'incidents et fournir une assistance technique aux entités affectées [Art. 1 par. 2 a)].
Gestion des incidents
Ensemble des actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier [Art. 6 par. 8].
Cybermenace importante
Cybermenace susceptible, compte tenu de ses caractéristiques techniques, d'avoir un impact grave sur les réseaux et systèmes d'information d'une entité ou ses utilisateurs, en causant un dommage matériel, corporel ou moral considérable [Art. 6 par. 11].
Chaîne d'approvisionnement
Ensemble des relations entre une entité et ses fournisseurs ou prestataires de services directs, dont la sécurité doit être prise en compte dans les mesures de gestion des risques, y compris via les évaluations coordonnées au niveau de l'Union [Art. 21 par. 2 d), Art. 22].
?

Questions fréquentes

Quelles entités sont soumises à NIS 2 quelle que soit leur taille ?
Les fournisseurs de réseaux de communications électroniques publics, les prestataires de services de confiance, les registres de noms de domaine de premier niveau, les fournisseurs de services DNS, les entités critiques au sens de la directive (UE) 2022/2557 et les entités fournissant des services d'enregistrement de noms de domaine sont soumises à NIS 2 quelle que soit leur taille [Art. 2 par. 2, Art. 2 par. 3, Art. 2 par. 4].
Quelle est la différence entre une entité essentielle et une entité importante ?
Les entités essentielles sont principalement les grandes entreprises des secteurs hautement critiques de l'annexe I (au-dessus des seuils de la recommandation 2003/361/CE), ainsi que certaines entités désignées expressément (prestataires de services de confiance qualifiés, registres TLD, fournisseurs DNS, etc.) [Art. 3 par. 1]. Les entités importantes sont toutes les autres entités couvertes par la directive [Art. 3 par. 2]. Les entités essentielles sont soumises à une supervision proactive (inspections ex ante), tandis que les entités importantes font l'objet de contrôles ex post [Art. 32, Art. 33].
Quels sont les délais de notification d'un incident important ?
L'entité doit soumettre une alerte précoce dans les 24 heures suivant la prise de connaissance de l'incident, une notification d'incident dans les 72 heures avec une évaluation initiale de gravité et d'impact, et un rapport final dans un délai d'un mois après la notification. Un rapport intermédiaire peut être demandé par le CSIRT ou l'autorité compétente [Art. 23 par. 4].
Les organes de direction sont-ils personnellement responsables ?
Oui. Les États membres veillent à ce que les personnes physiques responsables d'une entité essentielle ou agissant en qualité de représentant légal puissent être tenues responsables des manquements à leur devoir de veiller au respect de la directive [Art. 32 par. 6]. En dernier recours, les autorités compétentes peuvent demander l'interdiction temporaire d'exercer des responsabilités dirigeantes [Art. 32 par. 5 b)].
Quelles sont les dix mesures minimales de gestion des risques ?
L'article 21, paragraphe 2, impose au minimum : a) politiques d'analyse des risques et de sécurité des systèmes d'information, b) gestion des incidents, c) continuité des activités et gestion des crises, d) sécurité de la chaîne d'approvisionnement, e) sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information, f) évaluation de l'efficacité des mesures, g) cyberhygiène et formation, h) cryptographie et chiffrement, i) sécurité des ressources humaines, contrôle d'accès et gestion des actifs, j) authentification multifacteur et communications sécurisées [Art. 21 par. 2].
NIS 2 s'applique-t-elle aux administrations publiques ?
La directive s'applique aux entités de l'administration publique des pouvoirs publics centraux [Art. 2 par. 2 f) i)] et, le cas échéant, au niveau régional [Art. 2 par. 2 f) ii)]. Les États membres peuvent étendre l'application aux administrations locales et aux établissements d'enseignement [Art. 2 par. 5]. En revanche, les entités exerçant dans les domaines de la sécurité nationale, de la défense ou de l'application de la loi sont exclues [Art. 2 par. 7].
Comment NIS 2 s'articule-t-elle avec les actes juridiques sectoriels de l'Union ?
Lorsqu'un acte juridique sectoriel de l'Union impose des exigences de cybersécurité et de notification d'incidents au moins équivalentes à celles de NIS 2, les dispositions de la directive, y compris la supervision, ne s'appliquent pas aux entités couvertes par cet acte sectoriel [Art. 4 par. 1]. C'est le cas par exemple du règlement (UE) 2022/2554 (DORA) pour le secteur financier.
3

Facteurs d’évaluation et liste de contrôle

Premium
Essai gratuit 7 jours
4

Questions pour votre avocat

Premium
Essai gratuit 7 jours
5

Conclusion et résumé

Premium
Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours

Keine Kreditkarte heute. Kündigung jederzeit.