NIS2 en France : Exigences, entreprises concernées et rôle clé de l’IAM

25. mars 2025 | 

La directive NIS2 marque une étape décisive vers un avenir numérique sécurisé pour l’UE. Elle oblige les entreprises, en vertu de la loi, à rendre leur infrastructure informatique plus résiliente pour résister aux menaces croissantes. Depuis le 16 janvier 2023, la directive est entrée en vigueur au niveau de l’UE, mais elle doit encore être transposée dans le droit national des États membres. En France, ce sera le cas dans les mois à venir avec le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, de sorte que les entreprises devront bientôt mettre en œuvre les exigences de NIS2, sous peine de sanctions financières et d’autres conséquences.

Dans cet article, vous découvrirez ce que NIS2 signifie pour les entreprises en France : quelles sont les exigences et quand elles s’appliquent, quelles entreprises sont concernées et quelles mesures sont nécessaires pour répondre aux exigences.

Contexte de NIS2

Les cyberattaques causent des dommages immenses en France et dans le monde entier, atteignant 5 500 milliards d’euros en 2021. Bien que la mise en œuvre complète des normes de sécurité NIS2 ne permette pas d’éviter toutes les menaces, réduire l’impact des cyberattaques sur l’économie française permettrait de réaliser des économies substantielles.

La directive NIS2 de l’UE définit le minimum requis en matière de sécurité que chaque État membre doit mettre en œuvre. Les lois nationales peuvent étendre ces exigences, mais elles ne peuvent pas les affaiblir.

Selon les dernières estimations, seulement environ 20 % des entreprises concernées peuvent actuellement démontrer leur conformité à la directive NIS2 – il y a donc un besoin urgent d’agir. La mise en œuvre de NIS2 n’est cependant pas à prendre à la légère : les exigences sont complexes et nécessitent des mesures de sécurité étendues, dont la mise en œuvre peut prendre jusqu’à 18 mois. Les entreprises qui ne respectent pas encore ces exigences doivent agir rapidement pour éviter les amendes et autres sanctions.

Quelles entreprises sont concernées par la directive NIS2 ?

Le nombre d’entreprises concernées par NIS2 en France augmente considérablement : alors que la directive NIS initiale ne concernait que 500 entreprises, environ 15 000 entreprises sont désormais soumises aux nouvelles exigences. Le nombre de secteurs régulés passe de 6 à 18. Les petites et moyennes entreprises peuvent également être concernées si elles sont considérées comme critiques.

La directive NIS2, tout comme le règlement DORA, s’inscrit dans le cadre du Projet de Loi sur la résilience des infrastructures critiques et la cybersécurité, en adoptant le principe de proportionnalité qui adapte les exigences en fonction de la taille, du secteur et des risques. NIS2 concerne les entreprises classées comme « entités essentielles » ou « entités importantes ». La classification se fait sur la base du secteur, du nombre d’employés et du chiffre d’affaires annuel.

Les entreprises des secteurs critiques tels que l’énergie (l’IT et la technologie opérationnelle également), le transport, la finance, la santé, l’eau, les infrastructures numériques ou l’aérospatiale, sont concernées. Les « entités importantes regroupent également les services postaux et de messagerie, la gestion des déchets, la production, la fabrication et le commerce de produits chimiques, la production alimentaire, l’industrie manufacturière (comme les produits médicaux ou les véhicules automobiles), les fournisseurs de services numériques et la recherche.

Les entreprises de ces secteurs et qui remplissent les conditions ci-dessous sont soumises à la directive NIS2 :

  • Entités essentielles : Entreprises des secteurs critiques comptant au moins 250 employés ou un chiffre d’affaires annuel supérieur à 50 millions d’euros. Cela inclut également les exploitants d’installations critiques ou les fournisseurs d’infrastructures numériques. Les fournisseurs de télécommunications sont concernés dès 50 employés ou un chiffre d’affaires de plus de 10 millions d’euros.
  • Entités importantes : Entreprises des secteurs critiques comptant au moins 50 employés ou un chiffre d’affaires supérieur à 10 millions d’euros, ainsi que tous les fournisseurs de télécommunications qui ne sont pas déjà classés comme entité essentielle.

L’ANSSI, l’autorité nationale de cybersécurité et de cyberdéfense, a mis en place un test en ligne pour vous permettre de vérifier si votre établissement est soumis à la directive NIS2 et à quelle catégorie il appartient. Vous pouvez commencer le test ici.

Votre entreprise fait-elle partie de ces différentes catégories d’entité ? Si c’est le cas, elle devra respecter les exigences NIS2 dès que la directive sera transposée en droit français !

Les entreprises internationales sont-elles concernées par NIS2 ?

Les entreprises hors UE peuvent également être indirectement concernées par NIS2. Si une entreprise a d’importantes activités commerciales ou des liens étroits avec un pays de l’UE, elle devra probablement se conformer ell aussi à NIS2. En particulier, pour les entreprises basées en Suisse ou au Royaume-Uni, l’application des exigences NIS2 dépendra fortement de leur présence sur le marché et des liens avec l’UE. Étant donné que les impacts sur les entreprises non UE dépendent des lois nationales, il est essentiel de demander un avis juridique pour examiner chaque cas et minimiser les risques potentiels.

Quand NIS2 entre-t-elle en vigueur ?

La France, comme de nombreux autres États membres de l’UE, n’a pas respecté le délai du 17 octobre 2024 pour la mise en œuvre de la directive NIS2, ce qui signifie que la directive n’a pas encore été transposée en droit français. Le Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été présenté au Conseil des ministres le 15 octobre 2024 et est actuellement à l’examen à l’Assemblée nationale. Suite à la promulgation de la loi, la mise en œuvre se poursuivra avec l’élaboration et la publication des décrets et ordonnances. NIS2 entrera en vigueur en France dès que tous les textes (loi, décrets, ordonnances) seront promulgués – une date exacte n’est pas encore fixée. Il est important de noter que la date d’entrée en vigueur n’est pas identique à la date d’application de toutes les exigences réglementaires. Cependant, cette date approche, et les entreprises ont encore la possibilité d’agir dans les temps.

Y a-t-il une période de transition ?

Officiellement, il n’y a pas de période de transition pour la conformité aux exigences de NIS2. Dans les pays appliqué la directive dans les délais, la loi nationale est entrée en vigueur directement le 18 octobre 2024. Toutefois, pour la France, la situation demeure floue sur le plan juridique : théoriquement, le droit de l’UE est directement contraignant lorsqu’il est clairement et précisément formulé. En pratique, la NIS2 deviendra contraignante pour les entreprises françaises une fois que le projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité sera adopté, et qu’un enregistrement en tant qu’« entité essentielle » ou « entité importante » aura été effectué. L’ANSSI prévoit de mettre en place un service d’enregistrement en ligne afin de simplifier la transmission des informations requises par la directive NIS2.

Pourquoi agir maintenant ?

L’ANSSI supervise la mise en œuvre de la directive dans le droit national et veille à son application. Elle pourra, à tout moment, effectuer des tests et des contrôles non annoncés pour s’assurer que les entreprises respectent la directive NIS2. Attendre pourrait comporter des risques importants :

  • Contraintes temporelles et négligences : Les entreprises ayant tardé à déployer les mesures disposeront de peu de temps pour élaborer une stratégie IAM complète et répondre aux exigences dans les délais impartis. Ce retard les expose à des amendes élevées, pouvant nuire à leur réputation et entraîner d’autres répercussions dommageables.
  • Sous-classification des entreprises : Les petites entreprises peuvent aussi être classées comme « entité essentielle » ou « entité importante ». Ces entreprises n’ont souvent pas les ressources ou les moyens financiers nécessaires pour mettre en œuvre les mesures requises. De plus, l’ANSSI peut intervenir et imposer des mesures, limitant ainsi la liberté d’action des entreprises.
  • Risques accrus d’attaques : La menace des cyberattaques n’a jamais été aussi grande. Les entreprises qui ne sont pas conformes à NIS2 risquent non seulement des amendes, mais aussi de se retrouver exposées à un risque de sécurité considérable, car elles ne sont peut-être pas suffisamment protégées.

Sanctions en cas de non-conformité

Les conséquences du non-respect de la directive NIS2 peuvent être graves. En plus des lourdes amendes, d’autres sanctions peuvent s’appliquer, notamment en cas de violations. Dans certains cas, la direction peut être tenue personnellement responsable, en particulier si les investissements dans une stratégie adéquate se sont révélés insuffisants.

Les amendes commencent à 100 000 euros pour les infractions mineures et peuvent osciller d’1 à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires mondial annuel si les exigences ne sont pas correctement ou entièrement remplies. De plus, des poursuites judiciaires peuvent également survenir. Les entreprises doivent être conscientes des risques et prendre des mesures dès que possible pour les minimiser.

Quelles sont les exigences à satisfaire pour se conformer à la directive NIS2 ?

Les établissements doivent prendre des mesures juridiques, techniques et organisationnelles pour gérer les risques menaçant la sécurité de leurs réseaux et systèmes d’information.

Une stratégie réfléchie d’Identity and Access Management (IAM) offre une approche efficace pour satisfaire ces exigences. La majeure partie des exigences est couverte par une solution IAM, notamment dans des domaines comme la gestion des risques, la réponse aux incidents et la conformité. IAM renforce également l’ensemble de l’architecture de sécurité d’une entreprise. Voici un aperçu de ce que vous devez prendre en compte pour garantir votre conformité à la directive NIS2:

  • Gestion des risques en cybersécurité : Examinez vos processus et cadres de gestion des risques, et adaptez-les afin de détecter et contrer les menaces dès les premiers signes.
  • Réponse aux incidents, rapports et récupération : Développez une stratégie efficace pour la détection et la gestion des menaces, incluant l’intégration de systèmes de détection et de réponse aux menaces liées à l’identité (ITDR) et la gestion des informations et des événements de sécurité (SIEM).
  • Continuité des affaires et gestion de crise : Assurez-vous que votre stratégie de gestion de crise est robuste et vous permet de rester opérationnel en cas d’incidents de sécurité.
  • Sécurité de la chaîne d’approvisionnement : Vérifiez que vos fournisseurs respectent la conformité NIS2 et ISO27001, et définissez des contrats de niveau de service (SLA) clairs.
  • Sécurité des réseaux et systèmes d’information : Évaluez régulièrement la sécurité de vos systèmes informatiques critiques et combler les vulnérabilités potentielles.
  • Contrôles d’accès, politiques et procédures : Mettez en place l’authentification multifacteur (MFA) et appliquez le principe du Zero-Trust pour éviter les accès non autorisés.
  • Surveillance avancée et reporting : Établissez un système de surveillance en temps réel et utilisez des rapports automatisés pour détecter rapidement les incidents de sécurité.
  • Conformité et audits : Réalisez des audits réguliers, documentez vos mesures de sécurité et assurez-vous de respecter toutes les exigences réglementaires.
  • Bonnes pratiques informatiques : Formez vos employés à la cybersécurité et aux bonnes pratiques en matière de systèmes informatiques pour minimiser les erreurs humaines.

Quelles exigences supplémentaires NIS2 ?

Un rôle central dans la conformité NIS2 est attribué aux domaines du reporting et de l’audit. Ces exigences sont cruciales pour répondre aux obligations réglementaires.

Signalement des incidents

Le signalement des incidents de sécurité est l’une des nouvelles obligations de la directive NIS2, avec des obligations de signalement claires pour les entreprises. Les incidents de sécurité – qu’une attaque ait réussi oactiviu non – doivent être signalés immédiatement aux autorités nationales. Des délais stricts s’appliquent :

  • Dans les 24 heures suivant la découverte d’un incident, une alerte précoce doit être émise
  • Jusqu’à 72 heures, un rapport détaillé doit être fourni, décrivant la gravité, l’étendue et l’impact de l’incident.
  • Jusqu’à un mois, un rapport final doit être soumis, détaillant l’incident, ses causes, les mesures prises et les éventuelles conséquences au-delà des frontières.

De plus, l’ANSSI a le pouvoir de réaliser des contrôles aléatoires sans incidents de sécurité. Dans certains cas, l’ANSSI peut demander aux entreprises d’informer directement leurs clients en cas d’incidents de sécurité. Cette obligation de transparence comporte des risques importants pour l’image de l’entreprise, car les incidents peuvent être rendus publics.

Audit

La directive NIS2 impose des audits réguliers pour garantir le respect des exigences :

  • Les exploitants de systèmes critiques doivent prouver leur conformité NIS2 tous les trois ans par un audit obligatoire et soumettre les résultats à l’ANSSI.
  • Les entreprises « importantes » et « très importantes », ne sont pas soumises à une obligation de signalement auprès de l’ANSSI. En revanche, l’ANSSI réalise des tests et des contrôles aléatoires pour s’assurer du respect des exigences.

Que l’audit soit obligatoire ou réalisé de manière aléatoire, toutes les entreprises concernées doivent documenter de manière exhaustive leurs mesures NIS2. Cette documentation sert de base aux audits et contrôles, permettant de démontrer rapidement et en toute transparence la conformité aux exigences en cas d’inspection.

Avec iC Consult vers la conformité NIS2

Une stratégie bien pensée en IAM est la clé pour répondre avec succès aux exigences de la directive NIS2. Elle protège non seulement les systèmes et données critiques, mais renforce également l’architecture de sécurité de l’entreprise. C’est maintenant qu’il faut repenser vos stratégies de sécurité et investir dans des solutions durables.

iC Consult vous accompagne : nos experts suivent de près les évolutions législatives liées à NIS2 et DORA et vous conseillent sur la manière de les mettre en œuvre avec succès au sein de votre entreprise.

Nous proposons un workshop de trois jours spécialement conçu pour évaluer les exigences légales de NIS2 et DORA. Une solution combinée de Privileged Access Management (PAM) et Identity Governance and Administration (IGA) couvre la majeure partie des exigences NIS2. Avec une stratégie intégrée, vous poserez les bases d’une conformité efficace et durable.

Le workshop comprend :

  • L’analyse des exigences légales et leurs impacts sur votre paysage IAM.
  • L’identification des lacunes en matière de sécurité grâce à une analyse détaillée de l’état actuel de vos systèmes PAM et IGA.
  • Des recommandations personnalisées pour répondre à NIS2 (et DORA), y compris des solutions pour combler les lacunes.
  • Des réponses à des questions spécifiques et approfondissement des résultats d’analyse en collaboration avec votre équipe.

À la fin du workshop, vous recevrez un plan de réduction des risques et une feuille de route pour répondre aux exigences de la directive NIS2. Agissez dès maintenant et protégez votre entreprise contre les défis à venir! Contactez-nous – ensemble, appliquons la directive NIS2 avec succès !