L’élargissement des entités soumises à la directive NIS 2

Ce texte abroge la directive NIS (Network and Information Security), adoptée le 6 juillet 2016, qui avait défini un régime européen de la cybersécurité, en mettant l’accent sur la mise en place d’un niveau de sécurité élevé.

Prenant en compte le caractère évolutif des enjeux de cybersécurité et l’évolution constante des menaces, le législateur européen avait inclus dans la directive NIS un article 23 obligeant la Commission à fréquemment en réexaminer les dispositions.

C’est dans ce contexte qu’une analyse d’impact avait été réalisée en 2020. Cette étude souligne que la directive NIS a permis un changement significatif d’état d’esprit et d’approche des enjeux de cybersécurité d’un point de vue réglementaire et institutionnelle. Voir les enseignements de cette analyse d’impact dans un précédent article dédié à NIS 2.

La directive NIS 2 élargit le champ d’application de NIS, en y intégrant une variété de nouveaux secteurs d’activités qualifiés de sensibles. Ces domaines incluent notamment les télécommunications, les plateformes de réseaux sociaux, la gestion des eaux usées, le spatial, ou les administrations publiques (hors domaine régalien des États membres).

Désormais, toute organisation de moyenne ou de grande taille, appartenant aux secteurs listés, est soumise aux dispositions de la directive.

La directive effectue une nouvelle distinction entre les entités définies comme :

• essentielles : dans des secteurs tels que la santé, l’énergie, les transports, les infrastructures numériques, la gestion de l’eau potable, la gestion des eaux usées, etc. ; les opérateurs des noms de domaines, fournisseurs cloud, administrations publiques, etc., et celles définies comme
• importantes : fabricants, producteurs ou distributeurs de produits chimiques, services postaux, services numériques gestion des déchets, etc.

La première catégorie (entités essentielles) est soumise à des obligations renforcées.

Il est à noter que NIS 2 s’applique également aux entités identifiées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, dite « REC » sur la résilience des entités critiques.

Enfin, les États membres peuvent prévoir que ladite directive s’applique aux entités de l’administration publique au niveau local, et aux établissements d’enseignement, en particulier lorsqu’ils mènent des activités de recherches critiques.

Néanmoins, cet élargissement significatif du champ d’application ne s’applique pas à certaines entités. En effet, celles de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ne sont pas concernées.

Le renforcement des obligations

La directive NIS 2 impose aux États membres de mettre en place une stratégie nationale afin d’atteindre et de maintenir un haut niveau de sécurité dans les domaines susmentionnés.

Les États membres doivent notamment s’assurer que les entités concernées mettent en œuvre les mesures assurant la sécurité de leurs réseaux et systèmes d’information, ainsi que leur environnement physique, selon une approche par les risques appliquée à la cybersécurité.

Cette démarche doit donc inclure :

• L’analyse des risques et la prise en compte des cybermenaces définie par le règlement 2019/881 relatif à l’ENISA et à la certification de cybersécurité des technologie de l’information et des communications, comme : « toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes »,
• La détection et la remédiation des vulnérabilités, définies dans la directive NIS 2 comme : « une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace ».
•  La prise en compte des risques associés à la chaîne de valeur (sous-traitants, fournisseurs, etc.),
• La détection des incidents, définis comme : « un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessible »,
• Le traitement des incidents, défini comme : « toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier ».

• L’obligation de gestion des risques

Les États Membres ont l’obligation de veiller à ce que les entités prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information.

Les mesures visées sont fondées sur une approche « tous risques », et comprennent au moins :

• Les politiques de sécurité des systèmes d’information,
• Les procédures de gestion des incidents,
• Les mesures de maintien de l’activité lors des périodes de crise,
• L’usage d’outils cryptographiques de chiffrement des données, etc.
• Une équipe chargée de la gestion des incidents.  

La nouvelle réglementation impose aussi une obligation de gestion des risques associées à l’ensemble des organismes tiers, appartenant à la chaîne d’approvisionnement (supply chain) des acteurs concernés par la directive.

Ainsi, cette démarche doit nécessairement inclure la détection et la remédiation des incidents et vulnérabilités ; et la prise en compte des risques associés à la chaîne d’approvisionnement : sous-traitants, fournisseurs.

• L’obligation d’information

La directive NIS 2 met à la charge des entités subissant un incident important des obligations de notification.

Selon l’article 23 de la directive NIS 2, un incident important est caractérisé par le fait que l’incident litigieux :

• a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée et
• a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

En cas d’incident important, l’entité concernée devra le notifier à son Centre de Réponse aux Incidents de Sécurité Informatique (CSIRT) ou à l’autorité compétente. Cette notification devra, le cas échéant, contenir des éléments permettant à ces derniers d’identifier si ledit incident a un impact transfrontière.

L’entité concernée devra aussi notifier, sans retard injustifié, aux destinataires de leurs services, les incidents importants susceptibles de nuire à la fourniture desdits services.

Le texte contient des dispositions sur les délais, les modalités de notification des incidents, sur le calendrier et sur le contenu des rapports.

En outre, en vertu de l’article 20 de la directive NIS 2, les entreprises doivent adopter des mesures de sécurité comprenant des formations permettant aux employés de comprendre et d’évaluer les risques de cybersécurité ainsi que leur impact sur l’organisation.

Le renforcement du réseau européen relatif aux risques cyber

La directive renforce le dispositif de partage d’informations et de lutte contre les cybermenaces, en renforçant la coopération entre trois types d’acteurs :

• Les « centres de réponse aux incidents de sécurité informatique » (Computer Security Incident Response Teams – CSIRTs), ces équipes des Etats Membres chargées de répondre rapidement et efficacement aux incidents de sécurité crées en 2016 par la directive NIS ; 
• Le Groupe de Coopération NIS, chargé de produire des lignes directrices à l’intention des autorités nationales et de coordonner leur action ;
• La nouvelle institution EU-CyCLONe (European cyber crises liaison organisation network), crée par la directive et ayant pour objet l’étude et la réponse coordonnée aux incidents de grande échelle. 

Ces dispositifs devraient accroître la coopération transfrontalière entre États membres.

NIS 2 : quelles sanctions ?

La directive NIS 2 prévoit que les autorités compétentes nationales devront disposer de pouvoirs coercitifs leur permettant d’imposer des mesures d’exécution aux entités essentielles et importantes telles que des inspections sur place et des contrôles à distance, des audits de sécurité réguliers et ciblés, des demandes d’informations nécessaires à l’évaluation ex post des mesures de gestion des risques en matière de cybersécurité, des demandes d’accès à des données, à des documents et à des informations nécessaires à l’accomplissement de leurs tâches de supervision. Les autorités compétentes devront également être en mesure d’émettre des avertissements, des injonctions et d’imposer des amendes administratives ou de demander à l’organe compétent en droit national de prononcer lesdites amendes (Directive NIS 2, articles 32 et 33).

A cet égard, l’article 34 de la directive NIS 2 définit les conditions générales relatives aux amendes administratives imposées aux entités essentielles et importantes. Ainsi, les États membres de l’Union européennes devront-ils veiller à ce que les sanctions administratives prévues par le droit national soient effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas.

Ils devront également veiller à prendre en compte les montants maximum des amendes administratives définis par la directive NIS 2 en cas de violation de l’article 21 (mesures de gestion des risques en matière de cybersécurité) ou de l’article 23 (Obligations d’information).

En effet, en cas de manquement, une entité essentielle s’expose à une amende administrative d’un montant maximal s’élevant à au moins 10 000 000 euros, ou à au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu.

Une entité importante s’expose quant à elle à une amende administrative d’un montant maximal s’élevant à au moins 7 000 000 euros, ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu.

S’agissant de l’administration, la directive prévoit qu’il appartiendra à chaque État membre de déterminer si une entité publique pourra être ou non sanctionnée.

Calendrier et actualités

Le 17 octobre 2024, la Commission européenne a publié un Règlement d’exécution relatif aux entités et réseaux critiques, qui vient préciser certaines exigences techniques et méthodologiques prévues par la Directive NIS 2.

Il est à noter que la France a fait le choix d’élaborer un projet de loi visant à transposer trois directives européennes. Comme susmentionné, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui permettra de transposer en droit français la directive NIS 2, mais aussi la directive REC et la directive accompagnant le règlement DORA, été voté au Sénat le 12 mars 2025. Amendé et adopté le 10 septembre 2025 par la Commission spéciale en charge de l’examen de ce texte à l’Assemblée nationale, il doit à présent être examiné et voté en séance publique à l’Assemblée nationale.  

NIS 2 : Quelle articulation avec les violations de données à caractère personnel au sens du RGPD ?

En application de l’article 35 de la directive NIS 2, l’autorité nationale compétente constatant qu’une violation de la directive NIS 2 peut donner lieu à une violation de données à caractère personnel devant être notifiée à une autorité de contrôle au regard du RGPD, devra en informer ladite autorité de contrôle.

Où en êtes-vous dans votre mise en conformité NIS 2 ? Gestion de vos risques, sensibilisation et formation de vos équipes, adaptation des contrats… Comment pouvons-nous vous être utiles ? Mathias Avocats vous accompagne, contactez-nous !

Ensemble, développons vos projets et formons vos équipes. Partageons nos expertises !