Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Rechercher

  1. Orange Cyberdefense
  2. Ressources
  3. Blog
  4. Directive NIS2 : quelles échéances pour la mise en conformité des entreprises et le renforcement de leur résilience en cybersécurité ?

Directive NIS2 : quelles échéances pour la mise en conformité des entreprises et le renforcement de leur résilience en cybersécurité ?

Un homme vêtu d'une combinaison et d'un casque industriel consulte un ordinateur portable à la nuit tombée.

Partager

L'essentiel de votre hack'tu cybersécurité

  • La directive NIS2 vise à renforcer la cybersécurité des entreprises dans l’UE en élargissant son champ d’application et en imposant des obligations plus strictes, avec une transposition nationale pour la France prévue dès que les textes seront (loi, décrets, arrêtés) par l'Assemblée nationale ; 

  • En France, entre 15 000 et 18 000 entreprises seront concernées, classifiées en entités essentielles (EE) ou importantes (EI), avec des obligations spécifiques selon leur classification, notamment en matière de gestion des risques et de signalement des incidents ; 

  • Les entreprises non conformes risquent des sanctions financières importantes, jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les EE. Orange Cyberdefense propose un accompagnement de bout en bout pour contribuer à la mise en conformité des entreprises régulées. 

Quelles sont les prochaines échéances de la directive NIS2 ?

Les délais pour respecter la mise en conformité de directive NIS2 approchent pour les entreprises françaises. Cet article vous résume  les étapes importantes à venir : le cadre réglementaire, la transposition nationale, la classification des entités, les secteurs concernés, ainsi que les sanctions en cas de non-conformité. Découvrez comment Orange Cyberdefense peut aider les entreprises françaises à renforcer leur résilience. 

Contexte et enjeux de la directive NIS2

La directive NIS2 (UE 2022/2555), adoptée le 14 décembre 2022 par le Parlement européen, vise à renforcer la résilience des acteurs économiques au sein de l’Union et à uniformiser leurs niveaux de cybersécurité. Elle étend le champ d’application de la précédente directive NIS, qui ciblait principalement les Opérateurs de Services Essentiels (OSE) dans des secteurs clés comme l’énergie, les transports ou la santé, ainsi que les fournisseurs de services numériques. NIS2 couvre désormais davantage de secteurs : services postaux, gestion des déchets, produits chimiques, agroalimentaire, recherche(1), ainsi que les fournisseurs numériques. Elle prévoit aussi des obligations renforcées et des sanctions plus dissuasives en cas de non-conformité. 

Quelles sont les étapes et enjeux de la transposition nationale pour la directive NIS2 ?

En France, la transposition de NIS2 concerne entre 15 000 et 18 000 entreprises(2), réparties en deux catégories : entités essentielles (EE) et importantes (EI). Ce projet de loi sera voté par l’Assemblée nationale dès que le gouvernement sera constitué, pour une mise en application prévue début 2026.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a défini 20 objectifs stratégiques pour encadrer cette transposition, qui devrait connaître peu de modifications par rapport à la version de juillet 2024.

Les entreprises concernées auront trois ans pour se conformer, et devront effectuer notamment :
⦁    leur déclaration en ligne via « MonEspaceNIS2 » (en phase Bêta) ;
⦁    le respect des obligations en gestion des risques, mesures juridiques, techniques et organisationnelles ;
⦁    le signalement obligatoire de tout incident majeur à l’ANSSI(4).

Passé ce délai, les entreprises feront l’objet de contrôles via l’ANSSI. Des sanctions financières et organisationnelles seront prévues pour celles qui ne seraient pas en conformité au regard de cette nouvelle directive.

Classification des entreprises régulées : Entités Essentielles (EE) et Entités Importantes (EI)

Le niveau d’obligations des entreprises pour entrer en conformité et renforcer leur résilience en matière de cybersécurité peuvent varier en fonction de leur statut. Les entreprises régulées par la directive NIS2 sont en effet classifiées en deux catégories. Les Entités Essentielles (EE) d’une part et les entités importantes (EI) d’une autre. A la différence de NIS1, qui classait les OSE en fonction du secteur d’activité, NIS2 tient compte de la taille et du chiffre d’affaires de l’entreprise. Cette catégorisation est donc établie en fonction du degré de criticité, de taille et de chiffre d'affaires pour les entreprises régulées.  

Une fois le projet de loi entré en vigueur, il incombera aux entreprises françaises d’effectuer les démarches auprès de l’ANSSI pour savoir si elles sont concernées par la directive, et le cas échéant connaître leur classification et les obligations qui les engagent. Voici pour rappel une définition des entités importantes et des entités essentielles. 

  • Les entités importantes (EI) : les entités importantes sont des organisations qui jouent un rôle crucial dans le maintien des services essentiels ou des infrastructures critiques, sans nécessairement atteindre les seuils d’effectifs ou de chiffre d’affaires des entités essentielles. Elles peuvent inclure des entreprises ou organismes dont la défaillance ou la perturbation pourrait avoir des répercussions significatives sur la sécurité, la santé publique ou l’économie. Conformément à la directive NIS2, ces entités doivent mettre en œuvre des mesures de sécurité adaptées, assurer une gestion efficace des incidents et signaler rapidement toute situation susceptible d’affecter la continuité de leurs activités ;  
     
  • Les entités essentielles (EE) : les entités essentielles sont des organisations qui fournissent des services ou infrastructures hautement critiques, employant au moins 250 personnes ou dont le chiffre d’affaires annuel excède 50 millions d’euros. Toute défaillance ou perturbation liée à une alerte ou une crise cyber sur ce type d’entreprise pouvant avoir des conséquences sur l’économie, la sécurité et la santé publiques, ces entités sont soumises à des exigences plus strictes dans le cadre de la directive NIS2. Elles doivent ainsi respecter des mesures de sécurité renforcées et signaler rapidement les incidents. 

Parmi les 18 secteurs d’activité critiques des entreprises régulées, on trouve : 

  • L'énergie : électricité, gaz, pétrole ;    
  • Les transports, aériens, ferroviaires, maritimes ;   
  • La santé, hôpitaux et centres de soins ;  
  • Le secteur financier, banques et marchés financiers ;  
  • La distribution de l'eau ; 
  • Les infrastructures numériques critiques. 

Selon Yann Lonlas, Consultant en cybersécurité chez Orange Cyberdefense, le référentiel NIS2 en France est plus léger pour les EI que pour les EE. Les principales actions pour les EE concernent :

  • La gestion d’équipements dédiés à l’administration du système d’information ;
  • La mise en place d’un centre opérationnel de sécurité (SOC) ;
  • Le durcissement des configurations ;
  • La réalisation d’audits réguliers ;
  • La formalisation de la gestion des risques.

Les obligations pour les EI représentent environ 60 % de celles des EE.

Risques et sanctions en cas de non-conformité à la directive NIS2

Une cyberattaque coûte en moyenne 466 000 euros à une PME française et peut représenter jusqu’à 10% de son chiffre d’affaires (XXX). 

« Si la mise en conformité représente un coût de sécurisation, ce n’est rien comparé au coût de  reconstruction d’un système d'information (SI) après une attaque qui est en moyenne dix fois supérieur à celui de la prévention et peut varier selon l’infrastructure et le secteur d'activité des clients » précise Yann Lonlas.  

Il faut également bien avoir en tête les sanctions en cas de manquement sont sévères : les amendes pourront atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les EE, et 7 millions d’euros ou 1,4 % pour les EI. Les dirigeants peuvent également faire face à des poursuites judiciaires et des interdictions d’exercé un poste similaire. 

Comment Orange Cyberdefense peut accompagner les entreprises à se mettre en conformité avec la Directive NIS2 ?

Même si le référentiel NIS2 n’est pas encore totalement stabilisé, il est possible d’anticiper sa mise en conformité dès aujourd’hui. 

Orange Cyberdefense propose un accompagnement complet, allant du conseil à l’audit, en passant par la mise en œuvre d’outils de cybersécurité. Nos experts interviennent sur l’analyse des risques, la mise à jour des systèmes, la surveillance et la détection des incidents, pour assurer la conformité et renforcer la résilience de votre organisation. 

Si vous souhaitez approfondir certains points ou avez d’autres questions, n’hésitez pas à consulter notre FAQ dédiée ci-dessous. 

Sources et notes

(1) Pour des informations plus détaillées, nous vous renvoyons vers les annexes de la directive et les articles 8 et 9 du Projet de loi Résilience : https://www.senat.fr/petite-loi-ameli/2024-2025/394.html ; 

(2) Cette information est calculée sur la base d’extraction SIREN et des chiffres de l’INSEE. A titre de comparaison, NIS1 concernait 300 entreprises en France ; 

(3) « Le coût réel des cyberattaques : la menace financière qui pèse sur chaque entreprise française », Crisehelp : https://crisehelp.fr/cout-reel-cyberattaque-entreprise-france/ ; 

(4) La transposition nationale Française de NIS2 stipule à date que tout incident important défini par l’article 17 du projet de loi est un incident qui :
« A causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour la personne concernée » ; 
« A affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, moraux, corporels considérables ». 
Au niveau de la règlementation européenne de NIS2, le texte est un plus précis : « Un incident ayant causé une perte financière de 500 000 € ou 5% du CA annuel, le montant le plus bas des deux étant retenu »
« Un incident ayant permis des fuites de données concernées par le secret des affaires (Directive EU 2016/943) » ; 
« Un incident causant ou capable de causer la mort d’une personne ou de faire des dommages considérables à sa santé » ; 
« Un incident dont la réalisation a permis un accès non autorisé capable de causer de sévères disruptions opérationnelles » ; 
« Un incident affectant 5 % des utilisateurs » ;  
« Un incident validant les 3 critères suivants : 2 occurrence au minimum en moins de 6 mois; même cause racine; ces incidents cumulés valident le critères de coût financier ».

FAQ : tout savoir sur la directive NIS 2

  • Qu’est ce que la directive NIS 2 ? 
    La directive NIS 2 (« Network and Information Systems ») est une législation européenne visant à renforcer et à uniformiser la résilience des entités importantes et essentielles. Elle vise également à homogénéiser les critères du champ d’application et les référentiels européens, pour éviter les écueils rencontrés par NIS 1. Ses obligations comprennent des mesures techniques et organisationnelles à appliquer pour toutes les entités régulées (cf. Articles 20, 21, 23 du projet de loi).
     
  • Quelles sont les prochaines étapes de la directive NIS 2 en France ? 
    La transposition nationale de la directive NIS 2 a été voté au sénat le 12 mars 2025 et fera l’objet d’un vote à l’Assemblée nationale en septembre 2025, pour une mise en application en France d’ici la fin d’année, avec la sortie du/des décrets contentant le référentiel de mesure. A partir de cette date, les entreprises régulées auront 3 ans pour se mettre en conformité. (lien vers l’article du MagIT avec le référentiel ?)
     
  • Quelles sont les principales différences entre NIS 2 et NIS 1
    NIS 2 étend le champ d’application de NIS 1 à 8 secteurs d’activités supplémentaires, soit 18 secteurs d’activité. De plus, NIS 2 prend également en compte la taille de l’entité régulée et son chiffre d’affaires en considération, avec une classification départageant les entités essentielles et les entités importantes. 
     
  • Quels sont les 18 secteurs d’activité concernés par la directive NIS 2 ? 
    Les 18 secteurs d’activité concernés par la directive NIS2 sont : 
    La Santé 
    L’Energie
    Les Services postaux et d’expédition
    L’Industrie manufacturière 
    Les Infrastructures des marchés financiers 
    Le Secteur bancaire   
    Les Transports 
    La Gestion des déchets 
    La Recherche 
    L’Eau potable 
    Les Eaux usées 
    Les Fournisseurs numériques 
    La Fabrication, production et distribution de produits chimiques 
    Les Infrastructures numériques 
    Les Administrations publiques
    La Production, transformation et distribution des denrées alimentaires 
    L’Espace 
    La gestion des services de Technologies de l’Information et de la Communication.
     
  • Comment savoir si son entreprise est assujettie à NIS 2 ? 
    L’ANSSI a mis à disposition un outil via MonEspaceNIS2 pour faire un test permettant de savoir si son entreprise est conforme. A date, l’outil est encore en phase bêta et ne gère pas le secteur public, car relevant du projet de loi non voté pour l’instant. Les organisations privées et publiques devront ensuite se déclarer en ligne. Cela n’est pas encore possible, le projet de loi n'ayant pas encore été voté à l'heure où nous écrivons ces lignes. 
     
  • Quelles sont les échéances qui incombent aux entités soumises à la transposition française ? 
    A partir du moment où la transposition nationale de la directive NIS 2 entre en application, les entreprises régulées auront 3 ans pour mettre en place une mise en conformité complète. A noter cependant qu’il est fortement probable que les entités doivent s’enregistrer et prévoir les notifications d’incidents avant ces 3 ans, ces éléments-là n’ayant de durée définie. 
     
  • Quel est le rôle de l’ANSSI dans l’application de la directive NIS 2 en France ? 
    L’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) est l'autorité nationale de référence pour assurer la conformité, la sécurité et la gestion des incidents liés à la directive NIS 2 en France. Elle sera le pilote de l’application de la directive transposée.
     
  • Quelles sont les différences entre les entités dites essentielles (EE) et les entités importantes (EI)
    Les entités essentielles (EE) sont des organisations ayant une activité principale présente dans l’annexe 1 de la directive ou répondant aux critères de l’article 8 du Projet de loi avec au moins 250 employés ou un chiffre d’affaires supérieur à 50 millions d’euros, fournissant des services vitaux dans des secteurs clés, avec des obligations strictes.

    Les entités importantes (EI) sont toutes les autres entités ayant une activité principale de l’annexe 1 mais n’atteignant pas les seuils de 250 employés ou de 50 millions d'euros de CA, toutes les entités ayant une activité principale de l’annexe 2 ou cités dans l’article 9 du projet de loi. Elles doivent aussi assurer la sécurité et la gestion des incidents, mais avec des exigences moins strictes. 
     
  • Quelles sont les sanctions encourues en cas de non-conformité ? 
    En cas de non-conformité à la directive NIS 2, les sanctions peuvent inclure des amendes importantes, des sanctions administratives, ou des mesures coercitives. Les autorités nationales peuvent également imposer des obligations de mise en conformité, des contrôles renforcés, et des sanctions dissuasives pour assurer le respect des exigences de sécurité et de gestion des incidents. En cas de manquement aux exigences de la directive NIS2, une entreprise non conforme peut en effet recevoir une amende, faire l’objet de poursuites judiciaires et son dirigeant être dans l’interdiction d’exercer. Une entité essentielle non conforme peut courir le risque de recevoir une amende allant jusqu’à 10 millions d’euros ou équivalente à 2 % de son chiffre d’affaires mondial total. Pour les entités importantes, l’amende peut s’élever à 7 millions d’euros ou 1,4 % de leur chiffre d’affaires mondial. 
     
  • Comment Orange Cyberdefense peut aider mon entreprise à anticiper la mise en conformité avec la directive NIS 2 ? 
    Les experts d’Orange Cyberdefense possèdent une expertise de bout en bout en cybersécurité pour auditer les entreprises, les accompagner dans leur gestion des risques, assurer la mise en place d’une gouvernance, vous accompagner dans l’implémentation et la mise en place de votre système d'information, ainsi que proposer des outils de sécurisationdu SI, de détection des alertes et incidents. 

Victime d’un incident ?

Vous faites face à une cyberattaque ?

Nos experts sont joignables 24h/24, 7j/7.

Contactez l'assistance