L’Union européenne renforce son cadre de cybersécurité avec la directive NIS 2, qui vise à instaurer un niveau de protection homogène et renforcé pour les infrastructures critiques. Cette directive impose aux organisations dites « essentielles » ou « importantes » de mettre en place des mesures de sécurité, de notifier tout incident majeur aux autorités compétentes, et de se soumettre à une supervision accrue. Le non-respect de ces obligations peut donner lieu à des sanctions sévères, voire à des implications personnelles pour les dirigeants.
Cet article détaille les origines, le périmètre et les entités concernées par NIS 2.
Sommaire
- Qu’est-ce que la directive NIS 2 ?
- Les “entités essentielles”
- Les “entités importantes”
- Taille, statut et critères de délimitation
- Public vs privé : une directive transversale
- Chaînes d’approvisionnement et prestataires tiers
- Champ géographique : au-delà de l’UE
- Régimes sectoriels : quand la directive ne s’applique pas
- L’horodatage qualifié : une solution pour se conformer à NIS 2
Ce qu’il faut retenir sur la Directive NIS 2
- La directive NIS 2 renforce le cadre européen de cybersécurité et s’applique à un nombre élargi d’organisations publiques et privées.
- Elle distingue deux catégories d’acteurs : les entités essentielles et les entités importantes, chacune soumise à des obligations de sécurité, de gestion des risques et de notification d’incidents.
- Le périmètre d’application inclut désormais de nouveaux secteurs : énergie, santé, transports, administration publique, infrastructures numériques, industrie, services postaux, entre autres.
- La directive prend également en compte les chaînes d’approvisionnement et les prestataires tiers, qui doivent eux aussi garantir un niveau de sécurité adéquat.
- Les sanctions prévues en cas de non-conformité peuvent être lourdes, y compris pour les dirigeants responsables.
- Pour démontrer leur conformité, les organisations doivent documenter et horodater leurs logs de sécurité, timelines d’incidents et preuves de remédiation.
Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 prend la relève de la première directive « NIS » (2016) relative à la sécurité des réseaux et des systèmes d’information. Si cette première version avait permis l’instauration d’un cadre de cybersécurité commun au niveau européen, l’évolution rapide des menaces (et la multiplication des services critiques dépendants des technologies numériques) ont rendu nécessaire un dispositif renforcé.
Avec NIS 2, l’UE élargit ainsi le champ d’application, renforce les obligations et instaure des sanctions plus strictes. Elle s’applique à la fois aux acteurs publics et privés, dès lors qu’ils opèrent dans des secteurs considérés comme stratégiques.
Les “entités essentielles”
On qualifie d’« essentielles » les organisations dont le bon fonctionnement est vital pour la société ou l’économie. La directive agrandit la liste par rapport à la version précédente. Sont désormais concernées :
- Le secteur de l’énergie (production, transport, distribution d’électricité, pétrole, gaz, hydrogène, services de recharge pour véhicules électriques, réseaux de chaleur/froid).
- Les transports et l’espace : compagnies aériennes, gestionnaires d’aéroports, opérateurs ferroviaires, ports maritimes, infrastructures routières ou liées aux services spatiaux.
- Le secteur bancaire et financier : établissements de crédit, plateformes de négociation, contreparties centrales.
- La santé : hôpitaux, prestataires de soins, laboratoires de R&D pharmaceutique, fabricants de substances pharmaceutiques de base.
- L’eau : fournisseurs d’eau potable, gestion des eaux usées et unités de traitement, dès lors que cette activité n’est pas accessoire.
- Les infrastructures numériques et TIC : centres de données, services cloud, services d’infogérance, réseaux de diffusion de contenu (CDN), services DNS, fournisseurs de services de cybersécurité managés.
- L’administration publique : autorités centrales/régionales, juridictions, parquets, institutions stratégiques.
Cet ensemble élargi montre la volonté de l’UE de prendre en compte l’ensemble des services désormais vitaux dans le contexte numérique.
Les “entités importantes”
Même si leur rôle est jugé moins stratégique que celui des « essentielles », les entités « importantes » restent soumises aux obligations de sécurité. Parmi elles :
- Les prestataires de services numériques : moteurs de recherche, places de marché en ligne, réseaux sociaux.
- Le secteur de la gestion des déchets : collecte, traitement ou élimination des déchets, sauf si cette activité est marginale.
- La fabrication, production et distribution de produits chimiques : fabricants, distributeurs, détaillants de substances chimiques.
- Les activités de recherche : entités de R&D appliquée ou expérimentale.
- Les chaînes d’approvisionnement alimentaires : acteurs de la production, transformation ou distribution des denrées.
- L’industrie : production informatique, électronique, optique, véhicules, équipements de transport, machinerie mécanique, dispositifs médicaux (y compris diagnostics in vitro).
- Les services postaux : services de collecte/tr i/transit/distribution du courrier, y compris messagerie express.
Taille, statut et critères de délimitation
L’éligibilité d’une entité dépend aussi de sa taille : certaines organisations, qui relèveraient autrement de la catégorie « essentielle », peuvent être classées « importantes » si elles répondent aux seuils de PME. Il existe toutefois des exceptions : les fournisseurs qualifiés de services de confiance, les registres de noms de domaine, les fournisseurs de services de communication accessibles au public, les administrations centrales, etc., resteront dans la catégorie « essentielle», même de taille restreinte.
Cette approche permet d’adapter le périmètre aux réalités économiques tout en garantissant que les services réellement critiques restent sous contrôle.
Public vs privé : une directive transversale
La directive s’applique aussi bien aux acteurs publics qu’aux entreprises privées. Ainsi, les organisations détenues ou contrôlées par l’État, ainsi que les sociétés privées intervenant dans les secteurs visés, entrent dans le périmètre. Les administrations centrales sont systématiquement qualifiées d’entités essentielles. Ce caractère transversal accentue la portée de la directive dans l’écosystème global.
Chaînes d’approvisionnement et prestataires tiers
Une dimension clé de NIS 2 est la prise en compte de la chaîne d’approvisionnement : les prestataires (produits, services ou infrastructures) des entités essentielles ou importantes peuvent également être soumis aux obligations de la directive. Ceci implique que les organisations assujetties ont la responsabilité de veiller à ce que leurs fournisseurs tiers adoptent des mesures de sécurité équivalentes à celles qu’elles mettent en œuvre elles-mêmes.
Champ géographique : au-delà de l’UE
La directive ne se limite pas uniquement aux États membres : elle peut aussi s’appliquer à des prestataires établis hors de l’Union européenne dès lors qu’ils fournissent des services ou infrastructures critiques à des entités situées dans l’UE. Autrement dit, une organisation non-européenne intervenant dans le cadre d’un service stratégique pour l’UE pourrait entrer dans le périmètre NIS 2.
Régimes sectoriels : quand la directive ne s’applique pas
Certaines organisations sont déjà soumises à des cadres réglementaires spécifiques jugés équivalents ou plus stricts que la directive NIS 2 (ex. pour le secteur financier). Dans ces cas, la directive prévoit que ce sont les textes sectoriels qui priment, et ne s’applique pas pour cette part. Cela évite la superposition de dispositifs. Toutefois, si certaines entités d’un secteur ne sont pas couvertes par ces régimes spécifiques, elles pourront toujours être concernées par NIS 2.
L’horodatage qualifié : une solution pour se conformer à NIS2
La directive NIS 2 impose aux entités essentielles et importantes de garantir la sécurité de leurs systèmes d’information, de documenter les incidents et de prouver la mise en œuvre de mesures correctives. Evidency, en tant que Qualified Trust Service Provider (QTSP) conforme à la réglementation eIDAS, propose des solutions d’horodatage qualifié qui permettent de répondre à ces obligations. En effet, grâce à l’horodatage qualifié, les organisations peuvent notamment :
- sécuriser et tracer les logs de sécurité,
- établir des timelines fiables des incidents,
- conserver des preuves de remédiation ou de correction.
En intégrant ces services directement dans leurs processus via API, les entreprises s’assurent de l’intégrité, de l’authenticité et de la valeur probante de leurs données. L’horodatage qualifié devient ainsi un levier clé pour démontrer la conformité à NIS2 et renforcer la gouvernance globale de la cybersécurité.
Conclusion
Le périmètre de la directive NIS 2 est vaste et évolutif : les États membres avaient jusqu’au 17 avril 2025 pour identifier les entités concernées. Bien que chaque organisation doive vérifier sa propre situation, les acteurs des secteurs stratégiques disposent désormais d’assez d’informations pour anticiper leur conformité. Il est essentiel de s’engager dès maintenant dans la mise en place des dispositifs de cybersécurité et des processus de notification d’incidents.
Clause de non-responsabilité
Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.
L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Evidency. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.
