Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 succède à la première directive européenne en matière de cybersécurité, la directive NIS relative à la sécurité des réseaux et des systèmes d’information, adoptée en 2016. Si ce premier texte avait permis d’instaurer un niveau commun de cybersécurité au sein de l’Union Européenne, l’évolution rapide des menaces a nécessité un cadre plus structurant.
La directive NIS 2 procède à une refonte en profondeur de la version initiale : elle élargit son champ d’application, renforce ses exigences et impose des obligations accrues aux entités publiques comme privées. Le régime de sanctions constitue également un volet central du dispositif.
Entités essentielles (hautement critiques)
Il s’agit d’organisations dont le rôle est déterminant pour le bon fonctionnement de la société et de l’économie. La directive NIS 2 élargit considérablement la liste des entités essentielles par rapport à la version initiale. Elle couvre désormais un spectre plus large de secteurs, parmi lesquels :
Énergie
Entreprises actives dans la production et la fourniture d’électricité, de pétrole et de gaz, sur l’ensemble de la chaîne de valeur, depuis la génération jusqu’à la distribution. Sont concernées notamment : les gestionnaires de réseaux de transport et de distribution, les producteurs et fournisseurs d’électricité, les opérateurs de marchés de l’électricité, les exploitants de bornes de recharge et les fournisseurs de services d’électromobilité, les opérateurs de réseaux de chaleur et de froid urbains ; les exploitants d’oléoducs, les installations de production, de raffinage et de traitement, les unités de stockage et de transport, ainsi que les organismes nationaux de stockage stratégique ; les fournisseurs, distributeurs, transporteurs, producteurs et exploitants d’installations de stockage de gaz ; et les opérateurs de production, de stockage et de transport d’hydrogène.
Transports et espace
Acteurs des réseaux de transport aérien, ferroviaire, maritime et routier, ainsi que les opérateurs de systèmes terrestres liés aux services spatiaux, y compris les prestataires de services spatiaux. Cela comprend notamment : les compagnies aériennes commerciales, les gestionnaires d’aéroports et les exploitants d’infrastructures associées, les entités chargées du contrôle du trafic aérien ; les opérateurs ferroviaires nationaux ou régionaux et les transporteurs ferroviaires ; les exploitants de ports maritimes ; et les autorités routières responsables de la planification, de la régulation et de la gestion des infrastructures, y compris les prestataires de services ITS pertinents.
Secteur bancaire
Prestataires de services financiers, notamment les établissements de crédit, les plateformes de négociation et les contreparties centrales.
Santé
Établissements hospitaliers, prestataires de soins, laboratoires, ainsi que les entités impliquées dans la recherche et le développement de produits pharmaceutiques et les fabricants de substances pharmaceutiques de base.
Eau
Structures assurant le traitement et la distribution d’eau potable ainsi que la gestion des eaux usées. Pour l’eau potable, cela inclut les fournisseurs et distributeurs d’eau destinée à la consommation humaine, à l’exception des acteurs pour lesquels cette activité reste accessoire par rapport à une activité principale de distribution d’autres biens ou produits. Pour les eaux usées, cela concerne les opérateurs chargés de la collecte, du traitement ou de l’évacuation des eaux urbaines, domestiques ou industrielles, sauf si cette activité est marginale dans leur fonctionnement global.
Infrastructures numériques et TIC
Prestataires de points d’échange Internet, de services DNS, de services de communications électroniques, de registres de noms de domaine de premier niveau (TLD), de services de cloud, de centres de données (data centers), de services de confiance, d’infogérance, ou encore de services de cybersécurité managés. Cela inclut les entités exploitantes ou assurant la gestion d’outils et de services informatiques pour le compte de clients, souvent dans le cadre d’un contrat de niveau de service (SLA), les réseaux de diffusion de contenu (CDN) et les prestataires de services DNS, à l’exception des opérateurs de serveurs racine.
Administration publique
Organismes publics à l’échelon central et régional. Sont notamment visés : les administrations centrales, les autorités régionales, les juridictions, les parquets, ainsi que d’autres institutions stratégiques pour le fonctionnement de l’État.
Entités importantes (autres entités critiques)
La directive NIS 2 introduit une nouvelle catégorie d’acteurs, désignés comme entités importantes. Bien que leur rôle soit jugé moins stratégique que celui des entités essentielles, elles sont néanmoins soumises aux mêmes obligations réglementaires en matière de cybersécurité.
Sont notamment concernées :
- Prestataires de services numériques :Fournisseurs de places de marché en ligne, de moteurs de recherche et de réseaux sociaux.
- Gestion des déchets : Entreprises assurant la collecte, le traitement ou l’élimination des déchets. Cela comprend les installations de traitement, les négociants, les intermédiaires et les transporteurs, à l’exception de ceux pour lesquels cette activité ne constitue pas le cœur de métier.
- Fabrication, production et distribution de produits chimiques : Acteurs impliqués dans la fabrication ou la distribution de substances ou de mélanges, y compris les prestataires de services dans le secteur chimique. Cela recouvre les fabricants, les distributeurs, et les détaillants qui stockent et commercialisent des substances ou articles chimiques.
- Recherche : Organismes dont l’activité principale porte sur la recherche appliquée ou le développement expérimental.
- Chaînes d’approvisionnement alimentaire : Structures intervenant dans la production, la transformation ou la distribution de denrées alimentaires.
- Activités industrielles : Entités opérant dans la fabrication de produits informatiques, électroniques, électriques et optiques, de véhicules automobiles (y compris remorques et semi-remorques), d’équipements de transport, de machines et équipements mécaniques, ainsi que de dispositifs médicaux, y compris les dispositifs de diagnostic in vitro.
- Services postaux : Fournisseurs de services postaux, c’est-à-dire les structures assurant la collecte, le tri, le transport et la distribution du courrier, y compris les services de messagerie express.
La taille des entités délimite le périmètre d’application
En raison de leur dimension plus restreinte, certaines entités qui, par leur nature, relèveraient normalement de la catégorie des entités essentielles, sont reclassées comme entités importantes. En effet, les structures mentionnées précédemment comme essentielles mais qui respectent les seuils applicables aux PME sont considérées comme importantes, sauf dans les cas suivants :
- Prestataires qualifiés de services de confiance
- Registres de noms de domaine de premier niveau (TLD) ou fournisseurs de services DNS
- Fournisseurs de réseaux de communications électroniques accessibles au public ou de services de communications électroniques disponibles au public
- Administrations centrales relevant de l’État membre concerné
- Fournisseurs uniques, à l’échelle nationale, d’un service lié à une activité socio-économique critique
- Fournisseurs de services dont l’interruption serait susceptible d’avoir un impact significatif sur la sécurité publique, la sûreté nationale ou la santé publique, ou de générer un risque systémique majeur
- Fournisseurs de services d’importance nationale ou régionale désignés comme entités essentielles par les États membres
Dans ce contexte, l’orientation donnée par les États membres sera déterminante pour permettre aux organisations d’identifier, en premier lieu, si elles entrent dans le champ d’application de la directive NIS 2, et le cas échéant, à quelle catégorie elles appartiennent. La directive accorde en effet une marge d’appréciation significative aux États pour déterminer les entités concernées ou, à l’inverse, pour en exclure certaines du périmètre ou des obligations prévues.
Organisations publiques et privées
La directive NIS 2 s’applique aux organisations publiques comme privées relevant des secteurs mentionnés précédemment. Sont donc concernées à la fois les entités détenues ou contrôlées par l’État et les entreprises privées.
Les organismes publics relevant de l’administration centrale sont toutefois, en tant que tels, considérés comme des entités essentielles. Par conséquent, tout secteur dans lequel ces entités opèrent est automatiquement qualifié de secteur essentiel.
Fournisseurs au sein des chaînes d’approvisionnement
La directive NIS 2 accorde une attention particulière à la sécurité des chaînes d’approvisionnement. À ce titre, les organisations qui fournissent des services, des produits ou des infrastructures aux entités essentielles ou importantes sont également concernées. Cela inclut les prestataires externes, les sous-traitants et les fournisseurs intégrés aux chaînes de valeur de ces secteurs stratégiques.
Les entités essentielles et importantes ont la responsabilité de veiller à ce que leurs partenaires de la chaîne d’approvisionnement mettent en œuvre des mesures de sécurité équivalentes à celles qu’elles appliquent elles-mêmes.
États membres de l’Union européenne
Les autorités nationales de chaque État membre sont chargées de la mise en œuvre de la directive NIS 2, notamment de l’identification et du suivi des entités relevant de son champ d’application. Elles disposent également de la faculté d’accorder des dérogations et d’exclure certaines entités du dispositif, en fonction des circonstances.
Il leur revient en outre d’élaborer des stratégies nationales de cybersécurité, de mettre en place les cadres réglementaires correspondants et de définir les mécanismes de contrôle et de sanction conformes aux exigences de la directive.
Fournisseurs de services critiques établis hors de l’Union européenne
La directive NIS 2 peut également concerner des organisations situées en dehors de l’UE, dès lors qu’elles fournissent des services ou des infrastructures jugés critiques à des entités établies dans l’Union. Si leurs prestations sont considérées comme essentielles ou importantes au bon fonctionnement de secteurs stratégiques européens, ces organisations pourront être tenues de se conformer aux obligations prévues par la directive.
Entités déjà soumises à des dispositifs équivalents
Ces dernières années, plusieurs réglementations européennes ont imposé des obligations spécifiques en matière de cybersécurité à certains secteurs. La directive NIS 2 ne vise pas à alourdir les exigences pesant sur les industries déjà encadrées par des textes sectoriels. Son article 4(1) précise que, lorsque des réglementations européennes spécifiques imposent aux entités essentielles ou importantes des mesures de gestion des risques liés à la cybersécurité ou des obligations de notification d’incidents, et que ces exigences sont jugées équivalentes à celles prévues par la directive NIS 2, ce sont les textes sectoriels qui prévalent. La directive ne s’applique donc pas dans ces cas-là. En revanche, si ces législations sectorielles ne couvrent pas l’ensemble des entités opérant dans un secteur visé par la directive NIS 2, cette dernière continue de s’appliquer aux entités non couvertes. Par exemple, les entités régies par le règlement DORA (Digital Operational Resilience Act) sortent du champ d’application de la directive NIS 2. Ce règlement constitue une réglementation sectorielle au sens de l’article 4 de la directive pour les entités du secteur financier. Cela est d’ailleurs explicitement mentionné à l’article 1(2) de DORA et repris au considérant (28) du préambule de la directive NIS 2.
Ainsi, pour les entités financières couvertes par DORA, les dispositions applicables en matière de gestion des risques liés aux TIC (à partir de l’article 6), de gestion des incidents (à partir de l’article 17), de tests de résilience opérationnelle (article 24), de partage d’informations (article 25), et de gestion des risques liés aux prestataires tiers TIC (à partir de l’article 28), remplacent les exigences équivalentes de la directive NIS 2. En conséquence, les États membres ne doivent pas appliquer aux entités relevant de DORA les obligations de gestion des risques cyber, de notification ou de supervision prévues par la directive NIS 2.
Conclusion
Le champ d’application de la directive NIS 2 est évolutif. Les États membres ont du établir, jusqu’au 17 avril 2025, la liste des entités relevant de la directive. Cette liste sera régulièrement actualisée pour tenir compte de l’évolution du paysage des opérateurs de services critiques.
Cela étant, la plupart des entités concernées disposent déjà des éléments nécessaires pour déterminer si elles relèvent du périmètre défini par le texte. Elles doivent dès à présent prendre les mesures requises pour se conformer aux obligations imposées par la directive.
Clause de non-responsabilité
Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.
L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Vaultinum. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.
Sources
[1] Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures to ensure a high common level of security of network and information systems across the Union.
[2] Annex I to NIS 2 Directive.
[3] European Commission Guidelines on the application of Article 4 (1), 13.9.2023, C(2023) 6068 final.
[4] Annex II to NIS 2 Directive.
[5] ≥250 full-time employees and either ≥50M€ annual turnover or ≥43 employees total balance sheet.
[6] When evaluating whether sector-specific cybersecurity requirements are equivalent to those in the NIS 2 Directive, the sector-specific rules should, at a minimum, align with the NIS 2 provisions or provide more detailed or stringent requirements. Importantly, these sector-specific rules should adopt an ‘all-hazard approach’ to cybersecurity risk management, an approach that requires involves an understanding that first cybersecurity threats can originate from a variety of sources and second that any event can negatively impact an entity’s network and information systems, leading to an incident. Therefore, cybersecurity measures must protect not only the network and information systems but also their physical infrastructure from risks such as sabotage, theft, fire, flooding, power outages, or unauthorized access, which could compromise the data or services provided by the systems.
[7] Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011.
[8] European Commission Guidelines on the application of Article 4 (1), 13.9.2023, C(2023) 6068 final.
