Directive NIS 2

La directive NIS 2 (Network and Information Security 2), adoptée fin 2022 par le Parlement européen et le Conseil, constitue la principale réforme du cadre européen de cybersécurité depuis la directive NIS 1 de 2016. Elle s’inscrit dans une stratégie plus large visant à homogénéiser le niveau de protection des infrastructures critiques au sein de l’Union européenne.

Un périmètre d’application élargi

L’une des évolutions majeures de NIS 2 est l’élargissement du nombre et des catégories d’entités soumises à ses obligations. La directive introduit une distinction entre entités essentielles et entités importantes, chacune soumise à des régimes de supervision et de sanction différenciés.

Les secteurs couverts incluent l’énergie, les transports, la santé, les infrastructures bancaires et des marchés financiers, l’eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC, l’administration publique et l’espace. S’y ajoutent des secteurs importants comme les services postaux, la gestion des déchets, les produits chimiques, l’alimentation ou encore la fabrication de dispositifs médicaux.

Les obligations des entités concernées

NIS 2 impose aux entités couvertes de mettre en oeuvre des mesures de cybersécurité proportionnées aux risques auxquels elles sont exposées. Ces mesures portent sur la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement et les politiques de contrôle d’accès.

La directive européenne prévoit également une obligation de notification rapide des incidents significatifs auprès de l’autorité nationale compétente. En France, cette autorité est l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Transposition en droit français

NIS 2 devait être transposée dans les droits nationaux avant octobre 2024. La transposition française a nécessité des arbitrages sur le périmètre exact des entités visées et sur les modalités de supervision, avec un risque de surtransposition sur certains points si les obligations nationales dépassent le minimum européen.

Le risque d’écart de transposition entre États membres reste une préoccupation pour les entreprises opérant dans plusieurs pays de l’UE, confrontées à des interprétations divergentes d’un même texte.

Pourquoi c’est utile en affaires publiques

Pour un professionnel des affaires réglementaires, NIS 2 est un texte à fort impact opérationnel pour les clients des secteurs concernés. Maîtriser son champ d’application et ses exigences permet d’accompagner les organisations dans leur mise en conformité, d’anticiper les évolutions des textes d’application et de préparer des contributions lors des consultations publiques sur les décrets et arrêtés de transposition.