Article – Entrée en vigueur de NIS 2 : Qui sera concerné ? 

NIS 2 marque l’entrée en vigueur d’une cyberdéfense de masse en Europe.  Les nouvelles exigences de sécurité sur les systèmes d’informations des organisations européennes sont à la fois étendues à de nombreux secteurs d’activité et augmentées. Nous avons décrypté pour vous NIS 2

À partir du 17 octobre 20241, vous pourriez être concerné par la mise en œuvre des prescriptions de l’ANSSI en matière de cybersécurité dans le cadre de NIS 2 (Network and Information System and Services). Environ 20 000 organisations françaises devront s’y conformer, contre 300 dans le cadre de NIS 1. 

Indépendamment des critères liés aux secteurs d’activité qui seront désignés ou à votre taille, vous pourriez aussi être concerné en fonction d’autres champs de définitions et de votre appartenance à une chaîne de sous-traitance. 

Si vous fournissez un service essentiel dans une chaîne de sous-traitance, vous serez nouvellement contraint à la nécessité d’augmenter votre niveau de cybersécurité, et cela, quelle que soit votre taille. 

Le périmètre de NIS 2 pourra également vous être applicable si vous êtes une entreprise de taille moyenne ou intermédiaire qui fait partie d’une chaîne d’approvisionnement pour des entreprises recatégorisées en Entreprise Essentielle (EE) ou Entreprise Intermédiaire (EI). 

Un cadre juridique pour assurer la résilience des infrastructures critiques de l’Union Européenne 

Actuellement, seules les entreprises identifiées OSE (Opérateur de Services Essentielles), OIV (Opérateurs d’Importance Vitale) et FSN (Fournisseurs de Services Numériques) sont concernées.  

Pour les entreprises qui étaient déjà soumises à NIS 1, NIS 2 est une prolongation qui se matérialise à la fois par un renforcement des pratiques de cyber sécurité et une manière de mieux sécuriser leur chaîne de sous-traitants (« chaîne d’approvisionnement *»). Ainsi, les Entreprises Essentielles (EE) et les Entreprises Importantes (EI) devront contrôler les critères de NIS2 sur tout leurs écosystèmes (fourniture, production, distribution, …). A noter toutefois que les acteurs du numérique2 ne seront pas soumis au référentiel national NIS 2 mais à des dispositions particulières de la directive (article 21-5), à travers l’acte d’exécution de la Commission Européenne qui établira des exigences techniques et méthodologiques. 

Le cadre juridique NIS (Network and Information Security) vise à assurer la résilience des infrastructures critiques de l’Union Européenne, d’élever le niveau commun de sécurité. Les entités identifiées sont tenues de mettre en œuvre les exigences de sécurité définies, sur leurs réseaux et systèmes d’information, sous peine de sanction. 

NIS 2 : un élargissement des objectifs et du périmètre d’application pour une cyberdéfense de masse 

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), estime qu’à partir du 17 octobre 2024 plus de 100 000 « entités » de l’Union Européenne, c’est-à-dire entreprises et organisations publiques, seront concernées par le renforcement des exigences de la directive NIS 2, contre 15 000 aujourd’hui (NIS1). 

Cette extension du périmètre des organisations régulées est une réponse de cybersécurité de masse face à la fois à l’augmentation importante des menaces – et notamment sur de nouvelles cibles (PME, ETI, Collectivités locales) – ainsi qu’à une nécessité d’une prise en compte massive des enjeux de cyber sécurité (bonnes pratiques des salariés, protection des accès, du matériel, règles de sécurité, etc.). 


Comment savoir si votre organisation est concernée par NIS 2 ? 

C’est fin octobre 2024 que les États Membres de l’UE devront transposer NIS 2. 

18 secteurs d’activités et 35 sous-secteurs et potentiellement « leur chaîne d’approvisionnement » seront concernés par la directive NIS2.3 

Les activités telles que les transports, la santé, le postal, l’énergie, les services numériques aux citoyens, l’eau, les services bancaires et financiers, les collectivités locales, etc. devront mettre en œuvre les exigences de l’ANSSI. 

L’ANSSI3 distinguera 2 typologies d’entité (essentielles ou importantes) avec des obligations de sécurité proportionnelles à la criticité de l’activité. 

Les 3 critères « d’intégration » seront relatifs aux secteurs (code NAF) décrits dans les annexes (secteurs hautement critiques en annexe 1 et secteurs critiques en annexe 2) et aussi à la taille de l’entreprise notamment en termes de Chiffre d’Affaires (supérieur à 50 millions d’euros), de bilan comptable (supérieur à 43 millions), d’effectif (supérieur à 250 salariés). 

Si vous répondez à ces principaux critères alors vous serez forcément concernés. 

Toutefois si vous fournissez un service essentiel dans une chaîne de sous-traitance vous serez concernés, quelle que soit la taille de votre entreprise. Des entreprises de taille moyenne ou intermédiaire entreront dans le champ d’application si elles font partie d’une chaîne d’approvisionnement pour des entreprises concernées. 

Ainsi, en fonction de ces éléments et de certaines « définitions ad hoc » présentes dans les annexes des consultations, il pourrait être nécessaire de clarifier votre situation. 

Dans les deux cas, c’est à vous qu’il reviendra de vous faire connaître auprès de l’ANSSI. 

1. La date d’entrée en vigueur ne sera pas la date de mise en application 

Dates clés : 

  • 17 juillet 2024 EU-CyCLONe soumet 1er rapport d’évaluation des travaux à l’EU 
  • 17 octobre 2024 : Transposition dans le droit FR par l’ANSSI  
  • 17 janvier 2025 : États membres informent la Commission des règles et des mesures de sanctions nationales adoptées. 
  • 17 avril 2025 : Publication de la liste des Entités Essentielles et Importantes en France 

Fin octobre 2024 l’ANSSI Communiquera sur :  

  • la transposition dans le cadre de la législation française, des exigences européennes NIS2, 
  • la liste précise des secteurs concernés, 
  • les sanctions en cas de non-respect de la directive,  
  • la date limite de mise en conformité. L’ANSSI indique que les entités auront un délai pour se conformer aux exigences. 

2. Pour faciliter la lecture, nous avons rassemblé sous la terminologie « acteurs du numérique » les organisations suivantes : les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance.  

Pour savoir si vous pourriez être concerné

Site de l’ANSSI

Pour en apprendre plus sur les exigences de l’ANSSI

Lire l’article