

Avocat au Barreau de Paris

Avocat au Barreau de Paris
La directive NIS2 (Network and Information Systems Security) vise à élever le niveau de cybersécurité à l’échelle européenne. Elle fait suite à la directive NIS1, adoptée en 2016, et a pour objectif d’étendre le champ d’application des secteurs et acteurs concernés et d’ainsi renforcer la protection des infrastructures critiques et des services numériques. Cette législation se concrétise par des obligations plus strictes pour les entreprises, en particulier celles opérant dans des secteurs sensibles.
13 février 2025
La directive NIS2 a été adoptée par l’Union Européenne pour garantir un niveau de cybersécurité uniforme dans tous les États membres. Elle remplace la directive NIS1 et impose des obligations renforcées concernant la protection des systèmes d’information et des réseaux essentiels. Ces nouvelles exigences visent à mieux protéger les entreprises et les infrastructures critiques face aux cyberattaques croissantes.
En France, cette directive est entrée en vigueur le 17 octobre 2024, bien que le projet de loi de transposition n’ait pas encore été examiné. Les États membres disposent jusqu’au 17 avril 2025 pour établir la liste des entités essentielles et importantes.
L’objectif principal de la directive NIS2 est d’accroître la résilience des systèmes d’information et des réseaux des entreprises opérant dans des secteurs essentiels.
La directive est construite autour de trois piliers :
Donnant lieu à trois actions pour les entités concernées :
L’article 21 de la directive énumère 10 mesures obligatoires portant sur la détection et la réponse aux incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités, détaillées comme suit :
Ces obligations sont détaillées par catégorie d’entités et secteur d’activité.
Pour respecter ces obligations, les acteurs concernés devront adopter des bonnes pratiques, notamment en matière contractuelle vis-à-vis de leurs fournisseurs et prestataires de services.
Les contrats informatiques représentent donc l’un des enjeux de conformité et devront ainsi inclure des clauses spécifiques adaptées aux process internes et contraintes fonctionnelles au regard des exigences réglementaires résultant de NIS2.
La directive NIS2 cible principalement les entreprises opérant dans des secteurs dits « essentiels » ou « critiques ».
11 secteurs définis comme hautement critiques :
7 secteurs définis comme critiques :
Chaque État membre peut définir, en fonction de sa situation locale, la liste des entités assujetties à ces obligations.
Ces catégories sont définies selon l’article 3 de la directive et dépendent du degré de criticité et de la taille des sociétés. Les critères sont cumulatifs (critère de taille + critère de chiffre d’affaires ou total bilan) :
A noter que ces informations sont susceptibles d’évoluer, car le champ d’application exact des secteurs et des entités concernés ne sera connu de manière précise qu’à compter de la promulgation de l’ensemble des textes législatifs et réglementaires transposant la directive NIS2 en droit français.
La directive NIS2 impose des mesures strictes en matière de gestion des risques et de cybersécurité.
Les entreprises ne respectant pas les obligations de la directive NIS2 s’exposent à de lourdes sanctions. Les amendes peuvent atteindre jusqu’à :
Entités essentielles :
Entités importantes :
Ces sanctions montrent la gravité des risques associés à une mauvaise gestion de la cybersécurité.
La directive NIS2 impose un cadre juridique ambitieux pour sécuriser les réseaux et systèmes d’information dans des secteurs critiques. Les entreprises doivent prendre cette directive très au sérieux afin de garantir leur conformité, protéger leurs données et éviter des sanctions importantes. En attendant la transposition définitive de cette législation, il est essentiel pour les entreprises concernées de se préparer à ces nouvelles exigences.
Adopter une approche proactive en matière de cybersécurité et mettre en place des politiques adaptées à la directive NIS2 est plus que jamais une priorité stratégique pour toutes les entités opérant dans des secteurs sensibles.
En tous les cas, il conviendra également de prendre en compte les autres réglementations européennes existantes, qui viennent compléter le dispositif établi par la directive NIS2, et de comprendre la manière dont ces réglementations s’articulent entre elles afin de connaître l’ensemble des obligations auxquelles votre entité est soumise.
Notre équipe se tient à votre disposition pour vous accompagner.