Le champ d'application de la directive NIS2 décrypté : Quelles sont les PME concernées par la directive - et quelles en sont les conséquences pour votre entreprise ?

La directive NIS2 (directive (UE) 2022/2555) représente la révision la plus importante de la législation européenne en matière de cybersécurité depuis la directive NIS initiale de 2016. En élargissant considérablement son champ d'application, en introduisant des obligations plus strictes et en imposant des sanctions importantes, la directive NIS2 oblige des milliers d'organisations à travers l'Europe à réévaluer leur posture en matière de cybersécurité. Pour les PME, le défi consiste à comprendre si et comment la directive s'applique à leur entreprise.

L'extension du champ d'application : Qui est couvert ?

La directive NIS initiale s'appliquait à un ensemble restreint d'opérateurs de services essentiels et de fournisseurs de services numériques. La directive NIS2 la remplace par une classification beaucoup plus large : les entités essentielles et les entités importantes. Cette distinction est importante car elle détermine l'intensité de la surveillance prudentielle et la sévérité des sanctions.

Entités essentielles

Les entités essentielles sont soumises à des mesures de surveillance proactives et ex ante. Cette catégorie comprend les organisations des secteurs suivants :

• Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
• Transport (aérien, ferroviaire, fluvial, routier)
• Infrastructures bancaires et des marchés financiers
• Santé (prestataires de soins de santé, laboratoires de référence de l'UE, fabrication de produits pharmaceutiques)
• Approvisionnement et distribution d'eau potable
• Gestion des eaux usées
• Infrastructure numérique (IXP, fournisseurs de DNS, registres de TLD, informatique en nuage, centres de données, CDN)
• Gestion des services TIC dans le secteur B2B (fournisseurs de services gérés, fournisseurs de services de sécurité gérés)
• Administration publique (gouvernement central)
• L'espace

Entités importantes

Les entités importantes font l'objet d'une surveillance réactive et a posteriori. Les secteurs sont les suivants :

• Services postaux et de messagerie
• Gestion des déchets
• Fabrication, production et distribution de produits chimiques
• Production, transformation et distribution de denrées alimentaires
• Fabrication d'appareils médicaux, d'ordinateurs, d'appareils électroniques, de machines et de véhicules à moteur
• Fournisseurs numériques (marchés en ligne, moteurs de recherche, plateformes de réseaux sociaux)
• Organismes de recherche

Seuils de taille

Le NIS2 applique une règle de plafonnement en fonction de la taille. En général, la directive couvre les entreprises de taille moyenne et plus : organisations comptant 50 employés ou plus OU dont le chiffre d'affaires annuel (ou le total du bilan annuel) est supérieur ou égal à 10 millions d'euros. Toutefois, certaines entités entrent dans le champ d'application de la directive indépendamment de leur taille, notamment les fournisseurs de services DNS, les registres de noms TLD et les entités qui sont les seuls fournisseurs d'un service essentiel dans un État membre.

Les PME en dessous de ces seuils sont généralement exemptées, à moins qu'elles n'opèrent dans l'un des sous-secteurs spécifiquement désignés. Cependant, toute organisation faisant partie de la chaîne d'approvisionnement d'une entité essentielle ou importante peut être confrontée à des obligations contractuelles de cybersécurité imposées par leurs clients pour se conformer aux exigences de sécurité de la chaîne d'approvisionnement du NIS2.

Principales obligations au titre du NIS2

1. Gestion des risques liés à la cybersécurité (article 21)

L'article 21 impose aux entités essentielles et importantes de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et des systèmes d'information. Ces mesures doivent comprendre, au minimum

• Politiques en matière d'analyse des risques et de sécurité des systèmes d'information
• Procédures de traitement des incidents
• Continuité des activités et gestion des crises (y compris la gestion des sauvegardes et la reprise après sinistre)
• Sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations avec les fournisseurs directs
• Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités
• Politiques et procédures visant à évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité
• Pratiques de base en matière d'hygiène cybernétique et formation à la cybersécurité
• Politiques relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement
• Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs
• Utilisation de l'authentification multifactorielle, des communications sécurisées et des communications d'urgence sécurisées

2. Rapports d'incidents (articles 23 et 30)

Le NIS2 introduit une obligation de notification des incidents en plusieurs étapes qui est beaucoup plus stricte que la directive originale :

1. Alerte précoce : Dans les 24 heures suivant le moment où vous avez connaissance d'un incident important, informez-en l'autorité compétente ou le CSIRT. L'alerte rapide doit indiquer si l'incident est suspecté d'être causé par des actes illégaux ou malveillants et s'il pourrait avoir un impact transfrontalier.
2. Notification de l'incident : Dans les 72 heures, fournir une évaluation initiale comprenant la gravité et l'impact, ainsi que les indicateurs de compromission lorsqu'ils sont disponibles.
3. Rapport final : Dans un délai d'un mois, fournissez une description détaillée de l'incident, de sa cause profonde, des mesures d'atténuation appliquées et de l'impact transfrontalier, le cas échéant.

Un incident significatif est défini comme un incident qui a causé ou est susceptible de causer une grave perturbation opérationnelle ou une perte financière, ou qui a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables.

3. Sécurité de la chaîne d'approvisionnement

L'article 21, paragraphe 2, point d), exige explicitement des entités qu'elles prennent en compte la sécurité de la chaîne d'approvisionnement. Cela signifie qu'elles doivent évaluer les pratiques de cybersécurité de leurs fournisseurs directs et de leurs prestataires de services, intégrer des exigences de sécurité dans les contrats d'approvisionnement et surveiller en permanence les risques encourus par les tiers. Pour de nombreuses PME, cette obligation se traduira indirectement par des exigences contractuelles imposées par des clients plus importants qui sont eux-mêmes des entités réglementées par le NIS2.

4. Responsabilité de l'organe de gestion (article 20)

La NIS2 rend l'organe de direction (conseil d'administration, direction générale) directement responsable de l'approbation et de la supervision de la mise en œuvre des mesures de gestion des risques liés à la cybersécurité. Les membres de l'organe de direction doivent suivre une formation à la cybersécurité et peuvent être tenus personnellement responsables en cas d'infraction. Il s'agit là d'un changement important par rapport à la directive NIS initiale, qui aligne la gouvernance de la cybersécurité sur le niveau de responsabilité observé dans la réglementation financière.

Transposition et application au niveau national

Les États membres étaient tenus de transposer le NIS2 dans leur droit national au plus tard le 17 octobre 2024. Au début de l'année 2026, la majorité des États membres auront achevé la transposition, bien que les délais de mise en œuvre et les exigences spécifiques varient. Les organisations doivent consulter la transposition nationale dans chaque État membre où elles opèrent, car les exigences peuvent dépasser le minimum du NIS2.

Sanctions

Les sanctions prévues par le NIS2 sont importantes et différenciées selon le type d'entité :

• Entités essentielles : Amendes administratives pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
• Entités importantes : Amendes administratives pouvant aller jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

Les autorités de contrôle peuvent également imposer des mesures correctives non pécuniaires, notamment des instructions contraignantes, des injonctions de mettre en œuvre des recommandations d'audit, des injonctions de mettre les mesures de sécurité en conformité et la suspension temporaire de certifications ou d'autorisations.

Étapes pratiques pour les PME

Si votre organisation relève du champ d'application du NIS2, ou si vous faites partie de la chaîne d'approvisionnement d'une entité réglementée, les étapes suivantes constituent un point de départ pragmatique :

1. Évaluation du champ d'application : Déterminez si votre organisation est une entité essentielle, une entité importante ou hors du champ d'application. Tenez compte à la fois de la classification sectorielle et des seuils de taille.
2. Analyse des lacunes : Comparez vos mesures de cybersécurité actuelles aux exigences de l'article 21. Identifiez les domaines dans lesquels vos contrôles existants sont insuffisants.
3. Préparation de la réponse à un incident : Élaborez ou améliorez votre plan d'intervention en cas d'incident afin de respecter les délais de déclaration de 24 heures, 72 heures et un mois.
4. Examen de la chaîne d'approvisionnement : Évaluez le niveau de cybersécurité de vos fournisseurs essentiels et intégrez des exigences de sécurité dans les contrats d'approvisionnement.
5. Engagement de la direction : Informez votre conseil d'administration ou votre direction générale de leurs responsabilités dans le cadre du NIS2 et organisez une formation à la cybersécurité.
6. Documentation : Conservez des preuves de toutes les mesures de cybersécurité, des évaluations des risques et des rapports d'incidents. La conformité au NIS2 est une conformité démontrable.

La directive NIS2 n'est pas une préoccupation réglementaire lointaine. Elle constitue une obligation de conformité active pour des milliers d'organisations européennes. Les PME qui agissent maintenant pour comprendre leurs obligations et combler leurs lacunes en matière de cybersécurité seront bien mieux placées que celles qui attendent que des mesures d'application leur forcent la main.