NIS2, c’est le serpent de mer de la cybersécurité en France ! Cela fait des mois que la directive européenne « Network and Information Security » doit être transposée dans le droit français.
Malgré la date limite de transposition fixée au 17 octobre 2024 par la Commission européenne, la France joue les tortues. En cause, la valse des gouvernements depuis des mois. L’hexagone n’est pas le seul à traîner des pieds.
Une dizaine de pays (Suède, Portugal, Espagne, Pologne, Grèce…) est au même stade. Les bons élèves se comptent sur les doigts d’une main : Belgique, Italie, Lettonie, Hongrie, Lituanie l’ont transposé dès 2024.
Une telle situation est inquiétante, car NIS2 marque un tournant majeur dans la stratégie de cybersécurité du continent. Loin d’être une simple mise à jour, NIS2 est une refonte complète visant à renforcer la résilience des entreprises et des services essentiels.
L’une des principales faiblesses de la première directive NIS était son champ d’application trop restreint. NIS2 corrige le tir en ciblant un éventail plus large d’organisations. La directive s’applique désormais à toute entité, publique ou privée, qui opère dans l’un des nombreux secteurs critiques, et qui emploie plus de 50 personnes ou génère plus de 10 millions d’euros de chiffre d’affaires.
Elle introduit surtout une classification claire.
- Les « Entités Essentielles » (EE) : ce sont les piliers de notre économie et de nos sociétés. La liste inclut l’énergie, les transports, la banque, la santé, les infrastructures numériques et l’eau potable.
- Les « Entités Importantes » (IE) : cette nouvelle catégorie englobe des secteurs tout aussi vitaux, mais considérés comme moins critiques en cas d’interruption majeure. On y trouve la gestion des déchets, la fabrication de produits chimiques, l’industrie alimentaire, les services postaux, ou encore les grands sites de e-commerce.
Résultat, en France, environ 15 000 entités sont directement visées par NIS2, contre 300 sous NIS1.
Obligations claires et fortes amendes
NIS2 impose des obligations concrètes pour garantir un niveau de sécurité élevé. Les entreprises concernées doivent mettre en œuvre une série de mesures techniques et organisationnelles pour gérer les cyberrisques :
- mise en place de politiques de gestion des risques et de mesures techniques adaptées (pare-feu, segmentation réseau, chiffrement, etc.) ;
- surveillance continue des systèmes et détection précoce des incidents ;
- plan de réponse aux incidents et procédures de continuité d’activité ;
- formation et sensibilisation régulières des collaborateurs ;
- audit et évaluation régulière des dispositifs de sécurité.
Et si les entreprises ne les appliquent pas, la sanction sera lourde. Pour les EE, la non-conformité peut entraîner des sanctions allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial de l’entreprise. Pour les EI, c’est 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial.
Mais la sanction n’est pas que financière. La directive rend également les cadres responsables de la gestion des risques liés à la cybersécurité. En cas de non-respect grave des règles, ils peuvent se voir imposer des audits de sécurité, voire des interdictions temporaires d’exercer des fonctions de gestion.
En conclusion, NIS2 n’est pas juste une formalité réglementaire. En faisant de la cybersécurité une question de survie financière et de responsabilité de la direction, la directive vise à inciter les entreprises à passer du statut de cible passive à celui d’acteur proactif de leur propre résilience numérique.
Dans l'actualité
- Cybersécurité applicative et hébergement web : quelles garanties techniques pour des déploiements sous WordPress ?
- La cybersécurité des infrastructures critiques : un enjeu majeur pour tous les pays
- Gérôme Billois : « Dans la cybersécurité, ce ne sont pas les usages qui consomment le plus, mais le matériel. »
- « La cybersécurité sert trop souvent d’alibi pour freiner la digitalisation de l’industrie »
- IA générative, métavers, réalité virtuelle, cybersécurité…
- Piratage du tiers payant : nos données personnelles sont-elles efficacement protégées ?
- David Berard : « Seules quelques marques de voiture acceptent d’être confrontées aux hackers »
- Revue du Magazine d’Actualité #45 du 8 au 12 septembre
- Un réseau ferroviaire à l’arrêt à cause de pirates : un scénario irréaliste ?
- Obsolescence logicielle : l’INEC se joint à la pétition contre la mort programmée de Windows 10
- L’hyperconnexion industrielle et la collaboration homme-machine imposent une rupture en cybersécurité
- La quotidienne : revue de presse du 22 octobre 2025
- Les pirates et les experts en cybersécurité misent sur l’IA agentique pour être plus efficaces
- Des pirates chinois ont-ils utilisé une IA américaine pour mener des attaques ?
- Vol de données de santé : le jackpot pour les cybercriminels !
Dans les ressources documentaires
- NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne
- Sécurité de l’information, cybersécurité et protection des données de vie privée - NF EN ISO/IEC 27001 : 2023
- EBIOS RM - Une méthode conforme aux exigences de cybersécurité
- Sécurité informatique pour la gestion des risques - Application aux systèmes d’information
- Système d’information hybride et sécurité : un retour à la réalité