Une plateforme. Chaque exigence de l'UE. Aucune lacune.
L'UE a créé NIS2 pour harmoniser la cybersécurité en Europe. Puis 27 pays l'ont transposée différemment. Nous avons corrigé cela.
L'harmonisation qui n'a jamais eu lieu
NIS2 devait être le grand unificateur : une directive pour aligner les exigences de cybersécurité dans les 27 États membres de l'UE. En pratique, elle a fait l'inverse. La directive fixe des exigences minimales, et chaque pays est libre d'aller plus loin. La plupart l'ont fait. Le résultat est une mosaïque de lois nationales, chacune avec sa propre interprétation, ses propres seuils et ses propres attentes en matière de contrôle.
Puis la Commission européenne a ajouté le CIR 2024/2690, un règlement d'exécution qui précise les exigences techniques pour les entités transfrontalières les plus critiques. Il ne remplace pas le droit national : il se superpose à lui. Les entreprises font donc désormais face à trois couches d'exigences qui se recoupent, se contredisent et sèment la confusion dans des proportions à peu près égales.
Si vous exercez dans plusieurs pays de l'UE, ou si vous voulez simplement savoir ce que « conforme à NIS2 » signifie concrètement, vous êtes livré à vous-même. Il n'existe pas de source unique de vérité. Jusqu'à maintenant.
Directive NIS2 (UE 2022/2555)
La directive au niveau de l'UE qui fixe les exigences minimales de cybersécurité pour les entités essentielles et importantes. Délibérément vague sur les modalités de mise en œuvre : elle vous dit ce qu'il faut atteindre, pas comment l'atteindre. Chaque État membre doit la transposer en droit national, et il lui est explicitement permis d'aller plus loin.
BSIG - Transposition nationale allemande
L'Allemagne a transposé NIS2 dans le BSIG (BSI-Gesetz). Il va sensiblement au-delà des minimums de la directive : des délais de notification d'incident plus stricts, un périmètre d'entités concernées plus large et une responsabilité explicite de la direction au titre du paragraphe 38. Si vous exercez en Allemagne, la directive seule ne suffit pas : c'est le BSIG que les auditeurs font appliquer.
CIR 2024/2690 - Règlement d'exécution de l'UE
Le règlement d'exécution de la Commission précise des exigences techniques et méthodologiques détaillées pour les entités qui fournissent des services transfrontaliers (DNS, cloud, CDN, centres de données et autres). Contrairement à la directive, il est directement applicable : aucune transposition nationale n'est nécessaire. Il ajoute des exigences granulaires en matière de gestion des risques, de traitement des incidents et de sécurité de la chaîne d'approvisionnement qui vont bien au-delà du texte de la directive.
IT-Grundschutz - Méthodologie de mise en œuvre du BSI
Les standards IT-Grundschutz du BSI (BSI-200-1, 200-2, 200-3) définissent exactement comment mettre en œuvre les exigences en pratique. En vertu du paragraphe 44, alinéa 2, du BSIG, la mise en œuvre du Grundschutz est explicitement reconnue comme satisfaisant aux obligations NIS2 en Allemagne. C'est la couche la plus détaillée et la plus prescriptive, et celle qui transforme des énoncés de principe vagues en mesures concrètes et auditables.
Le plus petit dénominateur le plus strict
Notre plateforme ne choisit pas un cadre unique en espérant que tout se passe bien. Pour chaque thème de conformité (gestion des risques, notification d'incident, contrôle d'accès, chiffrement, formation, chaîne d'approvisionnement), nous identifions l'exigence la plus stricte parmi les trois sources normatives : la directive NIS2, le CIR 2024/2690 et le BSIG avec la méthodologie IT-Grundschutz.
Nous intégrons ensuite cette version la plus stricte dans la plateforme par défaut. Chaque formulaire, chaque flux de travail, chaque exigence de preuve est conçu pour satisfaire au niveau d'exigence le plus élevé. Lorsque vous achevez une exigence sur notre plateforme, vous ne répondez pas seulement à la norme allemande ou au minimum de l'UE : vous les respectez toutes simultanément.
Le résultat : se mettre en conformité une seule fois, être conforme partout. Que vous exerciez uniquement en Allemagne, dans toute l'UE, ou que vous releviez du périmètre transfrontalier du CIR, votre posture de conformité tient. Pas de travail en double, pas de lacune, pas de surprise lors d'un audit dans une autre juridiction.
| Domaine de conformité | Directive NIS2 | CIR 2024/2690 | BSIG / Grundschutz |
|---|---|---|---|
| Gestion des risques | Mesures « appropriées et proportionnées », sans méthodologie prescrite | Méthodologie explicite d'appréciation des risques avec des critères définis, acceptation des risques documentée | Analyse de risques complète fondée sur les actifs selon BSI-200-3, modélisation des menaces selon le Compendium IT-Grundschutz, revue annuelle obligatoire |
| Notification d'incident | Alerte précoce dans les 24 h, notification complète dans les 72 h | Mêmes délais, plus l'agrégation obligatoire des incidents récurrents et leur signalement en tant que schéma | 24 h/72 h plus notification obligatoire au BSI, la direction doit être informée immédiatement, analyse des causes profondes requise |
| Sécurité de la chaîne d'approvisionnement | Prendre en compte les risques de la chaîne d'approvisionnement, tenir compte des vulnérabilités des fournisseurs | Évaluation documentée des fournisseurs, exigences de sécurité contractuelles, réévaluation périodique | Registre des risques fournisseurs lié à l'inventaire des actifs, statut d'enregistrement NIS2 suivi, audit des fournisseurs au niveau Grundschutz |
| Chiffrement et cryptographie | « Le cas échéant » : recours à la cryptographie et au chiffrement | Politique de cryptographie requise, gestion des clés documentée, adéquation des algorithmes évaluée | Les directives techniques du BSI (TR-02102) définissent les algorithmes, longueurs de clés et protocoles approuvés, sans marge d'interprétation |
| Contrôle d'accès | Politiques de contrôle d'accès aux réseaux et systèmes d'information | Accès fondé sur les rôles, gestion des accès à privilèges, revues d'accès régulières | Principe du besoin d'en connaître, séparation des tâches, MFA obligatoire pour les accès d'administration, RBAC documenté avec recertification annuelle |
| Formation à la cybersécurité | Formation régulière pour la direction et l'ensemble du personnel | Formation spécifique au rôle, la direction doit démontrer sa compétence en matière de supervision des risques | Formation annuelle de sensibilisation pour l'ensemble du personnel, formation spécifique au rôle pour le personnel informatique, formation obligatoire de la direction à la responsabilité au titre du paragraphe 38 du BSIG |
Transfrontalier par défaut
Exercez en Allemagne, développez-vous en France, servez des clients aux Pays-Bas : votre conformité tient partout. Pas de reprise propre à une juridiction, pas de second audit. Un seul processus couvre les 27 États membres parce que vous respectez déjà l'interprétation la plus stricte.
Zéro ambiguïté
La directive NIS2 est délibérément vague. « Mesures appropriées » signifie des choses différentes selon les auditeurs. Notre plateforme élimine cette ambiguïté en retenant par défaut l'exigence la plus précise et la plus prescriptive disponible. Vous n'avez jamais à deviner si votre interprétation est « suffisante ».
Conformité à l'épreuve du temps
La réglementation ne fait que se durcir. Les pays qui ont transposé NIS2 au niveau minimal aujourd'hui durciront demain. En respectant déjà la norme actuelle la plus élevée, vous avez une longueur d'avance sur chaque durcissement futur, au lieu de courir après le retard.
Prêt pour l'audit dès le premier jour
Les auditeurs du BSI attendent des preuves au niveau Grundschutz. Les évaluations de l'ENISA vérifient la conformité au CIR. Notre plateforme génère automatiquement des preuves qui satisfont aux deux. Les affectations, validations, échéances et pistes d'audit sont intégrées au flux de travail : elles sont le processus de conformité, pas un ajout après coup.
C'est l'objection la plus courante, et elle est fausse. La différence entre respecter les exigences minimales de la directive NIS2 et respecter la norme BSIG/Grundschutz n'est pas davantage de saisie de données, de documents ou de tâches répétitives. C'est davantage de structure. Les mêmes informations qu'une entreprise fournit pour un exercice de case à cocher NIS2 au strict minimum sont celles nécessaires à une mise en œuvre au niveau Grundschutz.
Le « travail » supplémentaire est de la compréhension : savoir quels actifs documenter, comment structurer une appréciation des risques, ce qui constitue une preuve adéquate. C'est exactement ce que notre plateforme prend en charge pour vous. Les formulaires vous guident à travers les bonnes questions. Les flux de travail imposent le bon processus. La preuve est générée au fur et à mesure de votre travail.
En pratique, une entreprise qui utilise notre plateforme ne consacre pas plus de temps qu'une entreprise qui utilise un outil de liste de contrôle de conformité minimale. La différence est que notre résultat tient réellement lors d'un audit, dans n'importe quel pays de l'UE, sous n'importe quelle réglementation applicable. L'effort est identique. Le résultat est incomparablement meilleur.
Questions fréquentes
N'est-ce pas excessif pour une entreprise qui n'exerce que dans un seul pays ?
Non. Même au sein d'un seul pays, vous faites face à plusieurs exigences qui se recoupent : la transposition nationale, potentiellement le CIR si vous fournissez des services transfrontaliers, et les attentes pratiques de votre auditeur national. Respecter le plus petit dénominateur le plus strict signifie que vous n'avez jamais à vous soucier de quelle réglementation précise s'applique à quelle partie de votre activité. Ce n'est pas excessif : c'est la seule approche qui supprime entièrement l'ambiguïté.
Et si mon pays a des exigences différentes du BSIG allemand ?
Chaque pays de l'UE a transposé NIS2 au niveau du minimum de la directive ou au-dessus. Le BSIG allemand figure parmi les transpositions les plus strictes. Si vous respectez les exigences de niveau BSIG, vous dépassez automatiquement ce que votre pays exige. Voyez-le comme un sur-ensemble : la loi nationale la plus stricte plus le CIR plus la directive couvre toute interprétation possible qu'un État membre pourrait faire appliquer.
L'approche plus stricte coûte-t-elle plus cher ou prend-elle plus de temps ?
Non. La plateforme vous guide à travers le même nombre d'étapes quoi qu'il arrive. La différence réside dans la manière dont ces étapes sont structurées : nos formulaires et flux de travail sont conçus pour recueillir l'information au niveau de détail qui satisfait à la méthodologie Grundschutz. Vous ne faites pas plus de travail ; vous faites le même travail avec plus de précision. L'investissement en temps est comparable à celui de tout outil de conformité, mais le résultat est défendable dans toutes les juridictions de l'UE.
Qu'en est-il d'ISO 27001 ? En ai-je encore besoin ?
ISO 27001 est une norme de système de management, pas une obligation légale. NIS2, le BSIG et le CIR sont des obligations légales. Le recoupement est important : si vous respectez les exigences de notre plateforme, vous avez couvert environ 70 à 80 % des mesures de l'Annexe A d'ISO 27001. Mais ils ont des finalités différentes : la conformité NIS2 est obligatoire et juridiquement contraignante, la certification ISO 27001 est volontaire et tirée par le marché. Notre plateforme se concentre d'abord sur les obligations légales. L'alignement sur ISO 27001 suivra en tant que fonctionnalité future.
Quel est le lien entre le CIR 2024/2690 et le droit national comme le BSIG ?
Le CIR est un règlement d'exécution de l'UE : il s'applique directement dans tous les États membres sans transposition nationale. Il ne remplace pas le droit national ; il s'y ajoute. Pour les entités relevant du périmètre du CIR (principalement les fournisseurs d'infrastructure numérique transfrontaliers), vous devez vous conformer à la fois à votre transposition nationale (par exemple le BSIG en Allemagne) et au CIR. Là où ils se recoupent, c'est l'exigence la plus stricte qui s'applique. Là où ils ne se recoupent pas, les deux s'appliquent indépendamment. Notre plateforme gère cette superposition à votre place.