NIS 2 vs directive CER : résilience cyber à côté de la résilience physique
Deux directives, adoptées le même jour, avec le même délai de transposition, couvrant presque les mêmes secteurs critiques sous deux angles différents.
Deux directives, un seul paquet de résilience
Le 14 décembre 2022, l'UE a adopté deux directives en parallèle. La directive (UE) 2022/2555 (NIS 2) est la directive sur la cybersécurité. La directive (UE) 2022/2557 (CER) est la directive sur la résilience des entités critiques. Les deux devaient être transposées au plus tard le 17 octobre 2024.
NIS 2 protège les réseaux et systèmes d'information. CER protège l'exploitation physique des entités critiques contre les menaces non cyber telles que les risques naturels, le sabotage, le terrorisme, les attaques internes et les pandémies. Les secteurs couverts se chevauchent fortement, mais l'objet de la protection est différent.
Pour les exploitants de l'énergie, des transports, des banques, de l'infrastructure des marchés financiers, de la santé, de l'eau potable, des eaux usées, de l'infrastructure numérique, de l'administration publique et de l'espace, les deux directives s'appliquent souvent en parallèle. Cette page wiki expose où les deux se rejoignent et où elles divergent.
NIS 2, article 2, paragraphe 3 (verbatim)
La présente directive s'applique aux entités recensées comme entités critiques au titre de la directive (UE) 2022/2557.
L'article 2, paragraphe 3, de NIS 2 rend le lien explicite : une entité qu'un État membre désigne comme entité critique au titre de CER relève du champ d'application de NIS 2 et est traitée comme une entité essentielle au titre de l'article 3, paragraphe 1, point f, de NIS 2.
CER, article 1 (objet, verbatim)
La présente directive fixe des obligations aux États membres de prendre des mesures spécifiques visant à garantir que les services essentiels au maintien de fonctions sociétales ou d'activités économiques vitales relevant du champ d'application de l'article 5 soient fournis sans entrave dans le marché intérieur, en particulier des obligations pour les États membres de recenser les entités critiques et de soutenir les entités critiques dans le respect des obligations qui leur sont imposées.
CER se concentre sur la continuité des services essentiels face aux menaces physiques, naturelles, hybrides et d'origine humaine. L'angle cyber est laissé à NIS 2.
Transposition nationale (Allemagne)
NIS 2 est transposée en Allemagne par le BSIG (projet NIS2UmsuCG). CER est transposée par une KRITIS-Dachgesetz distincte (loi-cadre KRITIS) pilotée par le ministère fédéral de l'Intérieur.
Les deux directives sont transposées par deux lois nationales différentes, supervisées par deux agences fédérales différentes. À la mi-2026, la transposition allemande de NIS 2 est encore en procédure législative, et la loi-cadre KRITIS est au stade de projet en parallèle.
Les listes de secteurs se chevauchent, mais pas parfaitement
Les annexes I et II de NIS 2 énumèrent 18 secteurs. L'annexe de CER énumère 11 secteurs. Les secteurs de l'énergie, des transports, des banques, de l'infrastructure des marchés financiers, de la santé, de l'eau potable, des eaux usées, de l'infrastructure numérique, de l'administration publique et de l'espace figurent dans les deux. CER couvre en outre la production, la transformation et la distribution de denrées alimentaires, qui se situe hors de NIS 2.
Réseaux et systèmes d'information contre continuité physique du service
NIS 2 protège la cybersécurité des réseaux et systèmes d'information utilisés par l'entité. CER protège la capacité de l'entité à continuer de fournir le service essentiel face aux perturbations physiques, naturelles et d'origine humaine. Même exploitant, deux prismes de risque différents.
Les entités critiques au titre de CER sont des entités essentielles au titre de NIS 2
L'article 2, paragraphe 3, de NIS 2 oriente toute entité désignée comme entité critique au titre de CER directement vers NIS 2 en tant qu'entité essentielle. L'inverse ne vaut pas automatiquement : relever du champ d'application de NIS 2 ne vous désigne pas comme entité critique au titre de CER.
Le risque cyber n'est pas le risque physique
L'article 21 de NIS 2 exige des mesures de gestion des risques de cybersécurité (politiques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, contrôle d'accès, cryptographie, etc.). Les articles 12 et 13 de CER exigent un plan de résilience couvrant les mesures de protection physique, la redondance, la continuité d'activité et la sécurité du personnel. Les preuves se chevauchent par endroits (par exemple les plans de continuité d'activité), mais le catalogue de risques est différent.
Souvent le même exploitant, deux rapports, deux autorités
Un service public de l'eau, un groupe hospitalier, un distributeur d'énergie ou un organisme d'administration publique peut détenir des obligations au titre des deux directives en même temps. Cela signifie généralement deux évaluations de risque parallèles et deux lignes de signalement parallèles, l'une vers l'autorité compétente NIS 2 et l'autre vers l'autorité compétente CER.
BSI
En Allemagne, le Bundesamt fuer Sicherheit in der Informationstechnik (BSI) est l'autorité chef de file pour la mise en œuvre de NIS 2. Le BSI reçoit les enregistrements, les notifications d'incident et supervise les mesures de gestion des risques de cybersécurité de NIS 2.
BBK
Le chef de file allemand pour CER est le Bundesamt fuer Bevoelkerungsschutz und Katastrophenhilfe (BBK), et non le BSI. Le BBK supervise la désignation des entités critiques et la résilience physique au titre de la KRITIS-Dachgesetz prévue.
ENISA et groupe sur la résilience des entités critiques
Du côté cyber, l'ENISA soutient les États membres et les exploitants au titre de NIS 2. Du côté CER, le groupe sur la résilience des entités critiques institué au titre de l'article 19 de CER assure la coordination entre les États membres. La Commission soutient les deux niveaux, mais les voies cyber et physique restent institutionnellement distinctes au niveau de l'UE.
CER couvre aussi la cybersécurité, donc nous n'avons besoin que d'un seul projet
CER ne réglemente pas la cybersécurité. Le considérant 4 et les dispositions relatives au champ d'application de CER laissent explicitement le risque cyber à NIS 2. CER se concentre sur les menaces physiques, naturelles et d'origine humaine pesant sur le service. Un ISMS purement cyber ne satisfait pas CER. Un plan de résilience physique à lui seul ne satisfait pas NIS 2.
Les deux directives s'appliquent exactement aux mêmes exploitants
Le chevauchement sectoriel est élevé, mais pas à 100 pour cent. CER inclut la production, la transformation et la distribution de denrées alimentaires. NIS 2 inclut la gestion des services TIC et plusieurs catégories de services numériques que CER ne couvre pas. Et même là où les deux s'appliquent, CER exige une désignation explicite par l'État membre, tandis que NIS 2 fonctionne pour l'essentiel par auto-identification au regard des critères de taille et de secteur.
KRITIS est la transposition allemande de CER
KRITIS est un concept allemand de longue date qui précède les deux directives et est actuellement réparti entre le BSIG, le BSI-KritisV et des lois sectorielles. La KRITIS-Dachgesetz prévue est destinée à transposer CER, mais elle n'est pas identique au périmètre KRITIS existant, et elle n'est pas la transposition de NIS 2. Trois chantiers distincts, pas un seul.
Un distributeur d'énergie régional comptant environ 400 salariés exploite un ISMS pour NIS 2 (mesures de gestion des risques de l'article 21, notification d'incident au BSI dans les 24 heures, sécurité de la chaîne d'approvisionnement, formation). En parallèle, le même distributeur exploite un plan de résilience d'entité critique au titre de CER, couvrant la protection physique des sites, la redondance des postes électriques, les contrôles de fiabilité du personnel et la continuité d'activité face aux perturbations physiques. Les deux plans partagent des intrants de continuité d'activité mais relèvent de deux lignes de gouvernance distinctes.
Dans la pratique quotidienne, la configuration la plus nette est un registre des risques unique qui étiquette chaque risque comme cyber, physique ou les deux, et alimente deux sorties : les mesures de gestion des risques de cybersécurité de NIS 2 d'un côté, le plan de résilience CER de l'autre. Cela évite de dupliquer l'inventaire des actifs et le travail de continuité d'activité tout en gardant les livrables réglementaires clairement séparés.
Cette plateforme met en œuvre les obligations de l'article 21 de NIS 2 sous forme de registre d'obligations : inventaire des actifs, inventaire des fournisseurs, registre des risques, traitement des incidents, continuité d'activité, formation et preuves de supervision. CER ne relève pas du champ d'application de la plateforme.
Les exploitants qui détiennent des obligations au titre des deux directives peuvent réutiliser l'inventaire des actifs et des fournisseurs de NIS 2 comme intrant de leur plan de résilience CER, mais le plan de résilience CER lui-même relève d'un chantier distinct supervisé par l'autorité compétente CER.
- Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (NIS 2). EUR-Lex : 32022L2555.
- Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 (CER). EUR-Lex : 32022L2557.
- NIS 2, article 2, paragraphe 3, sur le lien avec CER. NIS 2, annexes I et II sur les secteurs.
- CER, article 1 (objet), article 5 (secteurs), article 6 (critères de recensement des entités critiques), articles 12 et 13 sur les plans de résilience.
- Office fédéral de la sécurité des technologies de l'information (BSI), page nationale de mise en œuvre de NIS 2.
- Office fédéral de la protection civile et de l'aide en cas de catastrophe (BBK), page nationale de mise en œuvre de CER.