NIS 2 vs NIS 1 : ce qui a réellement changé
L'article 41 de la directive (UE) 2022/2555 a abrogé la directive NIS 1 avec effet au 18 octobre 2024. Cette page décrit ce que cela signifie en pratique.
Vue d'ensemble
NIS 1 était la directive (UE) 2016/1148. Elle couvrait sept secteurs et répartissait les destinataires entre « opérateurs de services essentiels » (OES) et « fournisseurs de services numériques » (FSN). Les États membres désignaient les OES individuellement.
NIS 2 est la directive (UE) 2022/2555. Elle couvre 15 secteurs à l'annexe I et 7 secteurs à l'annexe II, remplace la distinction OES/FSN par « entités essentielles » et « entités importantes », et utilise un critère de taille explicite (50 salariés ou plus, ou chiffre d'affaires annuel supérieur à 10 millions d'euros).
L'article 41 de NIS 2 a abrogé la directive NIS 1 avec effet au 18 octobre 2024. Lorsque le droit d'un État membre fait encore référence à l'ancienne directive, ces références renvoient désormais à NIS 2. Les lois nationales de transposition (telles que le BSIG allemand dans sa version NIS 2) remplacent l'architecture antérieure de l'IT-Sicherheitsgesetz 2.0.
Directive (UE) 2022/2555, article 41
La directive (UE) 2016/1148 est abrogée avec effet au 18 octobre 2024.
La date d'abrogation est aussi le délai de transposition. Les références à NIS 1 dans d'autres actes de l'UE se lisent comme des références à NIS 2.
Règlement d'exécution (UE) 2024/2690 de la Commission
Le présent règlement fixe les exigences techniques et méthodologiques des mesures visées à l'article 21, paragraphe 2, de la directive (UE) 2022/2555 [...]
Le CIR précise les mesures de l'article 21, paragraphe 2, pour un ensemble restreint de types d'entités de l'infrastructure numérique. Le catalogue de l'article 21 lui-même s'applique à toutes les entités NIS 2.
Allemagne : BSIG (version NIS 2)
Gesetz uber das Bundesamt fur Sicherheit in der Informationstechnik (BSI-Gesetz).
L'Allemagne transpose NIS 2 en modifiant le BSIG. L'architecture antérieure de l'IT-Sicherheitsgesetz 2.0 (exploitants KRITIS uniquement) est remplacée par un champ d'application plus large incluant les entités essentielles et importantes.
De 7 secteurs et désignation OES à 15 plus 7 secteurs avec une règle de taille
NIS 1 couvrait sept secteurs et exigeait des États membres qu'ils désignent les OES un par un. NIS 2 énumère 15 secteurs à l'annexe I (essentiels) et 7 secteurs à l'annexe II (importants), et s'applique automatiquement aux entités de ces secteurs qui satisfont au critère de taille (50 salariés ou plus ou plus de 10 millions d'euros de chiffre d'affaires). Plusieurs types d'entités relèvent du champ d'application quelle que soit leur taille.
Des mesures de haut niveau de l'article 14 à l'article 21 avec 10 domaines de mesures plus les articles 20 et 23
L'article 14 de NIS 1 exigeait des mesures appropriées et proportionnées en termes assez généraux. L'article 21, paragraphe 2, de NIS 2 nomme 10 domaines de mesures spécifiques (analyse des risques, traitement des incidents, continuité d'activité, chaîne d'approvisionnement, traitement des vulnérabilités, efficacité, cyberhygiène de base et formation, cryptographie, contrôle d'accès et gestion des actifs, authentification multifacteur et communications sécurisées). L'article 20 ajoute des obligations explicites pour l'organe de direction, l'article 23 ajoute une cascade de signalement structurée, et l'article 27 ajoute l'enregistrement des données de l'entité auprès de l'autorité compétente.
De la discrétion des États membres à des plafonds de sanctions minimaux à l'échelle de l'UE
NIS 1 laissait les sanctions largement au droit national et produisait de fortes variations entre États membres. L'article 34 de NIS 2 fixe des plafonds minimaux à l'échelle de l'UE : pour les entités essentielles, au moins 10 millions d'euros ou 2 pour cent du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu ; pour les entités importantes, au moins 7 millions d'euros ou 1,4 pour cent. Les articles 32 et 33 confèrent également aux autorités de contrôle une liste de pouvoirs plus longue.
Les mesures techniques sont largement reportées
Une entité qui a déjà mis en œuvre les mesures de l'article 14 de NIS 1 reconnaîtra une grande partie de l'article 21, paragraphe 2, de NIS 2 : traitement des incidents, continuité d'activité, chaîne d'approvisionnement, cyberhygiène de base et formation sont présents dans les deux textes. Les intitulés et la profondeur ont changé, l'idée sous-jacente non.
La gouvernance et le signalement sont nouveaux
L'article 20 rend l'organe de direction responsable de l'approbation des mesures de gestion des risques de cybersécurité, de la supervision de leur mise en œuvre et de sa propre formation. L'article 23 introduit une cascade en trois étapes (alerte précoce dans les 24 heures, notification d'incident dans les 72 heures, rapport final dans un délai d'un mois). Aucune de ces constructions n'existait dans NIS 1 à ce niveau de détail.
Bundesamt fur Sicherheit in der Informationstechnik (BSI)
Le BSI est l'autorité compétente au titre du BSIG. Pour la migration, il exploite un registre des entités, publie des Handreichungen sur la formation de l'organe de direction et d'autres obligations, et supervise les entités essentielles et importantes. Les exploitants KRITIS continuent d'exister comme sous-ensemble assorti d'obligations supplémentaires.
Agence de l'Union européenne pour la cybersécurité (ENISA)
L'ENISA publie les orientations techniques de mise en œuvre pour les mesures de l'article 21, paragraphe 2, et exploite la base de données européenne sur les vulnérabilités au titre de l'article 12. Ses textes sont non contraignants mais les autorités de contrôle les citent comme base de référence pratique.
Le BSIG remplace l'architecture de l'IT-Sicherheitsgesetz 2.0
L'Allemagne transpose NIS 2 en modifiant le BSIG. Le modèle antérieur de l'IT-Sicherheitsgesetz 2.0 se concentrait sur les exploitants KRITIS. La version NIS 2 du BSIG étend le champ d'application aux entités essentielles et importantes et ajoute les obligations de direction de l'article 20, le signalement de l'article 23 et l'enregistrement de l'article 27.
Notre documentation NIS 1 est reportée vers NIS 2.
Les mesures techniques sont largement reportées, mais pas l'enveloppe juridique. NIS 2 introduit des obligations pour l'organe de direction (article 20), une cascade de signalement en trois étapes (article 23), l'enregistrement de l'entité (article 27) et un catalogue structuré à l'article 21, paragraphe 2. L'ancienne documentation NIS 1 présente généralement des lacunes en matière de gouvernance, de délais de signalement et de section relative à la chaîne d'approvisionnement. Traitez les documents NIS 1 comme un point de départ, pas comme un dossier achevé.
C'est le même régulateur, donc c'est le même régime.
Dans plusieurs États membres, le superviseur de NIS 1 supervise aussi NIS 2 (en Allemagne, le BSI). L'institution est restée la même ; ses pouvoirs légaux et le catalogue des entités supervisées non. Les articles 32 et 33 de NIS 2 confèrent aux autorités de contrôle une liste de pouvoirs d'inspection, d'audit et d'application plus longue, et l'article 34 fixe des plafonds de sanctions minimaux à l'échelle de l'UE qui n'existaient pas sous NIS 1.
Rien d'important n'a changé.
Le champ d'application (15 plus 7 secteurs avec une règle de taille), la gouvernance (obligations de direction de l'article 20), le signalement (cascade de l'article 23), l'enregistrement (article 27) et les sanctions (plafonds de l'article 34) ont tous changé. La même formulation « appropriées et proportionnées » figure dans les deux directives, mais le catalogue qui l'entoure est bien plus spécifique dans NIS 2.
En pratique, la migration est rarement un redémarrage propre. La plupart des entités réutilisent des parties de leur registre des risques NIS 1, de leur playbook d'incident et de leur liste de fournisseurs, puis ajoutent les nouvelles pièces : une décision de l'organe de direction sur les mesures de l'article 21, paragraphe 2, un flux de signalement de l'article 23 avec les horodatages à 24 heures, 72 heures et un mois, une entrée d'enregistrement de l'article 27, et une section relative à la chaîne d'approvisionnement qui correspond à l'article 21, paragraphe 2, point d.
Le changement visible le plus courant concerne le signalement. La notification unique « sans retard injustifié » de NIS 1 devient trois documents distincts dans NIS 2, chacun avec son propre délai et son propre destinataire au sein de l'entité. Les praticiens reconstruisent généralement le flux d'incident en premier, car c'est là que les nouvelles règles de calendrier mordent rapidement.
Le registre d'obligations est structuré autour des articles de NIS 2. Les mesures de l'article 21, paragraphe 2, sont suivies comme des exigences individuelles, les délais de signalement de l'article 23 sont suivis comme un flux d'incident en trois étapes, l'enregistrement de l'article 27 est suivi comme un enregistrement distinct, et la décision de l'organe de direction de l'article 20 est suivie comme une approbation.
Si une entité dispose déjà de preuves NIS 1, celles-ci peuvent être rattachées à l'exigence NIS 2 correspondante. La plateforme ne présume pas le report ; chaque exigence est examinée et marquée comme satisfaite, partiellement satisfaite ou ouverte, avec une date et une personne responsable.
- Directive (UE) 2022/2555, article 41 (abrogation de la directive (UE) 2016/1148), articles 20, 21, 23, 27, 32, 33, 34, annexe I et annexe II (EUR-Lex).
- Directive (UE) 2016/1148, article 14 (exigences de sécurité pour les OES) et article 16 (exigences de sécurité pour les FSN) (EUR-Lex).
- Règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, considérants et annexe (EUR-Lex).
- Bundesamt fur Sicherheit in der Informationstechnik (BSI), pages d'information NIS 2 et références BSIG (bsi.bund.de).
- ENISA, orientations techniques de mise en œuvre relatives à l'article 21, paragraphe 2, de NIS 2 (enisa.europa.eu).