EU 2022/2555

Qu'est-ce que NIS2 ?

Directive (UE) 2022/2555 sur la cybersécurité, la refonte la plus importante de la réglementation européenne en matière de cybersécurité depuis 2016.

Simon OrzelSimon Orzel·Laufend geprüft

Vue d'ensemble

La directive NIS2 (directive (UE) 2022/2555) est le cadre actualisé de l'Union européenne visant à atteindre un niveau commun élevé de cybersécurité dans tous les États membres. Elle remplace la directive NIS originale de 2016.

NIS2 élargit considérablement le champ de la réglementation européenne en matière de cybersécurité : d'environ 10 000 entités sous NIS1 à environ 160 000 estimées à travers l'Europe. Rien qu'en Allemagne, environ 29 500 entreprises sont concernées.

La directive impose des mesures harmonisées de gestion des risques, des obligations de notification des incidents et des exigences de sécurité de la chaîne d'approvisionnement. Elle introduit la responsabilité personnelle des dirigeants et des sanctions nettement plus élevées en cas de non-conformité.

Dates clés
DateÉvénement
27 décembre 2022Publication de la directive NIS2 au Journal officiel de l'UE
16 janvier 2023Entrée en vigueur de NIS2 au niveau de l'UE
17 octobre 2024Date limite de transposition en droit national par les États membres
17 avril 2025Date limite pour la mise en place des registres d'entités par les États membres
17 octobre 2027La Commission européenne réexamine le fonctionnement de la directive
Voir le calendrier NIS2 complet
NIS1 et NIS2
AspectNIS1 (2016)NIS2 (2022)
Champ d'application~10 000 entités dans l'UE~160 000 entités dans l'UE
Secteurs7 secteurs18 secteurs (11 hautement critiques + 7 autres critiques)
Classification des entitésOpérateurs de services essentiels (OSE) + fournisseurs de services numériquesEntités essentielles + Entités importantes (selon la taille)
SanctionsFixées par les États membres, très variablesHarmonisées : jusqu'à 10 M EUR ou 2 % du chiffre d'affaires mondial
Responsabilité des dirigeantsNon traitéeResponsabilité personnelle des organes de direction
Notification des incidentsSans retard injustifiéCascade stricte 24 h / 72 h / 1 mois
Chaîne d'approvisionnementNon traitéeÉvaluation obligatoire de la sécurité de la chaîne d'approvisionnement
SupervisionLaissée aux États membresProactive (essentielles) + réactive (importantes)

18 secteurs concernés

Annexe I : secteurs hautement critiques
Les grandes entités de ces secteurs sont classées comme essentielles (entités essentielles). Les entités moyennes sont classées comme importantes.
  1. 01Énergie (électricité, chauffage/refroidissement urbain, pétrole, gaz, hydrogène)
  2. 02Transport (aérien, ferroviaire, par voie d'eau, routier)
  3. 03Secteur bancaire
  4. 04Infrastructures des marchés financiers
  5. 05Santé (hôpitaux, pharmacie, dispositifs médicaux, laboratoires de référence)
  6. 06Eau potable
  7. 07Eaux usées
  8. 08Infrastructure numérique (DNS, TLD, cloud, centres de données, CDN, télécom)
  9. 09Gestion des services TIC, B2B (MSP, MSSP)
  10. 10Administration publique
  11. 11Espace
Annexe II : autres secteurs critiques
Les entités de ces secteurs sont classées comme importantes, qu'elles soient moyennes ou grandes.
  1. 01Services postaux et de messagerie
  2. 02Gestion des déchets
  3. 03Produits chimiques (fabrication, production, distribution)
  4. 04Denrées alimentaires (commerce de gros, production industrielle, transformation)
  5. 05Fabrication (dispositifs médicaux, électronique, équipements électriques, machines, véhicules automobiles, autres matériels de transport)
  6. 06Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
  7. 07Organismes de recherche
Seuils de taille
NIS2 utilise la définition européenne des PME. La classification est déterminée par le nombre d'employés OU par des critères financiers (pour le test financier, le chiffre d'affaires ET le bilan doivent tous deux être dépassés).
TailleEmployésSeuil financierChamp d'application NIS2
Grande≥ 250> 50 M EUR de chiffre d'affaires ET > 43 M EUR de bilanDans le champ d'application
Moyenne≥ 50 (et < 250)> 10 M EUR de chiffre d'affaires ET > 10 M EUR de bilanDans le champ d'application
Petite< 50≤ 10 M EUR de chiffre d'affaires ET ≤ 10 M EUR de bilanGénéralement hors du champ d'application

Certains types d'entités relèvent du champ d'application quelle que soit leur taille, notamment les fournisseurs de DNS, les registres de TLD, les prestataires de services de confiance qualifiés, les exploitants KRITIS et les fournisseurs uniques de services essentiels.

Obligations clés en un coup d'œil
  • Mettre en œuvre 10 mesures obligatoires de gestion des risques de cybersécurité
  • Notifier les incidents importants dans les 24 h / 72 h / 1 mois
  • La direction doit approuver, superviser et être formée en matière de cybersécurité
  • Évaluer et gérer les risques de cybersécurité dans la chaîne d'approvisionnement
  • S'enregistrer auprès de l'autorité nationale compétente
  • Conserver des preuves de conformité (audits tous les 3 ans pour les exploitants KRITIS)