Art. 21(2)(a) NIS 2

Gestion des risques NIS 2 au titre de l'article 21(2)(a)

NIS 2 impose de gérer le risque de cybersécurité de manière structurée. L'article 21(2)(a) est le siège de cette obligation, le §2 du CIR (UE) 2024/2690 en précise les modalités, et votre régulateur national (en Allemagne : le BSI) est l'autorité dont vous relevez.

Simon OrzelSimon Orzel·

En bref

La gestion des risques figure en tête de la liste des dix obligations de cybersécurité de l'article 21(2). Si NIS 2 vous est applicable, vous devez identifier les risques pesant sur vos systèmes, évaluer leur gravité potentielle et y remédier. La même règle s'applique dans toute l'UE.

Le CIR (UE) 2024/2690 en précise le détail. Le §2 de l'annexe impose trois éléments à votre cadre de gestion des risques. Mettez-en un en place. Vérifiez que les personnes l'appliquent réellement. Faites-le examiner par une personne indépendante. C'est le minimum requis. Si vous exploitez un DNS, du cloud, un centre de données, un MSP, des services de confiance ou tout autre secteur cité dans l'annexe du CIR, ce texte vous lie directement.

L'Allemagne transpose la même règle en droit national par le §30(2)(1) BSIG. Le libellé reprend le texte de l'UE presque mot pour mot. Cette page parcourt la directive, le règlement d'exécution de l'UE qui en découle, et la transposition allemande, dans cet ordre.

La source juridique
Trois couches superposées. La directive (contraignante pour chaque pays de l'UE). Le règlement d'exécution (droit de l'UE directement applicable pour les secteurs cités dans l'annexe). La transposition nationale (en Allemagne : BSIG).

Article 21(2)(a) de la directive NIS 2 (2022/2555)

Les politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information.

Il s'agit du point (a) de la liste des dix mesures de cybersécurité que toute entité essentielle et importante doit mettre en place.

CIR (UE) 2024/2690, annexe §2

Aux fins de l'article 21(2)(a) de la directive (UE) 2022/2555, les entités concernées établissent un cadre approprié de gestion des risques afin d'identifier et de traiter les risques pour la sécurité des réseaux et des systèmes d'information.

Parce qu'il s'agit d'un règlement (et non d'une directive), c'est un droit de l'UE directement contraignant. Aucune transposition nationale n'est nécessaire. Il s'applique aux fournisseurs de DNS, aux registres de domaines de premier niveau, aux fournisseurs de cloud, aux centres de données, aux fournisseurs de services gérés et aux autres secteurs cités dans son annexe.

§30(2)(1) BSIG (Allemagne)

Les politiques relatives à l'analyse des risques et à la sécurité des technologies de l'information.

L'Allemagne reprend le texte de l'UE presque mot pour mot. La légère variation (« sécurité des technologies de l'information » au lieu de « sécurité des systèmes d'information ») relève de la formulation, pas du sens.

Les trois éléments que le §2 du CIR exige réellement
Le CIR 2024/2690 décompose la gestion des risques en trois éléments. Chacun constitue une sous-section distincte de l'annexe. Les trois sont requis.
§2.1

Mettre en place un cadre de gestion des risques

Consignez par écrit comment vous identifiez les risques, comment vous les notez, ce que vous en faites et quels risques vous êtes disposé à assumer. Couvrez chaque système important pour votre activité. Quiconque décide des risques acceptés doit en répondre par sa signature, nommément.

§2.2

Vérifier que les personnes l'appliquent réellement

Contrôlez à une cadence régulière si votre équipe fait ce que le cadre prescrit. Si ce n'est pas le cas, consignez l'écart par écrit et corrigez-le. Un cadre que personne ne suit n'est pas un cadre.

§2.3

Soumettre le cadre à un regard indépendant

De temps à autre, une personne qui n'exploite pas le cadre doit l'examiner. Indépendant signifie structurellement distinct, pas nécessairement externe. Votre équipe d'audit interne peut le faire. Un consultant engagé peut le faire. L'enjeu, c'est un regard neuf.

Deux règles qui structurent tout le reste
L'article 21 pose deux règles fondamentales qui déterminent la manière dont chacune des dix mesures est appréciée. Pas des conseils facultatifs. La norme d'interprétation.

Approche tous risques (article 21(2))

Les cyberattaques ne sont pas le seul élément de la liste. Incendie, inondation, coupure de courant, départ d'une personne clé, faillite d'un fournisseur : tout cela compte. Si votre registre des risques ne contient que les logiciels malveillants et l'hameçonnage, vous n'avez pas atteint la norme.

Proportionnalité (article 21(1), deuxième alinéa)

Vous ajustez ce que vous faites au risque que vous encourez réellement. Le texte dit que ce doit être « approprié au risque encouru ». Six facteurs entrent dans la décision : votre degré d'exposition, votre taille, la probabilité d'un incident, sa gravité potentielle (y compris l'impact économique et sociétal plus large), l'état de l'art et le coût de mise en œuvre. Une Stadtwerk de 60 personnes n'a pas à dépenser comme une banque.

Comment les régulateurs nationaux l'appliquent concrètement
L'UE fixe la règle. Chaque pays la transpose. Le fond est le même. Les modalités locales diffèrent quelque peu.
Allemagne

BSI / §30 BSIG

Le BSI énumère les dix mesures de l'article 21(2) dans ses Infopakete et les qualifie de « au moins les dix mesures suivantes (voir § 30(2) BSIG) ». La transposition allemande suit fidèlement le libellé de la directive et renvoie à IT-Grundschutz comme voie pratique de mise en œuvre.

À l'échelle de l'UE

Orientations techniques de mise en œuvre de l'ENISA

L'ENISA, l'agence de cybersécurité de l'UE, publie des orientations techniques de mise en œuvre (TIG) qui traduisent le texte abstrait du CIR en actions concrètes. Elles mettent aussi en correspondance les exigences avec des normes établies comme l'ISO/IEC 27001:2022 et le NIST CSF 2.0, de sorte que des certifications existantes vous donnent une longueur d'avance.

Autres États membres

Lois nationales de transposition

Chaque État membre dispose de sa propre loi de transposition (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet). Les obligations sont identiques parce que la directive fixe une norme unique à l'échelle de l'UE. Ce qui diffère : les délais, les canaux de notification, l'agence à laquelle vous vous adressez.

Trois pièges que nous voyons constamment
Trois hypothèses qui reviennent dans presque chaque entretien de préparation à l'audit. Toutes trois créent des lacunes qu'un auditeur trouvera.

  • Nous avons une cyberassurance, donc nous sommes couverts.

    Le BSI est catégorique : « Un transfert de risque global ou une acceptation générale du risque est par conséquent exclu. » L'assurance se superpose au traitement du risque, elle ne le remplace pas. Vous ne pouvez pas non plus simplement « accepter » tout risque dont vous ne voulez pas vous occuper. Cet argument ne résistera pas à un audit.

  • Nous pouvons faire l'analyse des risques sans répertorier nos actifs.

    Non. Le §2.1 du CIR ne fonctionne pas sans une liste écrite de ce que vous possédez réellement. Applications, systèmes, sites, données, fournisseurs. IT-Grundschutz vous permet de regrouper les actifs identiques (45 ordinateurs portables de bureau comptent pour une seule entrée avec une quantité), de sorte que la liste n'a pas à être pléthorique. Mais elle doit exister.

  • Nous décidons ce que nous acceptons au cas par cas.

    Un auditeur doit voir les critères que vous avez fixés avant l'incident, pas après. Décidez à l'avance : à quel seuil vous acceptez un risque, à quel seuil vous le corrigez, à quel seuil vous le transférez (p. ex. via une assurance). Ces critères ont leur place dans le cadre, pas dans un courriel rédigé après coup.

Comment les opérateurs du Mittelstand procèdent réellement

L'article 21(1) vous laisse une marge avec la clause de proportionnalité : ce que vous faites doit correspondre à votre taille, à votre exposition au risque et au coût. La directive elle-même n'attend pas que vous fassiez tout à la profondeur maximale dès le premier jour.

Ce que nous voyons les praticiens faire dans le Mittelstand allemand : d'abord une évaluation des écarts, puis les douze à quinze mesures les plus urgentes au cours de la première année, puis le reste réparti sur l'année ou les deux années suivantes. Cela tient au regard de l'article 21(1) tant que le phasage est consigné par écrit, justifié par votre profil de risque et validé par l'organe de direction. Cela ne tiendra pas si le phasage n'est pas documenté ou si vous avez ignoré les risques les plus élevés.

Comment nous traitons cela sur la plateforme

Nous avons intégré le cadre du §2 du CIR à la plateforme sous forme de module. Vous consignez les risques par rapport aux actifs, vous notez la probabilité et l'impact, vous orientez chacun vers un plan de traitement, et vous saisissez les critères d'acceptation avec une validation signée. Aucun amas de tableurs. Aucun second outil.

La partie surveillance du §2.2 découle de l'usage de la plateforme : validations, statut des tâches, piste d'audit. Vous ne tenez pas de journal de conformité distinct. L'examen indépendant du §2.3 peut être mené en interne (un collègue hors de la chaîne) ou en externe (un auditeur engagé). Dans les deux cas, nous leur donnons l'accès en lecture seule dont ils ont besoin.

Sources
  • Directive (UE) 2022/2555 (NIS 2), article 21 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §1 et §2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Loi BSI (BSIG), §30 tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
  • Infopakete du BSI « NIS 2 Pflichten » — bsi.bund.de/dok/nis-2-infopakete
  • Orientations techniques de mise en œuvre de l'ENISA pour le CIR (UE) 2024/2690 (état de mai 2026)
Menez la gestion des risques sans l'amas de tableurs
Actifs, risques, traitement, validation et preuves d'efficacité sur une seule plateforme. Gratuit, open source, sans lock-in.
Ouvrir la plateforme gratuite