Directive NIS 2 : Vers une cybersécurité renforcée en Europe – Point de situation 06/25
La directive NIS 2 (Network and Information Security), adoptée par l’Union européenne en décembre 2022, marque un tournant décisif dans la régulation de la cybersécurité des entités critiques. En réponse à l’intensification des cybermenaces, elle élargit significativement le champ d’application de la directive NIS 1 et renforce les exigences de sécurité et de gouvernance. Avec une transposition prévue en droit français d’ici septembre 2025, les entités publiques et privées doivent dès à présent se préparer à intégrer ce nouveau cadre réglementaire.
1. Objectifs et champ d’application
La directive NIS 2 vise à uniformiser le niveau de cybersécurité dans toute l’Union européenne. Son objectif est double : renforcer la résilience des infrastructures critiques et améliorer la coopération entre États membres en cas de cybercrise. Le champ d’application s’étend désormais à plus de 160 000 entités en Europe, incluant les secteurs de la santé, des transports, de l’énergie, des services publics, des administrations, du numérique et bien d’autres encore.
2. Transposition en France : état des lieux
En France, la transposition de la directive NIS 2 est encadrée par le projet de loi relatif à la résilience des infrastructures critiques, adopté par le Sénat en mars 2025. Ce texte est en cours d’examen à l’Assemblée nationale. La date de transposition potentielle est fixée à septembre 2025, mais pourrait connaître un léger décalage lié au contexte politique. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) jouera un rôle central dans la mise en œuvre, le contrôle et l’accompagnement des entités concernées via le portail “MonEspaceNIS2”.
3. Distinction entre entités essentielles et importantes
Les entités sont classées en deux catégories : les entités essentielles (EE) et les entités importantes (EI). Les EE relèvent d’une surveillance renforcée, notamment via des audits proactifs. Les EI, quant à elles, sont soumises à un régime plus souple mais doivent tout de même respecter l’ensemble des obligations. Chaque entité doit s’auto-déclarer via le portail de l’ANSSI, sans notification préalable. En cas d’accompagnement par un prestataire certifié PASSI, une présomption de conformité pourra être accordée.
4. Mesures de sécurité imposées
Les mesures exigées par la directive sont à la fois techniques et organisationnelles. Parmi les plus structurantes :
• L’authentification multifacteur (MFA) devient obligatoire pour tous les accès sensibles.
• Le chiffrement des postes de travail et des données en transit ou au repos est requis.
• L’usage de dispositifs personnels (BYOD) est strictement encadré, voire interdit pour les fonctions critiques.
• L’administration du système d’information doit être réalisée depuis des postes ou des environnements dédiés, avec segmentation du réseau.
• L’architecture doit intégrer des comptes d’administration en tiering (séparation des privilèges).
• Des sondes de détection (même non qualifiées) sont obligatoires, accompagnées d’un SIEM ou d’une journalisation centralisée.
• Une cartographie du SI, bien que libre dans sa forme, devient une exigence pour structurer l’analyse de risque.
• La maintenance et la mise à jour régulière du SI (MCO/MCS) sont surveillées.
• Des exercices de gestion de crise cyber sont requis, ainsi que des sauvegardes testées régulièrement.
• L’accès distant des administrateurs devra passer par un VPN IPsec.
• Un bastion ou une VM de rebond est exigé pour accéder aux environnements d’administration.
• L’analyse de risque est obligatoire, avec homologation de sécurité pour les entités essentielles.
5. Le rôle central de l’ANSSI et du portail MonEspaceNIS2
Le portail “MonEspaceNIS2” (https://monespacenis2.ssi.gouv.fr) centralise les démarches de conformité, les notifications d’incidents et la transmission d’indicateurs de performance. L’ANSSI privilégiera une approche pédagogique les trois premières années : aucun régime de sanction automatique, mais une logique d’accompagnement et de montée en maturité.
6. Avancement en Europe
Au niveau européen, la date butoir de transposition était fixée à octobre 2024. En mars 2025, seules la Belgique, la Croatie et la Hongrie avaient adopté leur législation nationale. La France, malgré un léger retard, figure parmi les pays les plus avancés, notamment grâce à l’impulsion de l’ANSSI. Les autres États membres s’alignent progressivement, avec des niveaux d’exigence hétérogènes selon les législations locales.
7. L’accompagnement ORNISEC
Chez ORNISEC, nous accompagnons déjà de nombreuses entités critiques dans leur mise en conformité NIS 2. Nos prestations incluent l’audit de maturité, l’analyse de risque, la cartographie du SI, l’élaboration des plans d’action, la documentation de conformité et la sensibilisation des parties prenantes. Nos consultants certifiés PASSI garantissent un accompagnement rigoureux, conforme aux attentes de l’ANSSI et aux référentiels en vigueur (ISO 27001, LPM, DORA, etc.).
8. Conclusion
La directive NIS 2 impose une montée en maturité cybersécurité à grande échelle. Les entités concernées doivent prendre conscience de l’enjeu stratégique que représente cette mise en conformité, au-delà de l’obligation réglementaire. Anticiper, structurer, sécuriser : telles sont les priorités d’un plan de conformité réussi. ORNISEC est prêt à vous accompagner à chaque étape.