FAQ : La directive NIS 2 en 10 questions

Cette FAQ vise à répondre aux questions que vous nous posez le plus fréquemment sur la « directive NIS 2 » (directive (UE) 2022/2555).

Il s'agit d'une présentation des grandes lignes de la directive, sans prétendre à l'exhaustivité. Chaque cas particulier nécessite une analyse plus poussée, car la réalité de vos obligations dépendra des spécificités propres à votre activité.

Il est également important de rappeler que NIS 2 est une directive européenne, c'est-à-dire un texte qui fixe des résultats à atteindre par les États membres, mais laisse à chacun d'eux le soin de déterminer comment ils vont les transposer dans leur droit national. Cela signifie que certaines obligations et modalités concrètes pourraient varier d’un État membre à l’autre.

Les actes de transposition nationaux (lois, décrets…) viendront donc préciser, dans chaque État membre, les exigences détaillées et les délais de mise en conformité applicables.

Voici la liste des questions auxquelles nous vous répondons :

1. Comment savoir si mon entité est concernée par la directive NIS 2 ?
2. Si mon entreprise n'atteint pas les seuils de taille (employés, chiffre d'affaires, bilan), est-elle exclue de la qualification d'entité essentielle ou importante ?
3. Quelle est la différence entre « Entité Essentielle » et « Entité importante » ?
4. Mon entreprise est un fournisseur/prestataire d’une entité essentielle ou importante, est-elle concernée par la directive NIS 2 ?
5. Mon entreprise est étrangère à l’Union Européenne, est-elle exonérée des obligations de NIS 2 ?
6. Si une entité de mon groupe d’entreprises est concernée, est-ce que toutes les entités de mon groupe  doivent se conformer à NIS 2 ?
7. Mon entité est essentielle ou importante, quelles sont ses obligations ?
8. Mon entreprise travaille déjà sur sa conformité au RGPD, cela suffit-il pour se conformer à NIS 2 ?
9. Mon entreprise doit-elle être conforme à la directive dès le 17 octobre 2024 ?
10. Quelles sanctions en cas de non conformité à NIS 2 ?

1. Comment savoir si mon entité est concernée par la directive NIS 2 ?

La directive NIS 2 concerne essentiellement les « entités essentielles » et les « entités importantes », qui répondent, dans la plupart des cas, aux trois critères suivants.

(i) Votre entité fournit-elle des services ou exerce-t-elle des activités au sein de l’Union européenne ?

Si oui, votre entité (entreprise, etc.) est potentiellement concernée.

(ii) Votre entité opère-t-elle dans un secteur « hautement critique » ou « critique » ?

La directive identifie 18 secteurs d'activité dans ses annexes I et II, parmi lesquels on retrouve :

• Les secteurs « hautement critiques » de l'annexe I : énergie, transports, secteur bancaire,  infrastructures des marchés financiers,  santé, eau potable, eaux usées, administrations publiques, espace, infrastructure numérique et gestion des services TIC (interentreprise).
• Les secteurs « critiques » de l'annexe II : services postaux et d’expédition,  gestion des déchets, production et distribution de produits chimiques, production, transformation et distribution des denrées alimentaires, certains fabricants (dispositifs médicaux, produits informatiques, véhicules, etc.), des fournisseurs numériques (places de marché en ligne, moteurs de recherche et réseaux sociaux), et la recherche.

Au sein de chacun de ces secteurs, seuls certains acteurs sont visés. Ces acteurs sont désignées dans la directive en fonction de :

• Définitions issues de la réglementation européenne déjà existante (directives, règlements, etc.),
• La classification européenne des activités (NACE),
• Ou de nouvelles définitions spécifiques à la directive NIS 2.

Par exemple, dans le secteur hautement critique de "l'infrastructure numérique", les acteurs visés sont les suivants:

• Fournisseurs de points d’échange internet
• Fournisseurs de services DNS, à l’exclusion des opérateurs de serveurs racines de noms de domaine
• Registres de noms de domaine de premier niveau
• Fournisseurs de services d’informatique en nuage (SaaS, IaaS, PaaS...)
• ‍Fournisseurs de services de centres de données‍
• Fournisseurs de réseaux de diffusion de contenu
• Prestataires de services de confiance‍
• Fournisseurs de réseaux de communications électroniques public
• Fournisseurs de services de communications électroniques accessibles au public

Certains de ces acteurs sont déjà définis par d'autres textes européens, auxquels la directive renvoie directement. Par exemple, les fournisseurs de réseaux de communications électroniques publics sont définis par la directive (UE) 2018/1972. D'autres acteurs, comme les « fournisseurs de services d'informatique en nuage », sont définis directement par la directive NIS 2, avec des éclaircissements fournis dans les considérants.

Voici, par exemple, un extrait du considérant 33 de NIS 2 qui éclaire la définition de services d’informatique en nuage : « les services d’informatique en nuage devraient couvrir les services numériques qui permettent la gestion sur demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits. Les ressources informatiques comprennent des ressources telles que les réseaux, les serveurs ou d’autres infrastructures, les systèmes d’exploitation, les logiciels, le stockage, les applications et les services. Les modèles de services liés à l’informatique en nuage comprennent, entre autres, les infrastructures services (IaaS), les plateformes services (PaaS), les logiciels services (SaaS) et les réseaux services (NaaS). Les modèles de déploiement de l’informatique en nuage devraient inclure les modèles privés, communautaires, publics et hybrides en nuage ».

Si votre entité exerce dans l'un de ces secteurs et fait partie des acteurs spécifiquement visés par les annexes I ou II de la directive, il est probable qu'elle soit qualifiée d'entité essentielle ou importante.

(iii) Votre entité dépasse-t-elle certains seuils de taille ?

La directive NIS 2 s’applique principalement aux entreprises moyennes (moins de 250 personnes et qui ont un chiffre d’affaires annuel qui ne dépasse pas 50 millions d’euros, ou un bilan annuel qui n’excède pas 43 millions d’euros), et à celles qui dépassent ces seuils.

Les « microentreprise » et les « petites entreprises » sont généralement exemptées, sauf exceptions prévues dans la directive.

Si vous avez répondu « oui » aux trois questions précédentes, il y a de très fortes chances pour que votre entité soit une entité essentielle ou importante. 

‍

Si mon entité ne répond pas à ces trois critères, est-elle exclue de la qualification d'entité essentielle ou importante ?

Non, pas forcément.

Certaines entités sont quand même visées par la directive, indépendamment de leur conformité aux critères ci-dessus.

Cela inclut certaines entités spécifiquement visées par les annexes I et II de la directive, quelle que soit leur taille, certaines administrations publiques, des entités critiques en vertu de la directive UE 2022/2557, des entités spécifiquement identifiées par un État en raison de circonstances particulières, et certains opérateurs de services essentiels (OSE).

Pour aider les entreprises à s’orienter, l’ANSSI propose « MonEspaceNIS2 », un espace en ligne qui permet de réaliser un premier test pour déterminer si votre entreprise pourrait être concernée par la directive NIS 2. 

Cependant, comme l’indique l’ANSSI, cet outil n’a qu’une valeur indicative et ne remplace en aucun cas une analyse juridique approfondie, indispensable pour prendre en compte les définitions précises de la directive, les seuils applicables, et d’autres critères spécifiques.

Surtout, il faudra rester attentif à l’acte de transposition de la directive qui pourra préciser les définitions de certains types d’entité concernés, ainsi qu’aux communications de l’ANSSI à ce sujet.

Si vous avez des doutes, notre cabinet d'avocats peut vous accompagner pour réaliser cette évaluation détaillée et particulière à votre situation.

2. Si mon entreprise n'atteint pas les seuils de taille (employés, chiffre d'affaires, bilan), est-elle exclue de la qualification d'entité essentielle ou importante ?

Pas forcément.

De nombreuses « microentreprises » et « petites entreprises » échappent à la qualification d'entité essentielle ou importante.

Cependant, la directive NIS 2 prévoit des exceptions, et certaines entités peuvent être soumises à ses obligations, quelle que soit leur taille.

‍En résumé, cela peut être le cas si elles fournissent certains services (par exemple, des réseaux de communications électroniques publics), en fonction du contexte propre à un État membre, ou encore si une perturbation de leurs services peut avoir un impact transfrontalier. Les critères exacts sont détaillés dans la directive et nécessitent une analyse spécifique pour chaque situation.

Il est donc judicieux d’évaluer dès maintenant si votre entreprise est concernée par ces exceptions et Entropy peut vous accompagner dans cette démarche. 

Ajoutons également que, selon la croissance de votre entreprise, les seuils d'application de la directive NIS 2 peuvent être atteints plus rapidement qu'on ne l'anticipe d’un exercice à l’autre. Il est donc crucial d’anticiper la mise en conformité pour éviter l’accumulation d’une sorte de « dette technique » en matière de sécurité et de gouvernance des systèmes d’information.

Cette « dette », si elle n'est pas maîtrisée, risque de rendre votre conformité plus complexe et onéreuse à long terme.

En faisant dès aujourd’hui des choix appropriés, vous évitez des ajustements coûteux à l’avenir et garantissez que vos infrastructures et processus soient conformes aux exigences de NIS 2.

3. Quelle est la différence entre « Entité Essentielle » et « Entité importante » ?

La directive distingue entre les entités dites « essentielles » et celles dites « importantes ».

• Les entités essentielles sont:
  • Les entités de l'Annexe I de la directive qui dépassent les seuils applicables aux moyennes entreprises ;
  • Certaines catégories d'entités nommément désignées dans la directive, quelle que soit leur taille;
  • Les fournisseurs de réseaux publics de communications électroniques publics ou de services de communications électroniques accessibles au public qui sont des moyennes entreprises;
  • Certaines administrations publiques ;
  • Certaines entités identifiées par un État membre en raison de circonstances propres (seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques, etc.);
  • Ou qui sont qualifiées d’entités critiques en vertu de la directive (UE) 2022/2557 (directive sur la résilience des entités critiques);
  • Ou les opérateurs de services essentiels (OSE) identifiés avant le 16 janvier 2023. 

• Sauf exceptions, les autres entités visées par NIS 2 seront des entités importantes.

Les obligations ne seront pas identiques, puisque les entités essentielles devront respecter un niveau d’exigence plus haut que celui applicable aux entités importantes.

Compte tenu de ces critères, une analyse juridique détaillée est souvent nécessaire pour déterminer à quelle catégorie votre entité appartient et quelles obligations lui incomberont.

Notre cabinet d'avocats peut vous accompagner dans cette démarche pour évaluer si votre entreprise relève du statut d'entité essentielle ou importante.

4. Mon entreprise est un fournisseur/prestataire d’une entité essentielle ou importante, est-elle concernée par la directive NIS 2 ?

Oui, potentiellement.

Même si votre entreprise n’est pas directement qualifiée d’entité essentielle ou importante, elle peut être concernée si elle est un sous-traitant, un prestataire ou un fournisseur d’une entreprise régulée par NIS 2.

En effet, la directive exige des entités qu’elles mettent en place des mesures techniques et organisationnelles appropriées pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d’information. Cela inclut la sécurité de leur chaîne d’approvisionnement. 

Concrètement, les entités régulées devront s’assurer que leurs fournisseurs, sous-traitants ou prestataires respectent certains standards de sécurité.

En tant que fournisseur ou prestataire, cela signifie que vous pourriez être tenu contractuellement de vous conformer à ces exigences, même si vous n’êtes pas directement soumis à la directive.

Notre cabinet d'avocats, en collaboration avec des leaders européens en cybersécurité, peut vous accompagner dans cette démarche afin de sécuriser vos contrats et vos relations commerciales tout en renforçant la protection de vos systèmes d’information.

5. Mon entreprise est étrangère à l’Union Européenne, est-elle exonérée des obligations de NIS 2 ?

Non, la nationalité de l’entreprise n’exonère pas des obligations de la directive NIS 2.

La directive peut s’appliquer à certaines entités, qu'elles soient basées dans l’UE ou non, dès lors qu'elles« fournissent des services ou exerce des activités au sein de l’Union ». 

Cela signifie qu'une entreprise étrangère à l’Union Européenne, qui opère dans des secteurs visés par la directive, peut être soumise aux obligations de NIS 2, si elle fournit ses services ou exerce ses activités dans l'UE.

Ces entreprises étrangères doivent d’ailleurs désigner un représentant dans l'Union Européenne.

Selon les services fournis (ex. : communication électronique, services d’informatique en nuage, services gérés, services de sécurité gérés, etc.), une entité pourra ainsi relever de la compétence de plusieurs États membres ou d’un seul État membre qui serait celui de leur « établissement principal ».  

Attention, cette notion d’établissement principal retenu par le texte n’est pas identique à celle retenu par le RGPD et devra faire l’objet d’une analyse fine au regard des critères de détermination prévus par la directive NIS 2 (lieu où sont prises les décisions liées aux mesures de gestion des risques en matière de cybersécurité, ou lieu où les opérations de cybersécurité sont effectuées, ou établissement comptant le plus grand nombre de salariés dans l’Union, etc.).

Notre cabinet d'avocats peut vous assister dans cette analyse pour évaluer l'impact de NIS 2 sur vos activités en Union Européenne, déterminer le lieu de votre établissement principal, et vous accompagner tout au long de votre mise en conformité.

6. Si une entité de mon groupe d’entreprises est concernée, est-ce que toutes les entités de mon groupe doivent se conformer à NIS 2?

Non.

Il est possible qu'une entité de votre groupe soit soumise à la directive NIS 2, tandis que les autres ne le seront pas, en fonction de leurs activités spécifiques ou de leurs tailles. Le texte invite, à première vue, à penser en termes d’entités et non de groupe.

Dans le cadre de la transposition de NIS 2, l'ANSSI travaille sur une approche qui permettrait même de circonscrire l'application des mesures de cybersécurité à certains systèmes d’information dont la compromission pourrait avoir des conséquences graves, comme la perturbation des services ou la divulgation d'informations sensibles.

Cependant, en fonction de votre situation particulière, il est parfois plus pertinent d’adopter une approche cohérente au niveau du groupe pour la gestion de votre conformité, même si toutes les entités ne sont pas concernées (simplifier la gestion, uniformiser les bonnes pratiques cyber, etc.).

Concernant les groupes ayant des entités dans plusieurs États membres, il est important de noter aussi que NIS 2 pourrait être transposée différemment dans chaque pays. Les obligations peuvent donc varier d’un État membre à l’autre, tout comme les calendriers de mise en conformité. Cela peut créer des disparités à prendre en compte pour votre mise en conformité.

Notre cabinet d'avocats, en collaboration avec des leaders européen en cybersécurité, vous accompagne dans l’évaluation de chaque entité de votre groupe et dans la mise en place d’une stratégie de cybersécurité particulière une entité ou globale pour votre groupe.

7. Mon entité est essentielle ou importante, quelles sont ses obligations ?

Rassurez-vous. La mise en conformité avec NIS 2 n’est pas une tâche insurmontable.

À titre d’illustration, et sans prétendre à l'exhaustivité, plusieurs axes clés devront être pris en compte dans l’élaboration de votre feuille de route de mise en conformité.

Un premier axe concerne - evidemment - la sécurité des systèmes d’information. La directive impose aux entités concernées de mettre en place certaines mesures pour protéger leurs infrastructures contre les incidents. Ces mesures sont à la fois techniques (comme l’utilisation de solutions d'authentification multifactorielle), opérationnelles (telles que la cyberhygiène) et organisationnelles (comme la gestion de crise). Les États membres peuvent aussi exiger l’utilisation de produits et services certifiés en cybersécurité, conformément aux schémas européens de certification, dont certains sont encore en cours d’élaboration.

Un point à retenir est que le texte de NIS 2 n’impose pas de limiter les mesures de sécurité aux seuls systèmes d’information directement liés aux activités pour lesquelles une entité est qualifiée d’entité essentielle ou importante. Cependant, l'ANSSI propose de circonscrire l’application de ces mesures aux systèmes d’information les plus critiques. Cette approche reste pour le moment à confirmer lors de la transposition de la directive en droit français.

Un deuxième axe est celui de la sécurité de la chaîne d'approvisionnement. Les entités doivent veiller à ce que leurs fournisseurs et prestataires respectent des standards de sécurité élevés. Les contrats avec eux devront notamment intégrer des clauses spécifiques en matière de cybersécurité, en tenant compte des vulnérabilités propres à chaque prestataire ainsi que de la qualité globale de leurs pratiques.

Un troisième axe est la formation à la cybersécurité. Les organes de direction doivent être formés à l’identification des risques, à l’évaluation des pratiques de gestion des menaces et à l’impact potentiel de ces risques sur les services fournis.

Un autre axe essentiel pourrait aussi l'intégration dans vos procédures de l'obligation de notification en cas d'incident cyber (alerte précoce sans retard injustifié et au plus tard dans les 24h de la connaissance, notification dans les 72h de celui-ci au CSIRT ou à l'autorité compétente selon les cas, et fourniture d'un rapport final).

Certaines obligations seront précisées dans les textes de transposition (loi, décrets…).

En France, l’ANSSI est en train de travailler à l’élaboration de référentiels spécifiques, qui distingueront clairement entre les obligations des entités essentielles et des entités importantes. Il reste à espérer que ces référentiels nationaux s'harmoniseront à travers l’Union Européenne.

Notre cabinet d'avocats, en partenariat avec des leaders européens en cybersécurité, peut vous accompagner à chaque étape de votre démarche de conformité : évaluation de votre niveau de maturité en cybersécurité et élaboration de votre roadmap de mise en conformité, rédaction des politiques et procédures adaptées, rédaction et négociation de clauses contractuelles spécifiques, formation des équipes dirigeantes, etc. 

8. Mon entreprise travaille déjà sur sa conformité au RGPD, cela suffit-il pour se conformer à NIS 2 ?

Non.

Le RGPD et la directive NIS 2 s’inscrivent dans un même cadre réglementaire européen, mais ils couvrent des aspects différents. Si vous avez déjà mis en place des pratiques de gestion des risques et la protection des données pour vous conformer au RGPD, ces mesures pourront vous être utiles pour NIS 2. Toutefois, la directive impose des obligations spécifiques supplémentaires.

Notre cabinet d'avocats peut vous accompagner pour coordonner vos efforts de conformité au RGPD avec les nouvelles exigences de NIS 2.

9. Mon entreprise doit-elle être conforme à la directive dès le 17 octobre 2024 ?

Non.

La directive NIS 2 doit (normalement) être transposée dans le droit national d’ici le 17 octobre 2024, ce qui signifie que chaque État membre devrait avoir adopté ses propres lois pour appliquer la directive à cette date.

Cependant, il n'est pas rare que la transposition des directives européennes prenne du retard, parfois de plusieurs mois, voire années.

A l’heure où nous écrivons ces lignes, seuls trois des vingt-sept États membres ont adopté les lois nécessaires pour transposer la directive NIS 2 dans le droit interne.

Quoi qu'il en soit, une fois transposée en droit français, certaines mesures feront l’objet de délais de mise en conformité, vous offrant ainsi un temps précieux pour vous préparer avant que les premières sanctions ne soient appliquées.

Il est donc fortement recommandé d’anticiper dès maintenant la transposition de la directive et d’évaluer vos besoins de mise en conformité.

Notre cabinet d'avocats, en collaboration avec des leader européens en cybersécurité, propose des audits complets pour évaluer votre niveau de maturité cyber et vous accompagner pas à pas dans votre conformité à NIS 2. 

10. Quelles sanctions en cas de non conformité à NIS 2 ?

Contrairement à ce que l’on peut lire partout, NIS 2 ne fixe pas un plafond aux amendes de 10 millions d’euros ou 2 % du chiffre d’affaires mondial !

En réalité, l’article 34 de la directive précise qu’il s’agit de minimums, et non de plafonds !

Ainsi, pour les Entités Essentielles, la directive indique que, en cas de manquement à leurs obligations, les États membres doivent prévoir « des amendes administratives d’un montant maximal s’élevant à au moins 10 000 000 EUR ou au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu ».

Pour les Entités Importantes, les sanctions doivent être d'au moins 7 000 000 EUR ou au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Cela signifie que chaque État membre, lors de la transposition de la directive dans son droit interne, peut fixer des sanctions plus sévères. Par exemple, la Belgique a déjà prévu dans sa loi de transposition de la directive NIS 2 que ces amendes administratives seront doublées en cas de récidive dans un délai de trois ans pour des infractions similaires (art. 59 de cette loi).

Surtout, NIS 2 instaure un nouveau  cadre de supervision et d’exécution pour les entités essentielles et importantes.

En d'autres termes, des autorités compétentes – l’ANSSI en France – seront désignées dans chaque Etat membre pour veiller au respect des obligations prévues par la directive. Ce cadre leur confère des pouvoirs de contrôle, tels que la réalisation d'inspections ou d’audits, ainsi que des pouvoirs d’exécution. Ces derniers leur permettront de prendre des mesures allant d’un simple avertissement à des sanctions plus sévères, comme la publication des manquements ou l’imposition d’amendes administratives.

Il est également à noter que les autorités compétentes pourront, de manière assez novatrice, soumettre les entités essentielles à des scans de sécurité.

Enfin, et de façon aussi originale, il devrait aussi être possible de prononcer l’interdiction à tout représentant légal d'une entité essentielle d’exercer des responsabilités dirigeantes dans cette entité,  jusqu’à ce que l’entité concernée ait remédié aux manquements constatés.

‍

À propos de l'auteur

Jocelyn Pitet est avocat au barreau de Paris et cofondateur d’Entropy, un cabinet d'avocats dédié aux nouvelles technologies. Sa pratique se concentre sur des domaines tels que la cybersécurité, la protection des données personnelles, les contrats informatiques, la blockchain, l'intelligence artificielle et d'autres technologies de rupture. Depuis plus de dix ans, Jocelyn accompagne les startups innovantes, les entreprises technologiques de pointe ainsi que les grandes groupes internationaux dans la gestion des défis juridiques complexes liés au numérique et à l'innovation. 

En parallèle de son activité au cabinet, Jocelyn Pitet assure des fonctions d'enseignement à l'Université Paris Panthéon-Assas et à l'Institut Léonard de Vinci. Il y dispense des cours sur le droit de la blockchain, le droit des données à caractère personnel et le droit de la cybersécurité.