NIS 2 : les nouvelles règles de l'UE en matière de cybersécurité expliquées
NIS2 oblige les entreprises à renforcer la cybersécurité. Qui est concerné, ce qu'il faut faire - et pourquoi les entreprises suisses devraient également réagir.
5
min.
Mis à jour le
5 août 2025
L'Union européenne met en œuvre des règles plus strictes en matière de cybersécurité. Des centaines de milliers d'entreprises sont concernées. Et elles ne sont pas les seules : Les entreprises partenaires et les chaînes d'approvisionnement doivent également devenir plus sûres. Nous présentons le nouveau règlement européen sur la cybersécurité "NIS2" et jetons un coup d'œil sur tout ce qu'il faut savoir en matière d'obligations de déclaration et autres.
L'UE a lancé une directive "pour un niveau commun élevé de cybersécurité". Officiellement, elle est connue sous le nom de "directive (UE) 2022/2555" ou, plus brièvement, de "NIS2", car il s'agit de la deuxième tentative pour améliorer la sécurité des réseaux et de l'information, et ainsi renforcer la cyber-résilience. Depuis le 17 octobre 2024, les États membres de l'UE devaient transposer la directive dans leur droit national. Dans de nombreux pays - dont la Belgique, le Danemark et l'Italie - c'est désormais chose faite. Dans d'autres pays, la mise en œuvre complète est retardée ; en Allemagne, par exemple, la loi de mise en œuvre de la NIS2 (NIS2UMSuCG) est prévue et devrait être soumise au Bundesrat pour avis à la fin de l'été 2025. Elle est pertinente pour la Suisse, car la directive inclut explicitement les chaînes d'approvisionnement et les entreprises partenaires.
Quelles sont les entreprises concernées ?
Par rapport à son prédécesseur de 2016, la nouvelle directive concerne environ dix fois plus d'entreprises. Selon les estimations actuelles, environ 160'000 entreprises sont concernées dans toute l'Europe. Rien qu'en Allemagne, le nombre est désormais estimé à environ 30'000.
La NIS 2 a par exemple fait passer la liste des secteurs de huit à dix-huit. Elles sont classées en deux catégories : "essentielles" et "importantes". Une vue d'ensemble détaillée se trouve dans les annexes I et II de la directive susmentionnée.
Les secteurs particulièrement importants sont donc l'énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, les soins de santé, l'eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC (B2B), l'administration publique et l'espace.
Dans la liste des "autres" secteurs critiques, on trouve les services postaux et de courrier, la gestion des déchets, la production, la fabrication et le commerce de produits chimiques, la production, la transformation et la distribution de denrées alimentaires, l'industrie manufacturière/la fabrication de biens, les fournisseurs de services numériques.
En principe, les entreprises de ces secteurs sont concernées si elles emploient plus de 50 personnes et ont un chiffre d'affaires annuel ou un bilan annuel de plus de 10 millions d'euros. Des exceptions sont toutefois possibles, notamment lorsqu'une entreprise est le seul fournisseur d'un service essentiel dans un État membre ou qu'elle présente un intérêt particulier pour la sécurité nationale.
Que contiennent les exigences NIS2 ?
Les obligations figurent au chapitre IV de la directive. Les entreprises concernées doivent, selon l'article 21, "prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de maîtriser les risques pour la sécurité des réseaux et des systèmes d'information (...) et de prévenir ou de réduire au minimum l'impact des incidents de sécurité sur les destinataires de leurs services et sur d'autres services". Ce qui est considéré comme "proportionné" doit dépendre, entre autres, du risque évalué, des conséquences possibles et de la taille de l'entreprise.
L'article 21 énumère en outre une norme minimale pour les mesures de sécurité. Il s'agit par exemple d'un concept d'analyse des risques, de plans de gestion des incidents de sécurité, de gestion des crises et des sauvegardes, de concepts d'évaluation de l'efficacité des mesures, de cryptage, de contrôle d'accès ou encore d'authentification multi-facteurs.
Les entreprises suisses qui s'orientent vers le standard minimal TIC sont déjà bien placées dans ce domaine.
L'article 21, paragraphe 2, mentionne explicitement "la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre les différentes entités et leurs fournisseurs directs ou prestataires de services". Le paragraphe 3 précise que les entités doivent tenir compte de "la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris la sécurité de leurs processus de développement".
Que couvre l'obligation de notification des incidents de sécurité NIS2 ?
L'obligation de notification nouvellement introduite à l'article 23 est également particulièrement pertinente : en cas d'incident de sécurité, une première notification ("early warning") doit d'abord être effectuée dans les 24 heures suivant la prise de connaissance de l'incident. Dans les 72 heures, une notification plus détaillée est effectuée, avec une première évaluation de l'incident de sécurité, notamment en ce qui concerne sa gravité et ses conséquences. Au plus tard dans un délai d'un mois, une notification de suivi ou une notification finale comprenant une analyse des causes et des contre-mesures doit être soumise à l'autorité compétente.
Les infractions aux exigences de déclaration ou de sécurité peuvent être sanctionnées par des amendes élevées : Les établissements particulièrement importants peuvent se voir infliger des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La mise en œuvre des directives est contrôlée dans les États membres par des autorités compétentes (par exemple le BSI en Allemagne).
La responsabilité explicite de la direction est également nouvelle : les CEO, CIO et conseils d'administration doivent s'assurer que les mesures exigées ne sont pas seulement introduites, mais aussi comprises et surveillées. De nombreuses lois nationales exigent des formations obligatoires et la possibilité d'une responsabilité personnelle.
Pourquoi ces nouvelles règles ?
Ce n'est pas d'hier que la politique de l'UE reconnaît que la numérisation et la mise en réseau croissantes représentent en même temps un danger potentiel. Mais jusqu'à présent, les tentatives de renforcer globalement les normes de sécurité n'ont pas été très fructueuses.
Le prédécesseur direct de la nouvelle réglementation est la directive (UE) 2016/1148. Elle avait déjà la même orientation, mais sa mise en œuvre dans les États membres n'était guère contrôlée et elle était, à de nombreux égards, moins spécifique que la nouvelle version.
Entre-temps, encore plus de processus ont été numérisés, automatisés et mis en réseau. Parallèlement, le nombre de tentatives d 'attaques et d'attaques réussies sur les réseaux des installations industrielles et des institutions publiques a augmenté.
Avec NIS2, l'UE réagit à cette situation de menace et assure un caractère plus contraignant et une harmonisation - également pour éviter un niveau de cybersécurité fragmenté au sein de l'Europe. La directive fait en outre partie d'un paquet plus large sur la résilience des infrastructures critiques.
Mot de la fin
La nouvelle directive européenne suit en grande partie ce qui est déjà recommandé et pratiqué au niveau international. En Suisse, il existe des directives comparables, par exemple à travers le Centre national de cybersécurité (NCSC) et la norme minimale TIC pour les autorités. En outre, une révision de la loi sur la sécurité de l'information (LSI) est en cours, dont le contenu s'inspire fortement de la NIS2.
Pour les entreprises de tous types, c'est toutefois une bonne idée de s'intéresser aux dangers potentiels et à leurs conséquences, même si elles ne sont pas considérées comme faisant partie de l'"infrastructure critique". Les cyberattaques, telles que les attaques de ransomware, peuvent entraîner des dommages monétaires considérables et ruiner la réputation de l'entreprise.
FOIRE AUX QUESTIONS (FAQ) : Le NIS2 en un coup d'œil
Qu'est-ce que la directive NIS2 ?
La directive européenne 2022/2555 (NIS2) est la législation européenne révisée sur la cybersécurité des installations critiques et essentielles. Elle remplace la directive NIS1 de 2016 et élargit massivement son champ d'application. Elle poursuit l'objectif d'un niveau de cybersécurité uniformément élevé dans l'UE, conformément à l'art. 1 NIS.
Quelles sont les entreprises concernées par NIS2 ?
Toutes les entreprises des secteurs à criticité élevée et des autres secteurs critiques avec plus de 50 collaborateurs et plus de 10 millions de chiffre d'affaires ou de total du bilan, ainsi que les petits fournisseurs d'importance systémique.
Qu'exige concrètement la norme NIS2 ?
NIS2 exige des mesures de sécurité technico-organisationnelles, une analyse des risques, des plans d'urgence, des formations, des rapports en cas d'incidents de sécurité et des responsabilités de gestion.
Y a-t-il des sanctions en cas de non-respect de NIS2 ?
Oui, les infractions au NIS2 sont sanctionnées. Les amendes peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial. La direction peut également être tenue pour responsable.
La directive NIS2 s'applique-t-elle également aux entreprises suisses ?
Bien que la Suisse ne soit pas membre de l'UE, NIS2 peut avoir des conséquences ici aussi - en particulier pour les entreprises qui ont des filiales ou des clients dans l'UE ou qui sont actives en tant que prestataires de services dans les chaînes d'approvisionnement de l'UE.
Plus de connaissances qui vous font avancer
Découvrez des insights pertinents sur les thèmes actuels, les défis et les solutions qui vous feront avancer.
