Qu’est-ce que la directive NIS2 ?
NIS2 est la version actualisée de la directive européenne sur la cybersécurité, conçue pour relever le niveau de sécurité des réseaux et des systèmes d’information dans l’ensemble de l’Union. Elle élargit le périmètre des entités tenues de la respecter, renforce les exigences en matière de notification des incidents et définit plus clairement les attentes quant à la manière dont les organisations doivent gérer les risques cyber au quotidien.
À l’échelle des entreprises, la directive NIS2 va bien au-delà d’un simple renforcement des contrôles de sécurité.
Elle constitue un changement vers une gouvernance cybernétique pouvant être justifiée — dans laquelle les organisations doivent prouver que les risques sont activement gérés, que les incidents sont traités de manière harmonisée et que la responsabilité incombe au bon niveau de management.
OneTrust accompagne cette transition en fournissant aux organisations un moyen unique et structuré de gérer les risques cyber, les workflows d’incidents, la surveillance des tiers et les justifications de gouvernance, pour que les exigences de la directive NIS2 soient satisfaites grâce à des processus reproductibles plutôt qu’à une coordination au cas par cas entre les équipes.
À qui la directive NIS2 s’applique-t-elle ?
NIS2 élargit sa portée à un plus grand nombre de secteurs, en distinguant généralement les entités essentielles et importantes, soumises à des niveaux de supervision et de mise en application adaptés.
Les approches qui suivent peuvent vous aider à établir si votre organisation entre dans son champ d’application :
- Si votre organisation soutient des services essentiels, des infrastructures nationales, des services numériques majeurs ou des activités de fabrication et de logistique à grande échelle, vous devez partir du principe qu’elle est soumise à la directive NIS2 jusqu’à preuve du contraire.
- Si votre organisation vend dans des secteurs réglementés ou critiques, la directive NIS2 peut la concerner par le biais des exigences sur la chaîne d’approvisionnement, même si elle n’est pas directement classifiée.
Les États membres sont par ailleurs tenus d’établir et de tenir à jour des listes des entités essentielles et importantes, et d’en faire une revue périodique.
Entités essentielles et entités importantes
En général, le terme « essentiel » est attribué aux secteurs des infrastructures critiques et aux services à fort impact, tandis que le terme « important » inclut d’autres secteurs importants pour l’économie. (La catégorisation et les seuils exacts dépendent de chaque transposition nationale.)
Les secteurs couramment associés au champ d’application de la directive NIS2 comprennent l’énergie, le transport, la santé, les infrastructures numériques et d’autres catégories de services essentiels.
Si vous avez des activités dans plusieurs pays de l’UE, ne partez pas du principe que l’interprétation d’un pays est la même que celle d’un autre. La directive NIS2 est conçue pour harmoniser les attentes, mais son application se fait au niveau national.
Exigences clés de la directive NIS2
La directive NIS2 renforce les attentes dans plusieurs domaines récurrents : la gestion des risques, la déclaration des incidents, la surveillance des tiers et la responsabilité en matière de gouvernance. Ces exigences sont volontairement larges, car la directive se préoccupe moins des outils que vous utilisez que de l’efficacité concrète de la gouvernance.
Voici ce que les chefs d’entreprise doivent considérer comme des incontournables dans leurs stratégies de préparation à la directive NIS2.
1) Mesures de gestion des risques de cybersécurité
La directive NIS2 attend des organisations qu’elles mettent en place des mesures appropriées pour gérer les cyber risques dans l’ensemble des systèmes, des services et des opérations. Concrètement, cela signifie que vos mesures de contrôle doivent être :
- documentées, de sorte que les attentes soient claires
- mises en œuvre de manière cohérente, et ni sélective ni non-officielle
- passées régulièrement en revue, pour qu’elles soient toujours adaptées aux menaces, aux systèmes et aux modèles économiques qui évoluent
Cette exigence va au-delà de la rédaction de politiques ou de l’alignement sur un cadre de référence. Les régulateurs recherchent des preuves que la gestion des risques est intégrée aux opérations quotidiennes, que les mesures sont mises en œuvre, testées et mises à jour, et que les lacunes sont identifiées et traitées dans la durée.
En d’autres termes, il ne s’agit pas tant d’avoir la « bonne » politique que de pouvoir prouver que la gestion des risques est active et efficace.
2) Obligations de notification des incidents dans des délais serrés
La directive NIS2 introduit un modèle structuré pour la notification des incidents qui comprend :
- une première notification dans les 24 heures
- une déclaration d’incident plus détaillée dans un délai de 72 heures
- un rapport final dans un délai d’un mois
Respecter ces délais n’est pas seulement un défi pour les équipes de sécurité. Une coordination dans l’ensemble de l’organisation est nécessaire quand un incident est en cours.
Pour être efficaces dans ce processus, les organisations ont besoin de :
- limites claires pour déterminer les incidents qui doivent être déclarés
- responsables désignés et mécanismes d’escalade structurés
- un moyen d’enregistrer les faits, les décisions et les preuves en temps réel
- coordination entre les équipes de sécurité, juridique, de protection de la vie privée, de communication et de management
Sans une telle structure, la notification devient réactive et incohérente, ce qui accroît les risques tant sur le plan réglementaire que sur la réputation de l’organisation.
3) Gestion de la chaîne d’approvisionnement et des tiers
La directive NIS2 met davantage l’accent sur les risques liés à la chaîne d’approvisionnement et aux tiers, pour prendre en compte la dépendance de la plupart des organisations vis-à-vis des fournisseurs externes.
Sont inclus les fournisseurs qui :
- hébergent ou gèrent des systèmes critiques
- fournissent des services cloud ou gérés
- traitent des données sensibles ou opérationnelles
- soutiennent les services métier essentiels et en contact direct avec les clients
Pour les organisations qui dépendent fortement de services informatiques ou cloud externalisés, la directive NIS2 demande de remplacer les évaluations ponctuelles périodiques par une surveillance continue. La gestion des tiers ne peut plus être traitée par le biais d’un questionnaire annuel ou d’une case à cocher. Elle doit être liée aux dépendances opérationnelles réelles, aux évaluations des risques et à la préparation aux incidents.
4) Responsabilité du leadership
La directive NIS2 est très claire sur la gouvernance et la responsabilité au niveau du management. La cyber-résilience n’est plus considérée comme relevant exclusivement de la responsabilité du département de l’IT : c’est une obligation pour le leadership.
Le haut management est donc en charge de :
- valider les mesures de gestion des risques
- comprendre les risques cyber importants
- superviser la réponse et la notification en cas d’incident
- démontrer que les prises de décision sont éclairées
Pour de nombreuses organisations, c’est l’exigence la plus difficile à mettre en œuvre. Non pas parce que les dirigeants sont désengagés, mais parce que la surveillance est souvent fragmentée entre différentes équipes et plusieurs outils. Sans un modèle opérationnel clair, la visibilité du leadership repose sur un reporting manuel, des indicateurs peu cohérents et des synthèses a posteriori, autant d’éléments insuffisants pour le régulateur.
C’est là que OneTrust intervient concrètement, en donnant au leadership une vue coordonnée sur les cyber risques, les incidents et les responsabilités dans l’ensemble de l’organisation, sans avoir besoin de s’appuyer sur des rapports ponctuels.
Application de la directive NIS2
NIS2 est une directive. Cela signifie que chaque État membre de l’UE doit la transposer dans sa législation nationale et l’appliquer par l’intermédiaire des autorités nationales. L’UE avait fixé la date limite pour cette transposition au 17 octobre 2024. Cependant, la mise en œuvre est variable et les approches pour l’application continuent de varier dans la pratique.
C’est important car les organisations ne sont pas évaluées par rapport à un seul et unique recueil de règles. Les attentes peuvent différer en fonction de l’endroit où elles opèrent, de celui où les services essentiels sont fournis et de l’autorité nationale responsable. Au fil du temps, l’application devrait devenir plus cohérente, mais à court terme, il faut s’attendre à des variations.
Ce que cela signifie pour les organisations :
- Vous devez suivre et interpréter les exigences de la directive NIS2 dans les pays où vous opérez ou dans ceux où des opérations critiques sont basées.
- Vous devez vous attendre à des différences dans les processus d’enregistrement, l’accent mis par les autres autorités de contrôle et l’approche pour l’application d’un État membre à un autre.
- Les entreprises qui interviennent dans plusieurs pays doivent avoir un niveau de gouvernance capable d’absorber les différences entre pays sans avoir à imposer des programmes de conformité distincts ni à dupliquer les mesures de contrôle pays par pays.
La directive NIS2 : un défi en matière de gouvernance, et pas seulement un défi cyber
L’erreur consistant à traiter la directive NIS2 comme une check-list technique ou une initiative axée uniquement sur la sécurité est souvent faite. Si les questions de cybersécurité sont essentielles, la directive NIS2 concerne en fin de compte la manière dont les organisations gouvernent les risques cyber, et pas seulement la façon dont elles détectent les menaces.
Dans la pratique, la directive NIS2 impose une coordination entre plusieurs fonctions qui opèrent rarement selon un même modèle opérationnel :
- opérations de sécurité : en charge de la détection, de la réponse et de la surveillance
- risques et conformité : en charge des mesures de contrôle, du reporting et du respect des réglementations
- achats : sélection des fournisseurs et surveillance des tiers
- juridique et protection de la vie privée : évaluation des implications des incidents et des obligations de notification
- leadership : supervision, responsabilité et démonstration de la gouvernance
Lorsque ces équipes travaillent en silos, on constate rapidement des lacunes. Même les organisations dotées de programmes de sécurité matures peinent souvent à traduire leurs activités en résultats de gouvernance conformes aux attentes des régulateurs.
Les résultats sont prévisibles :
- la notification des incidents devient lente, incohérente ou incomplète
- les justifications sont dispersées dans différents outils, boîtes de réception et feuilles de calcul
- les risques tiers sont évalués sans tenir compte de l’exposition réelle
- les dirigeants sont dans l’incapacité de répondre avec confiance à la question de savoir s’ils sont prêts et comment le prouver.
C’est pourquoi la préparation à la directive NIS2 doit être traitée comme un programme de gouvernance opérationnelle, et non comme une tâche de conformité ponctuelle. L’objectif n’est pas seulement de répondre aux incidents, mais de démontrer comment le risque cyber est géré, remonté et examiné de manière cohérente et dans toute l’organisation.
Ce que les organisations doivent faire dès maintenant
Agir maintenant ne signifie pas essayer de se mettre en conformité par rapport à la directive NIS2 dès aujourd’hui. Il s’agit plutôt de développer les capacités qui rendent la conformité pérenne et atteignable sous pression.
1) Confirmer le champ d’application et les responsabilités
Déterminez s’il est possible que vous soyez une entité essentielle ou importante dans chacun des pays où vous opérez et où des services critiques sont fournis. Désignez un responsable clair pour la coordination de la directive NIS2 — idéalement un responsable transversal qui peut faire le lien entre la sécurité, les risques, le juridique et les opérations.
2) Construire un workflow d’incident prêt pour la notification
Pour répondre aux exigences de notification sous 24/72/30 jours, il est nécessaire de vous préparer avant que tout incident se produise.
Cela inclut de disposer de :
- déclencheurs internes clairs pour les cas où un incident doit faire l’objet d’une notification
- voies d’escalade définies et d’une autorité décisionnelle
- rôles, modèles et communications prévalidés
- un moyen d’enregistrer les faits, les décisions et les justifications au fil des événements
3) Gérer les tiers en continu
Identifiez vos fournisseurs les plus critiques et associez les risques tiers à de véritables dépendances opérationnelles, telles que les systèmes, les accès, les données et les services. Les revues doivent être répétables, basées sur les risques et liées à la préparation aux incidents — et ne doivent pas se limiter à des questionnaires annuels.
4) Créer une source unique de preuves de gouvernance
C’est là un point faible pour de nombreux programmes. La directive NIS2 ne se contente pas d’exiger des organisations qu’elles gèrent les risques : elle exige qu’elles prouvent qu’elles le font.
Une approche de gouvernance unifiée aide à connecter :
- les mesures de contrôle
- les incidents
- la surveillance des fournisseurs
- les responsabilités et les validations
- les justifications et la notification
OneTrust s’impose naturellement dans ce processus, en fournissant un moyen structuré de gérer les risques, les workflows de conformité, la surveillance des tiers et les preuves de gouvernance au même endroit. Sa plateforme permet de faire avancer la préparation à la directive NIS2 pour suivre l’évolution des règles et des attentes en matière d’application nationales, sans avoir à reconstruire l’ensemble des programmes à chaque modification.
OneTrust n’est pas un outil de plus. C’est le support nécessaire à la cohérence opérationnelle.
Une obligation de conformité qui se transforme en atout opérationnel
La directive NIS2 s’inscrit dans une évolution plus large de la réglementation de l’UE : la cyber-résilience est désormais une attente de gouvernance au niveau des conseils d’administration, et non plus une initiative de sécurité back-office. Les régulateurs ne s’intéressent plus uniquement à l’existence de mesures de contrôle, mais à la capacité des organisations à démontrer de manière cohérente comment le risque cyber est gouverné, remonté et revu dans la durée.
Les organisations qui abordent NIS2 comme un sprint de conformité ponctuel rencontrent souvent les mêmes problèmes :
- travail dupliqué dans les différents pays et les différentes équipes
- manque de cohérence dans la notification et la surveillance des incidents
- traçabilité fragile ou incomplète
- perturbations plus importantes lorsque des incidents surviennent sous la surveillance des régulateurs
À l’inverse, les organisations qui investissent dans une gouvernance reproductible, avec des responsabilités claires, des workflows partagés et des preuves connectées, sont plus aptes à s’adapter à l’évolution des exigences d’application. Elles passent moins de temps à retravailler les processus, répondent plus efficacement aux incidents et réduisent les coûts et les frictions liés à la conformité à long terme.
OneTrust accompagne une approche plus pérenne de la préparation à la directive NIS2.
En fournissant aux organisations un moyen cohérent de gérer conjointement les cyber risques, les incidents, la surveillance des tiers et les preuves de gouvernance, OneTrust aide à transformer la pression réglementaire en stabilité opérationnelle, de sorte que la résilience évolue pour accompagner leur croissance.
Découvrez comment une approche axée sur la gouvernance peut aider votre organisation à se préparer à la directive NIS2 en restant alignée sur les évolutions des exigences.
FAQ
