Réforme NIS 2 : les clés pour passer de la conformité à la résilience

par | Juil 19, 2025 | TRANSFORMATION DES ORGANISATIONS, TRANSFORMATION DES PROCESSUS, TRANSFORMATION DES USAGES, TRANSFORMATION DU SI

Dans un monde où la menace cyber ne cesse de croître : au cours de l’année 2024, l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) a traité plus de 4300 événements de sécurité, soit une augmentation de 15% par rapport à l’année 2023 ; la directive européenne NIS2 (Network and Information Security) marque une évolution majeure du cadre réglementaire en matière de cybersécurité. Plus exigeante et plus contraignante, elle impose aux organisations une approche plus structurée et surtout plus proactive.

NIS2: qu’est-ce que c’est ? 

La directive européenne NIS2 remplace et renforce la première directive NIS1 (adoptée en juillet 2016). Elle constitue un cadre réglementaire visant à élever le niveau de cybersécurité au sein des états membres. Cette nouvelle directive renforce les exigences en matière de cybersécurité des organisations critiques et services essentiels.

NIS2 se compose de 46 articles qui reposent sur 5 piliers :

  1. Exigences en matière de sécurité
  2. Traitement des incidents
  3. Continuité de service
  4. Surveillance, audit et tests
  5. Conformité aux normes internationales

NIS2 : ce qui change vraiment

NIS2 élargit considérablement son champ d’application et renforce ses exigences, parmi les changements majeurs :

UN CHAMP D’APPLICATION ELARGI ET DE NOUVEAUX SECTEURS

Alors que la première directive visait à protéger les acteurs économiques majeurs de l’UE, NIS2 s’étend à un éventail plus large d’entités et de secteurs. NIS2 distingue deux catégories d’identités régulées selon les secteurs : entités essentielles (par exemple dans les secteurs critiques : énergie, transport, santé et administration publique) et entités importantes (notamment dans les secteurs : gestion des déchets, les services postaux et de courrier et fournisseurs numériques).

UNE IMPLICATION ACCRUE DES DIRIGEANTS

NIS2 responsabilise la direction directement en cas de non-conformité. Faisant passer la sécurité des systèmes d’information d’un sujet purement technique à une priorité stratégique. La direction a désormais l’obligation légale de superviser activement les mesures mises en place pour protéger les systèmes d’information critique.

DES STANDARDS DE SECURITE RENFORCEES

La directive introduit des mesures techniques et organisationnelles robustes pour prévenir et atténuer les incidents de cybersécurité. Ces mesures doivent être proportionnées aux risques, mais couvrir un large spectre, notamment : l’analyse de risques, la gestion des incidents, la continuité d’activités, la cryptographie et le chiffrement, et bien plus.

UNE OBLIGATION DE NOTIFICATION DES INCIDENTS

Les entités soumises à NIS2 doivent notifier toute violation de sécurité ayant un impact signification sur leurs services dans un délai strict qui exige une visibilité en temps réel et une réactivité immédiate :

  • 24 heures pour remonter l’alerte à l’autorité compétente (ANSSI en France)
  • 72 heures pour soumettre un rapport intermédiaire
  • 1 mois pour soumettre un rapport final

UN RENFORCEMENT DE LA SECURITE DE LA CHAINE D’APPROVISIONNEMENT

NIS2 introduit une responsabilité accrue sur les prestataires et sous-traitants. Les entités concernées doivent désormais mettre en place un véritable programme de gestion de risques liés à la chaîne d’approvisionnement. Cela implique notamment : 

  • L’identification des dépendances critiques
  • L’évaluation des risques liés aux fournisseurs
  • L’intégration des clauses spécifiques de sécurité de l’information dans les contrats

La mise en œuvre des mécanismes de contrôle, d’audit ou de suivi régulier.

DES SANCTIONS FINANCIERES SIGNIFICATIVES

NIS2 instaure un régime de sanctions harmonisé à l’échelle européenne. Les sanctions financières en cas de non-conformité ou de négligence peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

UNE COOPERATION ACCRUE

La directive encourage une coopération renforcée entre les États Membres de l’UE pour partager des informations et des bonnes pratiques en matière de cybersécurité.

Les étapes pour la mise en conformité NIS2 selon Arsia Mons :

  1. Obtenir le soutien de la direction
  2. Constituer une équipe de conformité pluridisciplinaire et former les équipes
  3. Elaborer une PSSI (politique de sécurité des systèmes d’information)
  4. Structurer et piloter la gestion des risques
  5. Mettre en œuvre les mesures de sécurité de NIS2 applicables
  6. Renforcer la sécurité de la chaîne d’approvisionnement
  7. Organiser la réponse aux incidents
  8. Tester, revoir et améliorer en continu

Contactez-nous pour vous accompagner dans votre mise en conformité NIS2 ! Nos experts vous aident à se mettre en conformité selon le cycle PDCA (Plan Do Check Act).