NIS22026-03-0913 min de lecture

Certification NIS2 en France : guide pratique pour se mettre en conformite

Sommaire

  1. 01Introduction
  2. 02Qu'est-ce que NIS 2 ?
  3. 03Transposition de NIS 2 en France
  4. 04Qui est concerne par NIS 2 en France ?
  5. 05Les 10 mesures minimales de securite (Article 21)
  6. 06Obligations de notification des incidents
  7. 07Regime de sanctions
  8. 08Securite de la chaine d'approvisionnement
  9. 09Se mettre en conformite NIS 2 : feuille de route
  10. 10NIS 2 et les autres reglementations
  11. 11Comment Matproof accompagne votre conformite NIS 2
  12. 12Conclusion

Certification NIS2 en France : guide pratique pour se mettre en conformite

Introduction

La directive NIS 2 (directive (UE) 2022/2555) represente un tournant majeur dans la politique europeenne de cybersecurite. En France, elle concerne un nombre d'entites sans precedent : la ou NIS 1 touchait quelques centaines d'operateurs, NIS 2 elargit le perimetre a plusieurs milliers d'organisations, dans 18 secteurs d'activite.

Precisons d'emblee un point de terminologie : on parle souvent de "certification NIS2", mais NIS 2 n'est pas une certification au sens classique (comme ISO 27001). Il s'agit d'une directive europeenne imposant des obligations legales. Il n'y a pas de certificat a obtenir, mais un ensemble d'exigences a satisfaire, sous le controle de l'ANSSI (Agence nationale de la securite des systemes d'information), l'autorite nationale competente en France.

Ce guide s'adresse aux RSSI, DSI et responsables conformite des entreprises francaises qui doivent evaluer leur exposition a NIS 2 et planifier leur mise en conformite.

Qu'est-ce que NIS 2 ?

NIS 2 est la refonte de la directive NIS de 2016. Elle a ete adoptee le 14 decembre 2022 et devait etre transposee en droit national par chaque Etat membre avant le 17 octobre 2024.

Les objectifs de NIS 2 :

  • Relever le niveau general de cybersecurite dans l'Union europeenne
  • Harmoniser les exigences entre Etats membres (NIS 1 avait conduit a des transpositions tres heterogenes)
  • Elargir considerablement le perimetre des entites soumises a des obligations de cybersecurite
  • Renforcer les mecanismes de supervision et de sanction

Par rapport a NIS 1, NIS 2 apporte trois evolutions majeures : un perimetre elargi, des obligations renforcees et un regime de sanctions dissuasif.

Transposition de NIS 2 en France

La transposition de NIS 2 en droit francais est pilotee par l'ANSSI. Le processus legislatif integre NIS 2 dans le cadre juridique national, en adaptant les dispositions de la directive au contexte reglementaire francais.

Points cles de la transposition francaise :

  • L'ANSSI est designee comme autorite nationale competente et equipe de reponse aux incidents (CSIRT national)
  • Les obligations sont integrees dans le cadre legislatif existant, en complement de la Loi de programmation militaire (LPM) pour les OIV (Operateurs d'importance vitale)
  • Le dispositif s'articule avec les referentiels existants de l'ANSSI (referentiel general de securite, guides de bonnes pratiques)
  • Des mecanismes d'accompagnement sont prevus pour aider les entites a se mettre en conformite, notamment les PME et ETI

L'ANSSI a souligne que la transposition ne se limite pas a une traduction de la directive : elle vise a creer un cadre adapte au tissu economique francais, avec une approche proportionnee selon la taille et le secteur des entites.

Qui est concerne par NIS 2 en France ?

NIS 2 classe les entites en deux categories, avec des niveaux d'obligations differents.

Entites essentielles

Les entites essentielles sont les organisations dont l'interruption de service aurait un impact grave sur la societe ou l'economie. En France, cela inclut :

  • Energie : electricite, gaz, petrole, hydrogene, chauffage urbain
  • Transports : aerien, ferroviaire, routier, maritime, fluvial
  • Banque et infrastructures de marche (note : DORA s'applique en priorite pour le secteur financier)
  • Sante : hopitaux, laboratoires, fabricants de dispositifs medicaux
  • Eau potable et eaux usees
  • Infrastructure numerique : DNS, TLD, fournisseurs de cloud, centres de donnees, CDN, fournisseurs de services de confiance
  • Administration publique : administrations centrales et certaines collectivites territoriales
  • Espace

Critere de taille : En general, les grandes entreprises (plus de 250 salaries ou CA superieur a 50 millions d'euros) du secteur sont classees comme entites essentielles. Certaines entites sont designees independamment de leur taille (DNS, TLD, registraires).

Entites importantes

Les entites importantes couvrent un perimetre plus large, incluant des secteurs supplementaires :

  • Services postaux et de courrier
  • Gestion des dechets
  • Fabrication de produits chimiques
  • Industrie agroalimentaire
  • Fabrication (dispositifs medicaux, equipements electroniques, machines, vehicules)
  • Fournisseurs de services numeriques : places de marche en ligne, moteurs de recherche, reseaux sociaux
  • Recherche

Critere de taille : Les moyennes entreprises (50 a 250 salaries ou CA entre 10 et 50 millions d'euros) des secteurs couverts sont generalement classees comme entites importantes.

Comment determiner votre categorie ?

L'ANSSI met a disposition un outil d'auto-evaluation sur MonEspaceNIS2 (https://monespacenis2.cyber.gouv.fr) pour aider les entites a determiner si elles sont dans le perimetre de NIS 2 et dans quelle categorie elles se situent.

Attention : Meme si votre entite n'est pas directement dans le perimetre, vous pouvez etre indirectement concerne en tant que fournisseur ou sous-traitant d'une entite essentielle ou importante (cf. obligations de securite de la chaine d'approvisionnement).

Les 10 mesures minimales de securite (Article 21)

L'article 21 de NIS 2 definit dix categories de mesures que les entites essentielles et importantes doivent mettre en oeuvre. Ces mesures constituent le socle de la conformite NIS 2.

1. Politiques d'analyse des risques et de securite des systemes d'information

Chaque entite doit disposer d'une politique formalisee d'analyse des risques, approuvee par la direction. Cette politique doit couvrir l'ensemble du perimetre des systemes d'information et etre revue regulierement.

En pratique : Realiser une analyse de risques methodique (type EBIOS RM, methode recommandee par l'ANSSI), identifier les actifs critiques, evaluer les menaces et definir des mesures de traitement.

2. Gestion des incidents

Mettre en place des procedures de detection, d'analyse, de confinement, d'eradication et de retablissement des incidents de securite.

En pratique : Disposer d'un SOC (interne ou externalise), de procedures d'escalade et de plans de reponse aux incidents documentes et testes.

3. Continuite d'activite et gestion de crise

Assurer la continuite des services essentiels en cas d'incident majeur, incluant la gestion des sauvegardes, la reprise apres sinistre et la gestion de crise.

En pratique : Plan de continuite d'activite (PCA), plan de reprise d'activite (PRA), exercices de crise reguliers, sauvegardes testees et chiffrees.

4. Securite de la chaine d'approvisionnement

Evaluer et gerer les risques de cybersecurite lies aux fournisseurs et prestataires, y compris les prestataires de services informatiques et de securite.

En pratique : Due diligence securite des fournisseurs critiques, clauses contractuelles de securite, suivi continu, evaluation des risques de dependance.

5. Securite dans l'acquisition, le developpement et la maintenance des systemes

Integrer la securite dans tout le cycle de vie des systemes d'information, de la conception au retrait.

En pratique : Developpement securise (DevSecOps), tests de securite integres, gestion des vulnerabilites, processus de mise a jour et de correctifs.

6. Politiques et procedures d'evaluation de l'efficacite des mesures

Evaluer regulierement l'efficacite des mesures de cybersecurite mises en place.

En pratique : Audits de securite, tests de penetration, revues periodiques, indicateurs de performance de securite (KPI).

7. Pratiques d'hygiene informatique et formation

Former les collaborateurs a la cybersecurite et mettre en place des pratiques d'hygiene informatique de base.

En pratique : Sensibilisation reguliere, campagnes de phishing simulees, politiques de mots de passe, gestion des acces.

8. Politiques de cryptographie et, le cas echeant, de chiffrement

Definir et mettre en oeuvre des politiques d'utilisation de la cryptographie pour proteger les donnees.

En pratique : Chiffrement des donnees au repos et en transit, gestion des cles, politique de cryptographie alignee sur les recommandations de l'ANSSI (RGS).

9. Securite des ressources humaines, controle d'acces et gestion des actifs

Mettre en place des politiques de controle d'acces, de gestion des identites et de securite des ressources humaines.

En pratique : Principe du moindre privilege, authentification multifacteur (MFA), gestion des arrivees et departs, inventaire des actifs.

10. Authentification multifacteur et communications securisees

Utiliser des solutions d'authentification forte et des communications securisees, y compris en situation d'urgence.

En pratique : MFA sur tous les acces sensibles, communications chiffrees, solutions de communication de secours validees.

Obligations de notification des incidents

NIS 2 impose des obligations strictes de notification des incidents significatifs a l'ANSSI. Le non-respect de ces delais est sanctionnable.

Calendrier de notification

Echeance Obligation
24 heures Alerte precoce : notification a l'ANSSI dans les 24 heures suivant la prise de connaissance d'un incident significatif. L'alerte doit indiquer si l'incident est suspecte d'etre cause par des actes malveillants et s'il a un impact transfrontalier.
72 heures Notification d'incident : mise a jour de l'alerte avec une evaluation initiale de la gravite et de l'impact, ainsi que les indicateurs de compromission le cas echeant.
1 mois Rapport final : rapport detaille incluant la description de l'incident, le type de menace, les mesures d'attenuation appliquees et l'impact transfrontalier eventuel.

Qu'est-ce qu'un incident significatif ?

Un incident est considere comme significatif lorsqu'il :

  • A cause ou est susceptible de causer une perturbation operationnelle grave ou des pertes financieres pour l'entite
  • A affecte ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages materiels ou immateriels considerables

L'ANSSI precisera les criteres specifiques dans le cadre de la transposition francaise, en tenant compte des secteurs d'activite et des types d'entites.

Regime de sanctions

NIS 2 introduit un regime de sanctions significativement renforce par rapport a NIS 1.

Pour les entites essentielles

  • Amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus eleve etant retenu
  • Injonctions de mise en conformite
  • Possibilite de suspension temporaire de certifications ou autorisations
  • Responsabilite personnelle des dirigeants : les organes de direction peuvent etre tenus personnellement responsables des manquements. NIS 2 impose que les dirigeants approuvent les mesures de gestion des risques et suivent des formations en cybersecurite.

Pour les entites importantes

  • Amendes administratives pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total
  • Injonctions et mesures correctives

Supervision

La supervision differe selon la categorie :

  • Entites essentielles : supervision proactive (controles, audits, inspections a l'initiative de l'ANSSI)
  • Entites importantes : supervision reactive (controles declenches sur la base de signalements, d'incidents ou de preuves de non-conformite)

Securite de la chaine d'approvisionnement

La securite de la supply chain est l'une des grandes nouveautes de NIS 2. L'article 21 exige explicitement que les entites evaluent et gerent les risques lies a leurs fournisseurs et prestataires.

Ce que cela implique :

  • Cartographier l'ensemble de vos fournisseurs et prestataires critiques
  • Evaluer le niveau de securite de chaque fournisseur (questionnaires de securite, audits, certifications)
  • Contractualiser les exigences de securite (clauses de cybersecurite, obligations de notification, droits d'audit)
  • Surveiller en continu les risques lies a la chaine d'approvisionnement
  • Disposer de plans de continuite en cas de defaillance d'un fournisseur critique

Pourquoi c'est important : Les attaques par la chaine d'approvisionnement (supply chain attacks) sont en forte augmentation. L'incident SolarWinds a montre que meme des organisations tres matures pouvaient etre compromises via un fournisseur. NIS 2 oblige les entites a ne plus considerer la securite de leur ecosysteme comme un angle mort.

Se mettre en conformite NIS 2 : feuille de route

Phase 1 : Evaluation (mois 1-2)

  1. Determiner votre statut : utilisez l'outil MonEspaceNIS2 de l'ANSSI pour verifier si vous etes dans le perimetre et votre categorie
  2. Realiser un etat des lieux : evaluez votre niveau de maturite actuel par rapport aux 10 mesures de l'article 21
  3. Identifier les ecarts : cartographiez les lacunes entre votre dispositif existant et les exigences de NIS 2
  4. Prioriser : classez les ecarts par criticite et par effort de remediation

Phase 2 : Planification (mois 2-3)

  1. Obtenir l'engagement de la direction : NIS 2 impose la responsabilite des dirigeants. Presentez les enjeux (sanctions, responsabilite personnelle) et obtenez le budget necessaire
  2. Definir la feuille de route : planifiez les actions de remediation, avec des jalons clairs et des responsables designes
  3. Former les dirigeants : NIS 2 exige que les organes de direction suivent des formations en cybersecurite

Phase 3 : Mise en oeuvre (mois 3-12)

  1. Deployer les mesures techniques : MFA, chiffrement, segmentation reseau, gestion des vulnerabilites, sauvegardes
  2. Formaliser les politiques : politiques de securite, procedures de gestion des incidents, PCA/PRA
  3. Securiser la chaine d'approvisionnement : evaluer les fournisseurs, renegocier les contrats, mettre en place un suivi
  4. Mettre en place la notification : processus et outils pour notifier l'ANSSI dans les delais requis (24h/72h/1 mois)
  5. Tester et evaluer : pentests, audits, exercices de crise

Phase 4 : Suivi continu

  1. Maintenir la conformite : tableaux de bord, revues periodiques, amelioration continue
  2. Veille reglementaire : suivre les evolutions de la transposition et les publications de l'ANSSI
  3. Se preparer aux controles : constituer un dossier de preuves, documenter les decisions et les actions

NIS 2 et les autres reglementations

NIS 2 et DORA

Pour le secteur financier, DORA est considere comme lex specialis : ses exigences prevalent sur celles de NIS 2 pour les entites financieres. Toutefois, certaines entites peuvent relever a la fois de NIS 2 (pour certaines activites) et de DORA (pour leur activite financiere). Une analyse au cas par cas est necessaire.

NIS 2 et RGPD

Un incident de cybersecurite au sens de NIS 2 peut egalement constituer une violation de donnees au sens du RGPD. Les deux notifications sont independantes : il faut notifier l'ANSSI (NIS 2) et la CNIL (RGPD) separement, dans les delais respectifs.

NIS 2 et le referentiel LPM/OIV

Les Operateurs d'importance vitale (OIV) designes au titre de la LPM restent soumis aux obligations specifiques de la LPM. NIS 2 ajoute une couche d'exigences complementaires, avec une articulation que l'ANSSI est en train de clarifier.

Comment Matproof accompagne votre conformite NIS 2

Matproof est la plateforme de gestion de conformite qui simplifie la mise en oeuvre de NIS 2 pour les entreprises francaises.

Les fonctionnalites cles pour NIS 2 :

  • Evaluation de maturite integree : un diagnostic automatise compare votre dispositif aux 10 mesures de l'article 21, avec un plan de remediation priorise
  • Gestion multi-referentiels : gerez NIS 2, DORA, RGPD et ISO 27001 dans une interface unique, en mutualisant les controles communs
  • Pentest automatise par IA : verifiez en continu l'efficacite de vos mesures de securite (mesure 6 de l'article 21) grace a des tests de penetration automatises
  • Gestion de la chaine d'approvisionnement : evaluez et suivez le niveau de securite de vos fournisseurs directement dans la plateforme
  • Tableaux de bord de conformite : visualisez votre taux de conformite NIS 2, les ecarts restants et les actions en cours, en temps reel
  • Collecte automatisee des preuves : alimentez votre dossier de conformite automatiquement, pret pour les controles de l'ANSSI

Decouvrez comment Matproof accelere votre mise en conformite NIS 2

Conclusion

NIS 2 represente un changement d'echelle dans les obligations de cybersecurite en France. Des milliers d'entreprises qui n'etaient soumises a aucune obligation reglementaire en matiere de cybersecurite se retrouvent desormais dans le perimetre de la directive.

La cle du succes reside dans une approche structuree : commencer par l'evaluation, obtenir l'engagement de la direction, deployer les mesures par priorite et mettre en place un suivi continu. Les entites qui disposent deja d'une certification ISO 27001 ou qui se conforment aux referentiels de l'ANSSI ont un avantage significatif, car de nombreuses mesures de NIS 2 recoupent les bonnes pratiques existantes.

Ne tardez pas a engager la demarche. L'ANSSI a les moyens de controler et de sanctionner, et les dirigeants sont personnellement responsables de la mise en conformite de leur entite.

certification NIS2NIS2 Francereglementation NIS2ANSSI NIS2directive NIS2NIS2 conformite

Prêt à simplifier la conformité ?

Soyez prêt pour l’audit en semaines, pas en mois. Découvrez Matproof en action.

Demander une démo