Directive NIS 2 : Guide Complet de Conformité 2024

Table des matières

Introduction
Qu'est-ce que la directive NIS 2 ?
Qui est concerné par NIS 2 ?
Quelles sont les obligations de la directive NIS 2 ?
NIS 2 et cybersécurité des systèmes industriels (OT/IoT)
NIS 2 et IEC 62443 : une approche intégrée pour les industriels
Quelles sanctions en cas de non-conformité ?
Comment se mettre en conformité avec NIS 2 ?
Checklist opérationnelle NIS 2
FAQ
Conclusion
Pour aller plus loin

Introduction

La directive NIS 2 représente un tournant majeur dans l’approche européenne de la cybersécurité des infrastructures critiques. Adoptée le 14 décembre 2022 et applicable depuis le 18 octobre 2024, cette réglementation européenne élargit considérablement le périmètre de son prédécesseur en imposant des obligations de cybersécurité renforcées à plus de 160 000 entités à travers l’Union européenne (source : Commission européenne, 2023).

Face à l’augmentation des cyberattaques de 38% en Europe entre 2021 et 2023 (source : ENISA, 2023), NIS 2 constitue une réponse structurelle visant à harmoniser la résilience numérique des États membres et à protéger les services essentiels dont dépendent les citoyens et l’économie européenne.

Cette évolution réglementaire intervient dans un contexte où 60% des infrastructures critiques européennes ont subi au moins une tentative de cyberattaque en 2022 (source : Europol, 2023), avec des coûts moyens d’incident dépassant 4,5 millions d’euros par organisation touchée (source : IBM Security, 2023). La directive impose désormais une gouvernance de la cybersécurité impliquant directement les dirigeants, une notification des incidents dans des délais contraints, et une approche systémique de la gestion des risques cyber inspirée des standards internationaux.

Qu’est-ce que la directive NIS 2 ?

Définition et évolution depuis NIS 1

La directive NIS 2, officiellement désignée directive (UE) 2022/2555, est un texte législatif européen qui établit un cadre commun pour renforcer la cybersécurité des réseaux et des systèmes d’information à travers l’Union européenne. Publiée au Journal officiel de l’Union européenne le 27 décembre 2022, elle remplace la directive NIS 1 (directive 2016/1148) en élargissant significativement son champ d’application de 7 à 18 secteurs d’activité.

La directive NIS 1, adoptée en juillet 2016, constituait le premier cadre législatif européen en matière de cybersécurité. Elle visait principalement les opérateurs de services essentiels dans sept secteurs et concernait environ 10 000 entités à travers l’Union européenne (source : Commission européenne, 2020). Son application a révélé plusieurs limites structurelles : un périmètre trop restreint laissant exposés des secteurs critiques, des obligations appliquées de manière inégale selon les États membres avec des seuils de désignation variables, et des sanctions jugées insuffisamment dissuasives.

NIS 2 répond à ces lacunes par plusieurs innovations majeures. Elle multiplie par plus de 10 le nombre d’entités concernées, passant à plus de 160 000 organisations. Elle harmonise les obligations de sécurité à travers un cadre commun détaillé, réduisant les disparités d’interprétation nationale. Elle instaure un régime de sanctions comparable au RGPD avec des montants maximaux pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial. Enfin, elle introduit la responsabilité personnelle des dirigeants, élevant la cybersécurité au rang de responsabilité fiduciaire du conseil d’administration.

Objectifs et contexte

La directive poursuit trois objectifs principaux interconnectés. Le premier vise à renforcer la résilience collective des infrastructures européennes face aux cybermenaces. Avec 70% des organisations européennes ayant subi au moins une perturbation de leurs opérations due à un incident cyber en 2022 (source : ENISA, 2023), la directive impose une élévation générale du niveau de sécurité.

Le deuxième objectif consiste à harmoniser les approches nationales, facilitant la coopération transfrontalière et la supervision européenne. Le troisième porte sur l’amélioration de la gestion des crises cyber au niveau européen, notamment à travers des délais stricts de notification (24 heures, 72 heures, un mois) garantissant une détection et une réaction rapides.

Le contexte géopolitique amplifie ces risques. Les attaques contre les systèmes industriels (OT/IoT) ont augmenté de 110% entre 2020 et 2023 (source : Dragos, 2023). L’ANSSI a observé une multiplication par trois des tentatives d’intrusion attribuées à des acteurs étatiques entre 2021 et 2023 (source : ANSSI, Rapport annuel 2023).

Qui est concerné par NIS 2 ?

Les 18 secteurs couverts

La directive NIS 2 identifie 18 secteurs d’activité répartis en deux catégories selon leur degré de criticité. Cette classification détermine le niveau de supervision et l’intensité des sanctions applicables.

Les secteurs hautement critiques comprennent : énergie (électricité, pétrole, gaz, hydrogène), transports (aérien, ferroviaire, maritime, routier), secteur bancaire, infrastructures des marchés financiers, santé, eau potable et eaux usées. Ils incluent également les infrastructures numériques (points d’échange internet, DNS, cloud), gestion des services TIC, administrations publiques, et espace.

Les autres secteurs critiques regroupent : services postaux et d’expédition, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution de denrées alimentaires. S’ajoutent l’industrie manufacturière (véhicules, équipements électroniques, dispositifs médicaux), les fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), et la recherche.

En France, l’ANSSI estime qu’environ 15 000 à 20 000 entités entreront dans le périmètre de la directive (source : ANSSI, 2024).

Entités essentielles vs entités importantes

La directive NIS 2 distingue deux catégories d’entités selon leur taille et leur criticité, déterminant l’intensité de la supervision et le niveau des sanctions.

Les entités essentielles regroupent les organisations des secteurs hautement critiques répondant aux critères de taille : au moins 250 salariés, ou un chiffre d’affaires annuel supérieur à 50 millions d’euros et un bilan annuel supérieur à 43 millions d’euros. Certaines catégories sont présumées essentielles indépendamment de leur taille, notamment les fournisseurs de réseaux de communications publics et les autorités administratives centrales.

Les entités importantes correspondent aux organisations des autres secteurs critiques et répondant à des critères moins élevés : au moins 50 salariés, ou un chiffre d’affaires annuel et un bilan annuel supérieurs à 10 millions d’euros.

Les différences de traitement portent sur trois aspects. Les entités essentielles font l’objet d’une supervision renforcée avec des audits plus fréquents. Les sanctions maximales pour les entités essentielles (10 millions d’euros ou 2% du CA mondial) sont supérieures à celles visant les entités importantes (7 millions d’euros ou 1,4% du CA mondial). Les autorités disposent d’un pouvoir d’intervention plus étendu sur les entités essentielles.

Critères d’applicabilité et cas particuliers

Pour déterminer l’assujettissement à NIS 2, trois critères cumulatifs doivent être vérifiés. Le critère sectoriel exige que l’organisation exerce ses activités dans l’un des 18 secteurs énumérés, déterminé par son code NACE. Le critère de taille varie selon la catégorie visée (seuils détaillés ci-dessus). Le critère géographique précise que la directive s’applique aux entités établies dans l’UE, ainsi qu’aux prestataires de services numériques établis hors UE mais offrant leurs services dans l’Union.

Cas particuliers et zones grises : Pour les groupes internationaux, l’appréciation s’effectue entité juridique par entité juridique, et non de manière consolidée au niveau du groupe. Une filiale française d’un groupe européen peut être assujettie si elle remplit individuellement les critères, même si d’autres filiales du groupe ne le sont pas.

Pour les sous-traitants industriels fournissant des services critiques aux entités assujetties, des obligations indirectes s’appliquent via les clauses contractuelles de sécurité de la chaîne d’approvisionnement. Bien que non directement soumis à NIS 2, ces sous-traitants doivent répondre aux exigences de cybersécurité imposées par leurs donneurs d’ordre.

Des exclusions spécifiques concernent les microentreprises et petites entreprises (moins de 50 salariés ET CA ou bilan ≤ 10 M€), sauf si elles sont les seuls fournisseurs d’un service essentiel ou si une perturbation aurait un impact significatif sur la santé ou la sécurité publiques.

L’ANSSI propose un simulateur en ligne permettant d’effectuer une première évaluation : https://www.ssi.gouv.fr/nis2-simulateur/

Quelles sont les obligations de la directive NIS 2 ?

Gouvernance et responsabilité des dirigeants

La directive NIS 2 impose l’implication directe et la responsabilité personnelle des organes de direction. Les entités doivent désigner formellement un responsable de la cybersécurité (RSSI) disposant de l’autorité, des ressources et de l’accès direct aux organes de direction nécessaires.

L’implication obligatoire de la direction générale constitue l’innovation majeure. Les organes de direction doivent approuver les politiques de gestion des risques de cybersécurité, superviser leur mise en œuvre, suivre des formations spécifiques en cybersécurité, et s’assurer que l’organisation dispose des ressources suffisantes.

La responsabilité personnelle des dirigeants représente l’aspect le plus disruptif. En cas de manquement imputable à un défaut de supervision, les membres des organes de direction peuvent faire l’objet de sanctions individuelles. Ces sanctions incluent : amendes personnelles, interdictions temporaires ou définitives d’exercer des fonctions de direction, voire poursuites civiles ou pénales selon les législations nationales.

Gestion des risques de cybersécurité

La directive impose une approche systémique inspirée des normes internationales reconnues. L’analyse des risques constitue le fondement. Elle comprend l’identification des actifs critiques (systèmes IT, technologies opérationnelles, données sensibles), l’évaluation des menaces et vulnérabilités, et la détermination des impacts potentiels. Cette analyse doit être documentée, révisée annuellement et mise à jour lors de changements significatifs.

Les mesures de sécurité exigées comprennent : politiques d’analyse des risques, gestion des incidents (prévention, détection, réponse, récupération), continuité des activités et gestion de crise. S’ajoutent la sécurité de la chaîne d’approvisionnement, la sécurité dans l’acquisition et le développement, la cryptographie et le chiffrement.

Sont également requises la sécurité des ressources humaines et le contrôle d’accès, l’authentification multifacteur et les communications sécurisées. La segmentation des réseaux est particulièrement importante pour les organisations exploitant des environnements IT et OT. Dans les environnements industriels, cette segmentation doit suivre des principes architecturaux reconnus.

La gestion des correctifs représente un défi dans les environnements industriels où les fenêtres de maintenance sont limitées. Des mesures compensatoires doivent être mises en place lorsque l’application immédiate n’est pas possible : isolation réseau renforcée, surveillance accrue, contrôles d’accès additionnels.

Notification des incidents

La notification des incidents s’effectue en trois étapes avec des délais stricts. La notification préliminaire doit être transmise à l’autorité compétente (l’ANSSI en France) dans les 24 heures suivant la prise de connaissance. La notification détaillée doit être soumise dans les 72 heures, incluant une évaluation de la gravité, des indicateurs de compromission, et des mesures de réponse. Le rapport final doit être transmis dans un délai d’un mois, décrivant exhaustivement l’incident, sa cause, son impact et les mesures de remédiation.

Les critères de notification : un incident est significatif s’il a causé ou est susceptible de causer une perturbation importante de la fourniture des services. Cette perturbation est appréciée au regard du nombre d’utilisateurs affectés, de la durée, de l’étendue géographique, et de l’impact sur les activités économiques et sociétales.

Sécurité de la chaîne d’approvisionnement

La sécurité de la chaîne d’approvisionnement reconnaît que la cybersécurité d’une organisation dépend de celle de ses fournisseurs. Les attaques via la supply chain ont augmenté de 42% entre 2021 et 2023, représentant 17% des incidents majeurs (source : ENISA, 2023).

Les entités doivent établir une politique de sécurité identifiant les fournisseurs critiques et définissant les critères de sélection intégrant la sécurité. L’intégration de clauses contractuelles est obligatoire : notification des incidents, droit d’audit, conformité à des standards reconnus, conditions de réversibilité.

Les évaluations et audits doivent être conduits systématiquement avant sélection et de manière continue pendant la relation contractuelle. La directive exige l’évaluation des risques géopolitiques associés à la localisation des fournisseurs.

NIS 2 et cybersécurité des systèmes industriels (OT/IoT)

Spécificités des environnements OT

Les technologies opérationnelles (OT) désignent les systèmes matériels et logiciels qui détectent ou provoquent des changements dans des processus physiques. À la différence des environnements IT où la priorité est la confidentialité, les systèmes OT privilégient la disponibilité, la sûreté et la prévisibilité.

Les contraintes spécifiques compliquent l’application des mesures classiques. Les cycles de vie s’étendent sur 15 à 30 ans, contre 3 à 5 ans pour l’IT, exposant les systèmes à l’obsolescence. En effet, 65% des automates industriels en Europe utilisent des systèmes ne bénéficiant plus de support sécuritaire (source : ANSSI, 2022). Les fenêtres de maintenance sont extrêmement limitées dans les processus continus.

Les protocoles industriels historiques (Modbus, DNP3, Profinet) ont été conçus sans considération de sécurité intégrée. Ils ne disposent pas de mécanismes d’authentification, de chiffrement ou de validation d’intégrité.

La convergence IT/OT expose les systèmes industriels à des vecteurs d’attaque plus diversifiés : 73% des incidents OT ont débuté par une compromission IT (source : Dragos, 2023). Les dispositifs IoT industriels multiplient les points d’entrée. L’ENISA estime que leur nombre atteindra 15 milliards d’unités en 2025, contre 8 milliards en 2020. Une étude de 2023 révèle que 60% des dispositifs IoT industriels présentent au moins une vulnérabilité critique non corrigée (source : Palo Alto Networks, 2023).

Convergence IT/OT sous NIS 2 et cas d’usage

La directive NIS 2 reconnaît les défis de la convergence IT/OT et impose une approche unifiée couvrant l’ensemble des actifs numériques.

L’inventaire exhaustif doit inclure tous les composants OT et IoT : automates programmables (PLC), systèmes SCADA, systèmes de contrôle distribués (DCS), interfaces homme-machine, capteurs et actionneurs connectés. Seules 40% des organisations industrielles européennes disposaient d’un inventaire complet de leurs actifs OT en 2023 (source : ENISA, 2023).

La segmentation réseau IT/OT est fondamentale. Les organisations doivent implémenter une architecture en zones distinctes avec des contrôles d’accès stricts. Des modèles architecturaux reconnus définissent des niveaux allant des équipements de terrain aux systèmes d’entreprise, avec des zones tampons assurant la transition sécurisée.

La gestion des accès distants aux systèmes OT nécessite des solutions d’accès privilégié sécurisé (PAM) avec authentification multifacteur. En effet, 47% des compromissions OT en 2022 ont exploité des accès distants insuffisamment sécurisés (source : Dragos, 2023).

Cas d’usage concrets : Dans une usine de production automatisée (secteur manufacturier), la mise en conformité NIS 2 implique la segmentation de la ligne de production en zones distinctes selon une architecture reconnue (modèle Purdue, approches conformes à ISO/IEC 27001, ou méthodologies sectorielles). Ces zones comprennent : zone capteurs/actionneurs niveau 0-1, zone automates niveau 2, zone supervision niveau 3. L’installation de firewalls industriels entre chaque zone avec règles de flux strictes est nécessaire, ainsi que le déploiement de solutions de détection d’anomalies comportementales spécifiques OT.

Pour une infrastructure énergétique comme une station de pompage d’eau, la conformité exige l’isolation du réseau SCADA de contrôle des pompes. Elle nécessite la mise en place d’accès VPN sécurisés pour la maintenance à distance avec authentification multifacteur et sessions enregistrées. L’implémentation de sauvegardes hors ligne des configurations automates permettant une récupération rapide en cas d’incident est également requise. Cette approche peut s’appuyer sur différents référentiels selon le contexte : normes sectorielles reconnues pour une certification formelle, ISO 27001 pour le management global, ou les recommandations de l’ANSSI pour les OIV.

NIS 2 et IEC 62443 : une approche intégrée pour les industriels

Pourquoi combiner NIS 2 et IEC 62443 ?

La norme IEC 62443 constitue un référentiel technique reconnu pour traduire opérationnellement les exigences de NIS 2 dans les environnements industriels. Alors que NIS 2 établit des obligations réglementaires générales applicables à tous les secteurs, l’IEC 62443 fournit un cadre méthodologique et technique spécifiquement conçu pour la cybersécurité des systèmes d’automatisation et de contrôle industriels.

Cette complémentarité repose sur une répartition des rôles claire. NIS 2 impose le « quoi » : gouvernance avec implication des dirigeants, gestion des risques, notification des incidents, sécurité de la chaîne d’approvisionnement. L’IEC 62443 détaille le « comment » pour les environnements OT : architecture par zones et conduits, niveaux de sécurité cibles selon les profils d’attaquants, exigences techniques précises par composant, processus de développement sécurisé pour les systèmes industriels.

La certification IEC 62443 apporte une valeur ajoutée significative pour démontrer la conformité NIS 2 auprès des autorités de supervision. Elle constitue une preuve objective et vérifiée par un tiers indépendant que les systèmes industriels de l’organisation répondent à des critères de sécurité reconnus internationalement.

Pour les audits de conformité NIS 2, la présentation d’une certification IEC 62443-2-1 (programme de sécurité) ou IEC 62443-3-3 (exigences système) facilite considérablement la démonstration du respect des obligations de gestion des risques et de mesures de sécurité technique.

Mapping des obligations NIS 2 vers IEC 62443

Le tableau de correspondance suivant illustre comment les exigences de NIS 2 se traduisent concrètement dans les documents de la série IEC 62443 :

Obligation NIS 2	Référentiel IEC 62443	Application opérationnelle
Gestion des risques et analyse des menaces	IEC 62443-2-1 (Programme de sécurité pour les actifs propriétaires)	Méthodologie d’évaluation des risques spécifique OT, identification des zones critiques, détermination des niveaux de sécurité cibles (SL-T)
Segmentation réseau IT/OT	IEC 62443-3-2 (Zones et conduits)	Architecture réseau structurée en zones fonctionnelles, définition des conduits de communication sécurisés, matrice de flux entre zones
Mesures de sécurité technique (contrôle d’accès, intégrité, chiffrement)	IEC 62443-3-3 (Exigences fondamentales système)	7 exigences fondamentales (FR1 à FR7) déclinées par niveau de sécurité : identification/authentification, contrôle d’utilisation, intégrité données, confidentialité, flux restreint, réponse aux événements, disponibilité
Sécurité des composants et de la chaîne d’approvisionnement OT	IEC 62443-4-2 (Exigences techniques composants)	Spécifications de sécurité pour automates, capteurs, actionneurs ; certification des équipements industriels ; gestion sécurisée du cycle de vie
Gouvernance et implication de la direction	IEC 62443-2-1 Section 4.2	Définition des rôles et responsabilités cybersécurité OT, politique de sécurité OT approuvée par la direction, allocation des ressources

Cette structure IEC 62443 facilite la démonstration de conformité NIS 2 en fournissant un cadre documentaire structuré et auditable. Lorsqu’une autorité nationale vérifie le respect des obligations de gestion des risques, une organisation peut présenter son évaluation réalisée selon IEC 62443-2-1 avec détermination des zones critiques et des niveaux de sécurité cibles. Pour prouver la mise en œuvre de la segmentation réseau exigée par NIS 2, elle peut s’appuyer sur sa documentation d’architecture par zones et conduits conforme à IEC 62443-3-2.

Feuille de route intégrée NIS 2 + IEC 62443

Une approche méthodologique intégrant l’IEC 62443 permet de rationaliser les investissements et d’accélérer la mise en conformité. La stratégie recommandée s’articule en trois phases progressives.

Phase 1 : Gap analysis combiné NIS 2 et IEC 62443 (durée : 2-3 mois). Cette phase initiale évalue simultanément la conformité aux exigences réglementaires NIS 2 et aux standards techniques IEC 62443. L’audit couvre l’assujettissement à NIS 2 et l’identification du périmètre OT concerné, l’évaluation de la maturité actuelle selon les deux référentiels. Il inclut l’inventaire exhaustif des actifs IT et OT avec cartographie des flux, et l’identification des écarts prioritaires nécessitant une action immédiate. Cette phase produit un plan de remédiation intégré évitant les doublons d’analyse et optimisant les ressources.

Phase 2 : Déploiement par zones selon IEC 62443 répondant aux exigences NIS 2 (durée : 12-18 mois). Le déploiement opérationnel suit la logique de zones de l’IEC 62443, garantissant la conformité NIS 2 par construction. Pour chaque zone critique identifiée, l’organisation détermine le niveau de sécurité cible (SL-T) selon l’analyse des risques. Elle implémente les mesures techniques correspondant au SL-T visé (exigences FR1 à FR7), déploie les contrôles d’accès entre zones avec journalisation. La mise en place de la surveillance et de la détection d’incidents adaptée est également nécessaire. Cette approche progressive permet de prioriser les investissements sur les zones les plus critiques tout en maintenant la continuité opérationnelle.

Phase 3 : Certification IEC 62443 comme preuve de conformité NIS 2 (durée : 6-9 mois). La phase finale vise l’obtention d’une certification formelle valorisant l’investissement réalisé. Les options incluent la certification IEC 62443-2-1 du programme de sécurité de l’organisation (recommandée pour les entités essentielles). Elles comprennent la certification IEC 62443-3-3 de systèmes ou installations critiques spécifiques, et l’exigence de certification IEC 62443-4-2 des composants OT auprès des fournisseurs. La certification facilite significativement les audits de conformité NIS 2 des autorités nationales et apporte une reconnaissance internationale valorisable commercialement.

Les avantages de cette approche intégrée sont multiples. La rationalisation des investissements évite de financer séparément une mise en conformité NIS 2 puis une démarche IEC 62443. La reconnaissance internationale de la certification IEC 62443 valorise l’organisation au-delà de la seule conformité réglementaire européenne. La facilitation des audits par les autorités nationales réduit la charge de démonstration de conformité grâce aux preuves objectives de certification. Enfin, l’amélioration effective de la sécurité OT dépasse la simple conformité formelle en déployant des mesures techniques éprouvées.

Les coûts et délais spécifiques varient selon la taille et la complexité des environnements. Pour une entité essentielle industrielle de taille moyenne (250-500 salariés, 3-5 sites industriels), le budget global se situe entre 800 000 € et 1,5 million d’euros sur 24 mois. Ce budget inclut l’audit et le conseil (150-250 k€), les investissements techniques OT (400-700 k€), la certification IEC 62443 (100-200 k€), et les ressources internes dédiées (150-350 k€). Ce budget est à comparer aux 500 000 € à 2 millions d’euros d’une approche NIS 2 seule, démontrant que l’intégration de l’IEC 62443 n’augmente que marginalement les coûts tout en apportant une valeur ajoutée substantielle.

Quelles sanctions en cas de non-conformité ?

Sanctions financières

La directive NIS 2 instaure un régime de sanctions dissuasif s’inspirant du RGPD. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, les amendes maximales sont fixées à 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial.

Les critères d’évaluation garantissent la proportionnalité : gravité et durée du manquement, caractère intentionnel ou négligent, actions d’atténuation, degré de coopération, antécédents, et situation financière.

Les manquements sanctionnables couvrent toutes les obligations : défaut de mesures de gestion des risques, non-respect des délais de notification, absence d’implication des dirigeants. Ils incluent également la fourniture d’informations inexactes, l’obstruction aux audits, et le non-respect de la sécurité de la chaîne d’approvisionnement.

Responsabilité personnelle des dirigeants

La responsabilité personnelle des dirigeants vise à garantir que la cybersécurité bénéficie de l’attention stratégique nécessaire. Les manquements incluent le défaut d’approbation des politiques, l’absence de supervision, le défaut de formation, et le non-respect de l’obligation d’assurer les ressources nécessaires.

Les sanctions personnelles incluent des amendes individuelles distinctes, des interdictions d’exercer des fonctions de direction, et des poursuites civiles ou pénales. La charge de la preuve peut être inversée dans certaines juridictions : les dirigeants doivent démontrer qu’ils ont exercé leur obligation de supervision. Les procès-verbaux des conseils, les attestations de formation, et les décisions documentées deviennent des éléments de protection juridique.

Comment se mettre en conformité avec NIS 2 ?

Calendrier et transposition

Le calendrier impose aux États membres une échéance au 17 octobre 2024, avec application effective des obligations à partir du 18 octobre 2024.

En France, la transposition s’effectue à travers le projet de loi relatif à la résilience des infrastructures critiques. L’ANSSI assume le rôle d’autorité compétente.

Les délais réalistes pour les organisations nouvellement assujetties varient selon leur maturité : 6 à 12 mois pour une organisation certifiée ISO/IEC 27001, 18 à 24 mois pour une maturité faible. Le coût moyen de mise en conformité est estimé entre 500 000 € et 2 millions d’euros pour une entité essentielle de taille moyenne (source : CLUSIF, 2023).

Méthodologie et timeline de mise en conformité

La mise en conformité requiert une approche méthodique structurée. La phase d’évaluation initiale (durée : 2-3 mois) comprend la confirmation de l’assujettissement, un gap analysis, l’inventaire des actifs, et l’évaluation de la maturité existante.

La phase de cadrage stratégique (durée : 1-2 mois) définit la gouvernance du programme, élabore la feuille de route, dimensionne les ressources, et obtient l’engagement de la direction.

La phase de déploiement (durée : 12-18 mois) met en œuvre les mesures : renforcement de la gouvernance, analyse des risques, segmentation réseau, solutions de détection. Elle inclut également les processus de notification, la sécurisation de la chaîne d’approvisionnement, et la formation.

Timeline typique d’un projet de conformité NIS 2 :

Mois 0-3 : Évaluation initiale et quick wins (nomination RSSI, formation dirigeants, inventaire actifs critiques IT)
Mois 3-12 : Chantiers prioritaires (analyse des risques formalisée, segmentation réseau IT/OT, processus de notification incidents, clauses contractuelles fournisseurs critiques)
Mois 12-24 : Déploiement complet et certifications optionnelles (couverture complète des actifs OT, solutions de détection avancées, certification ISO 27001 et/ou IEC 62443, audits de conformité)

La phase de maintien assure la pérennité : révisions périodiques de l’analyse des risques, audits, surveillance continue, gestion des évolutions, et maintien des compétences. L’adoption de normes reconnues comme ISO/IEC 27001 et IEC 62443 constitue une stratégie efficace : ISO 27001 pour le management global, IEC 62443 pour les spécificités OT.

Checklist opérationnelle NIS 2

Chaque action présentée ci-dessous doit faire l’objet d’une analyse de risque préalable spécifique à votre contexte organisationnel, technique et opérationnel. Les mesures de sécurité doivent être proportionnées aux risques identifiés et adaptées aux contraintes de votre environnement industriel.

1. Confirmer formellement votre assujettissement à NIS 2

Vérifiez les trois critères d’applicabilité : secteur d’activité, taille de l’organisation, et localisation géographique. Utilisez le simulateur de l’ANSSI, puis documentez formellement votre statut pour établir la base juridique de vos obligations.

2. Désigner un responsable de la cybersécurité et établir la gouvernance

Nommez un RSSI disposant de l’autorité et des ressources nécessaires. Établissez les instances de gouvernance et planifiez les formations obligatoires pour les dirigeants. Documentez cette gouvernance pour démontrer l’implication des dirigeants.

3. Réaliser un inventaire exhaustif des actifs IT et OT

Identifiez et documentez tous les actifs numériques : serveurs, postes de travail, équipements réseau, automates, systèmes SCADA, capteurs IoT, équipements industriels connectés. Pour chaque actif, recensez ses caractéristiques, interconnexions, criticité et propriétaire.

4. Conduire une analyse des risques couvrant les environnements IT et OT

Réalisez une analyse formalisée selon une méthodologie reconnue (EBIOS Risk Manager, ISO 27005, ou approches sectorielles). Identifiez les scénarios de menace, évaluez probabilité et impact, déterminez les mesures de traitement. Documentez et planifiez la révision annuelle.

5. Déployer la segmentation réseau IT/OT selon une architecture reconnue

Structurez votre architecture en zones distinctes séparant IT, OT et interfaces extérieures selon des modèles reconnus (Purdue, IEC 62443, ou recommandations ANSSI). Implémentez des contrôles d’accès stricts entre zones (firewalls industriels, diodes, passerelles) et limitez les flux au strict nécessaire.

6. Sécuriser les accès distants aux systèmes critiques

Déployez une solution PAM pour tous les accès distants IT et OT. Imposez l’authentification multifacteur, surveillez les sessions, limitez les accès dans le temps, révoquez automatiquement les accès temporaires. Contrôlez rigoureusement les accès des prestataires.

7. Établir le processus de gestion et de notification des incidents

Formalisez votre processus de détection, analyse, réponse et récupération. Implémentez des outils adaptés aux environnements industriels. Définissez les critères de notification, préparez les modèles (24h, 72h, 1 mois), désignez les responsables.

8. Sécuriser la chaîne d’approvisionnement

Établissez une politique identifiant vos fournisseurs critiques. Intégrez des clauses de cybersécurité dans les contrats (notification, audits, conformité). Conduisez des évaluations avant sélection et des audits périodiques, particulièrement pour les fournisseurs OT.

9. Déployer la gestion des correctifs adaptée aux contraintes OT

Implémentez un processus d’identification, priorisation, test et déploiement. Pour l’IT, visez des délais rapides (sous 30 jours pour les vulnérabilités critiques). Pour l’OT, définissez des mesures compensatoires en attendant les fenêtres de maintenance.

10. Établir le programme de formation et de sensibilisation

Déployez un programme continu couvrant l’ensemble du personnel, avec des modules adaptés aux rôles. Formez spécifiquement les équipes OT aux spécificités industrielles. Assurez la formation obligatoire des dirigeants. Mesurez l’efficacité par des tests réguliers.

FAQ

Quelle est la différence fondamentale entre NIS 1 et NIS 2 ?

NIS 2 élargit le périmètre de 7 à 18 secteurs, multipliant par plus de 10 le nombre d’entités concernées (de 10 000 à plus de 160 000). Elle harmonise les obligations à travers un cadre plus précis réduisant les disparités nationales. Les sanctions sont renforcées, atteignant 10 millions d’euros ou 2% du CA mondial pour les entités essentielles. L’innovation majeure est la responsabilité personnelle des dirigeants, qui peuvent être sanctionnés individuellement en cas de manquement à leur obligation de supervision.

Comment savoir si mon organisation est concernée par NIS 2 ?

Trois critères cumulatifs déterminent l’assujettissement. Premièrement, votre organisation doit exercer dans l’un des 18 secteurs énumérés. Deuxièmement, elle doit dépasser les seuils de taille : pour les entités essentielles, au moins 250 salariés ou CA > 50 M€ et bilan > 43 M€ ; pour les entités importantes, au moins 50 salariés ou CA et bilan > 10 M€. Troisièmement, elle doit être établie dans l’UE ou y fournir des services. L’ANSSI propose un simulateur en ligne : https://www.ssi.gouv.fr/nis2-simulateur/

Quels sont les délais pour notifier un incident sous NIS 2 ?

La notification s’effectue en trois étapes. Notification préliminaire dans les 24 heures suivant la prise de connaissance, fournissant une alerte initiale. Notification détaillée dans les 72 heures, incluant évaluation de gravité, indicateurs de compromission et mesures de réponse. Rapport final dans un délai d’un mois, décrivant exhaustivement l’incident, sa cause, son impact et les mesures de remédiation.

La certification ISO 27001 suffit-elle pour être conforme à NIS 2 ?

La certification ISO/IEC 27001 constitue une base solide mais ne suffit généralement pas. Elle couvre efficacement la gouvernance, le management des risques et la sécurité IT. Cependant, NIS 2 impose des exigences supplémentaires : couverture explicite des technologies OT et systèmes industriels, notification obligatoire dans des délais précis, responsabilité personnelle formelle des dirigeants. S’ajoutent des obligations renforcées sur la chaîne d’approvisionnement incluant des évaluations géopolitiques. Les organisations certifiées doivent compléter leur démarche, notamment pour la cybersécurité OT.

Comment gérer la sécurité des systèmes OT qui ne peuvent pas être régulièrement mis à jour ?

Les systèmes OT présentent des contraintes spécifiques : cycles de vie prolongés, fenêtres de maintenance limitées, risques de perturbation. NIS 2 admet des mesures compensatoires lorsque l’application immédiate de correctifs n’est pas possible : renforcement de la segmentation réseau isolant les systèmes vulnérables, restriction drastique des accès. S’ajoutent le déploiement de détection comportementale, la surveillance accrue des journaux, et les technologies de protection passive (listes blanches, durcissement). Une approche structurée par zones et niveaux de sécurité fournit un cadre méthodologique pour organiser ces mesures.

Quelles sont les responsabilités personnelles des dirigeants sous NIS 2 ?

Les dirigeants doivent formellement approuver les politiques de gestion des risques, superviser leur mise en œuvre, suivre des formations spécifiques en cybersécurité, et s’assurer que l’organisation dispose des ressources suffisantes. En cas de manquement, ils encourent des sanctions personnelles : amendes individuelles, interdictions d’exercer des fonctions de direction, poursuites civiles ou pénales. Les dirigeants doivent documenter leur diligence (procès-verbaux, attestations de formation, décisions d’investissement) pour démontrer le respect de leurs obligations.

Comment l’IEC 62443 peut-elle faciliter la conformité NIS 2 en environnement industriel ?

La norme IEC 62443 traduit opérationnellement les exigences générales de NIS 2 dans les environnements industriels OT. NIS 2 impose le « quoi » (gouvernance, gestion des risques, notification), tandis que l’IEC 62443 détaille le « comment » spécifique aux systèmes industriels (architecture par zones et conduits, niveaux de sécurité, exigences techniques par composant). La certification IEC 62443 constitue une preuve objective de conformité NIS 2 pour les aspects OT, facilitant les audits des autorités nationales. Cette approche intégrée rationalise les investissements et apporte une reconnaissance internationale au-delà de la seule conformité réglementaire européenne.

Quel est le coût moyen de mise en conformité NIS 2 pour une PME industrielle ?

Le coût varie selon la maturité initiale, la complexité IT/OT et la taille. Pour une PME industrielle (50-250 salariés) qualifiée d’entité importante avec maturité cyber faible à moyenne, les estimations varient entre 200 000 € et 800 000 € sur 18-24 mois (source : CLUSIF, 2023). Ce budget inclut les investissements techniques (segmentation, détection, accès, sauvegarde), les ressources humaines (RSSI, équipes), les prestations externes (audit, conseil, intégration), et les coûts récurrents. Les organisations déjà certifiées ISO 27001 peuvent réduire ces coûts de 30 à 50%. L’approche intégrant des référentiels reconnus n’augmente les coûts que marginalement (10-15%) tout en apportant une certification valorisable.

Conclusion

La directive NIS 2 marque une étape décisive dans la construction d’une Europe cyber-résiliente, imposant une élévation harmonisée du niveau de cybersécurité des infrastructures critiques. L’élargissement à 18 secteurs et plus de 160 000 entités, le renforcement des obligations, la responsabilisation des dirigeants, et les sanctions dissuasives créent un cadre contraignant mais nécessaire face à l’intensification des cybermenaces.

Pour les organisations industrielles, NIS 2 constitue une opportunité de structurer une démarche de cybersécurité OT/IoT souvent négligée. L’articulation avec des normes reconnues comme ISO/IEC 27001 et IEC 62443 permet de transformer une contrainte réglementaire en avantage compétitif, en sécurisant les processus industriels et en renforçant la confiance des clients et partenaires.

La réussite repose sur trois piliers : l’engagement des dirigeants portant la transformation culturelle, l’adoption d’une approche méthodique s’appuyant sur des référentiels éprouvés pour les environnements industriels. S’ajoute l’intégration de la cybersécurité dans la stratégie globale plutôt que son confinement à une fonction technique isolée. Les organisations qui adoptent une démarche structurée bénéficient d’une rationalisation des investissements et d’une reconnaissance internationale valorisable au-delà de la seule conformité réglementaire.