Lorsque j’ai commencé à travailler comme consultant, parler de cybersécurité dans les organisations revenait presque toujours à parler de conformité non obligatoire. Des cadres de bonnes pratiques, des recommandations, des normes volontaires. Il s’agissait de quelque chose de pratique, qui apportait de la valeur aux clients ou aux partenaires, mais qui conditionnait rarement les décisions stratégiques.
De plus, il s’agissait d’un territoire clairement technique. Il était délégué à des spécialistes, traité en termes de systèmes, de contrôles et de configurations, et loin des tables où se décidaient réellement les orientations de l’organisation.
Au fil du temps, ce paysage a radicalement changé.
D’abord, parce que les incidents ont cessé d’être des scénarios hypothétiques pour devenir une réalité quotidienne. Ensuite, parce que leur impact a cessé d’être mesuré uniquement en termes techniques et a commencé à s’exprimer en termes d’interruptions de service, de perte de confiance, de sanctions, de responsabilités juridiques et d’exposition du public.
Ce changement d’échelle a progressivement transformé la conformité d’une option recommandée en une exigence législative. Mais il a également révélé quelque chose de moins évident et de plus inconfortable : la
La directive NIS2 est une manifestation claire de ce changement de paradigme.
La cybersécurité n’est plus une question purement technique, mais une responsabilité de l’entreprise, partagée et supervisée par la direction. La sécurité n’est plus simplement déléguée : c’est une question de leadership, de jugement et de responsabilité.
Ce n’est pas un hasard si, ces derniers mois, le NIS2 a commencé à apparaître dans les discussions des comités exécutifs. Elle est souvent mentionnée, mais rarement expliquée calmement et dans toute sa dimension. Car le NIS2 n’est pas seulement une nouvelle norme européenne : il reflète un changement radical dans la manière de concevoir la sécurité numérique.
Avec cette directive, l’Union européenne répond à l’augmentation constante des cyberincidents et à la dépendance croissante à l’égard des infrastructures numériques et des services essentiels. La cybersécurité est désormais considérée comme une question d’intérêt public, et non plus seulement commercial.
Le 18 octobre 2024 marque un tournant : la directive est entrée en vigueur. En Espagne – comme dans d’autres États membres – la transposition en droit national est toujours en cours, ce qui crée une incertitude. Mais cette incertitude ne laisse pas de place à l’inaction.
Résumé pour le comité de pilotage
S’il ne vous reste que quelques idées clés sur le NIS2, ce sont celles-là :
- La cybersécurité n’est plus une question technique.
Le NIS2 transfère la responsabilité à la gestion et à la gouvernance. Il ne s’agit plus d’une question qui est déléguée sans suivi, mais d’une question qui nécessite un jugement, une surveillance et une responsabilité. - La conformité n’est pas synonyme de protection.
La directive ne cherche pas à accumuler les contrôles, mais à garantir que les organisations gèrent leurs risques de manière réaliste, en particulier en ce qui concerne la continuité des services et la chaîne d’approvisionnement. - Le NIS2 n’est pas une norme technique, c’est un cadre de gouvernance.
Il ne prescrit pas d’outils ou de configurations spécifiques. Il exige des décisions, des processus et des preuves pour démontrer une gestion responsable de la sécurité. - Le risque n’est plus seulement interne.
Les fournisseurs, les tiers et les installations critiques font partie du périmètre de responsabilité. Bon nombre des incidents les plus graves se produisent précisément dans ces angles morts. - La préparation n’est pas un projet ponctuel, mais un système.
Diagnostic, gouvernance, évaluation des risques, mesures proportionnées, formation et révision continue. La NIS2 est réalisée en l’intégrant dans le fonctionnement normal de l’organisation, et non par des actions isolées.
C’est la logique de l’approche de la directive : moins d’urgence réactive et plus de construction d’un système permettant une prise de décision, une action et une démonstration cohérentes.
Ce qu’est vraiment NIS2
La NIS2 est une directive européenne qui établit un niveau minimum commun de cybersécurité pour les organisations opérant dans des secteurs considérés comme critiques ou essentiels. Elle remplace la première directive NIS et élargit considérablement son champ d’application, ses exigences et son régime de sanctions.
Il ne s’agit pas d’une norme technique qui vous indique comment mettre en place des systèmes ou quels outils spécifiques utiliser. Son objectif est différent : garantir que certaines organisations gèrent la sécurité de l’information de manière responsable, structurée et contrôlée.
Le NIS2 met donc moins l’accent sur la technologie concrète que sur la gouvernance, la prise de décision et la capacité à démontrer que l’on fait preuve de discernement.
À qui s’applique le NIS2
L’une des premières questions que se posent de nombreuses organisations est de savoir si le NIS2 les concerne vraiment. La réponse n’est pas toujours évidente, mais la directive repose sur trois critères principaux :
- Lieu: exploitation ou fourniture de services dans l’Union européenne.
- Taille: principalement des moyennes et grandes entreprises, avec quelques exceptions.
- Secteur d’activité: pour autant qu’il soit inclus dans les secteurs critiques définis.
En outre, le NIS2 établit une distinction entre les établissements critiques et les établissements importants, une classification qui détermine le niveau de surveillance et le régime de sanctions applicable.
Quelques exemples permettent de rendre les choses plus concrètes. Un hôpital entre clairement dans le champ d’application des entités essentielles. Un fournisseur de services en nuage ou d’infrastructure numérique est directement soumis à la directive. Un fabricant peut être concerné s’il fait partie d’une chaîne d’approvisionnement critique. Et de nombreuses entreprises qui fournissent des services numériques à des tiers sont concernées, même si elles n’en sont pas toujours conscientes.
L’essentiel est de comprendre que ce n’est plus seulement ce que vous faites en interne qui compte, mais pour qui vous le faites et quel est l’impact de votre activité sur le système dans son ensemble.
La directive distingue deux types d’entités en fonction de leur criticité. Il est essentiel d’identifier le groupe auquel appartient votre organisation afin de comprendre le niveau de supervision auquel vous serez soumis :
| Catégorie | Entités essentielles | Entités concernées |
| Secteurs | Énergie, santé, banque, infrastructure numérique. | Industrie manufacturière, alimentation, gestion des déchets, services postaux. |
| Contrôle | Proactive : l’autorité peut procéder à un audit à tout moment. | Réactif : contrôlé après des indications de non-conformité ou d’incident. |
| Amendes maximales | 10 M€ ou 2 % du chiffre d’affaires global. | Le chiffre d’affaires de l’Union européenne s’élève à 7 millions d’euros, soit 1,4 % du chiffre d’affaires global. |
Ce que NIS2 exige
Le NIS2 introduit une série d’obligations claires qui peuvent sembler exigeantes de l’extérieur, mais qui sont raisonnables si elles sont abordées dans une logique de bonne gouvernance.
Le premier grand changement concerne la gouvernance. Le leadership n’est plus facultatif. La direction doit être activement impliquée dans la gestion de la cybersécurité, approuver les mesures nécessaires, surveiller les risques et assumer la responsabilité.
Deuxièmement, la directive met l’accent sur la gestion des risques, et plus particulièrement sur la chaîne d’approvisionnement. La question n’est plus seulement « sommes-nous protégés », mais « que se passe-t-il en cas de défaillance d’un fournisseur ou d’un service clé dont nous dépendons ».
Sur la base de cette analyse, le NIS2 préconise des mesures minimales qui ne doivent pas être interprétées comme des exigences techniques complexes, mais comme des pratiques organisationnelles de base: politiques claires, contrôle d’accès, plans de continuité, gestion des incidents et utilisation proportionnée de la cryptographie.
Un autre élément clé est l’obligation de rendre compte, avec des délais stricts qui nécessitent une préparation préalable et une coordination entre différents domaines. Dans ce contexte, l’improvisation n’est plus une option viable.
Que se passe-t-il si elle n’est pas respectée ?
Le régime de sanctions du NIS2 est nettement plus sévère que celui de la directive initiale. Mais réduire son impact à des amendes serait une erreur.
Le véritable risque est d’ordre réputationnel, contractuel et opérationnel. Le non-respect des règles peut entraîner une perte de confiance, l’exclusion des appels d’offres, la résiliation de contrats ou l’interruption de services essentiels. Et, dans de nombreux cas, le dommage le plus difficile à réparer n’est pas d’ordre économique, mais de l’ordre de la crédibilité.
Démarrer : un parcours pratique et réaliste
La mise en conformité avec le NIS2 n’est pas un projet ponctuel ou un exercice de cochage de cases. Il s’agit d’un processus continu qui doit être intégré dans le fonctionnement normal de l’organisation.
Une approche raisonnable commence généralement par un diagnostic honnête. À partir de là, il est important de définir une gouvernance claire et de procéder à une évaluation des risques afin de hiérarchiser les efforts.
Sur cette base, un plan d’action réaliste est élaboré, accompagné d’une documentation claire et cohérente. La formation, les tests et l’examen périodique complètent le cycle.
La sécurité ne s’accélère pas sans en payer le prix : elle nécessite du temps, de la répétition et une certaine humilité organisationnelle.
Relations avec d’autres cadres : ne pas partir de zéro
Dans de nombreux cas, le défi n’est pas de mettre en œuvre quelque chose de nouveau, mais d’ordonner ce qui existe déjà, de lui donner une logique de gouvernance et d’être en mesure de le démontrer de manière cohérente.
Le NIS2 est clairement compatible avec des cadres tels que ISO 27001, le National Security Scheme ou d’autres systèmes de gestion. De nombreuses organisations ont déjà mis en place des pratiques et des preuves réutilisables.
Conclusion : NIS2 n’est pas seulement une exigence, c’est une opportunité.
Le NIS2 marque un avant et un après. Elle impose des obligations, mais offre également une opportunité claire de professionnaliser la cybersécurité, de renforcer la résilience et de consolider la confiance du marché.
Il ne s’agit pas de « survivre à NIS2 », mais de l’utiliser comme un levier pour améliorer les choses.
Se conformer à la NIS2 ne consiste pas à accumuler des documents, mais à savoir quels risques sont pris, qui en décide et comment démontrer qu’ils sont gérés de manière responsable.
Au fur et à mesure que l’organisation se développe, cette vision n’est plus gérable par la mémoire et les feuilles volantes. À ce moment-là, un système qui relie les risques, les décisions, les preuves et l’examen continu permet à la responsabilité de rester gérable sans être diluée.
Chez ithikios, nous travaillons précisément à partir de cette logique : aider à transformer le NIS2 en un système gouvernable au fil du temps, et non en un exercice de conformité ponctuel.
