Pourquoi la directive NIS 2 a-t-elle été mise en place ?

La directive NIS 2 a été mise en place pour faire face à une menace cyber devenue difficilement maîtrisable en Europe. Son prédécesseur NIS 1 (2016) s'est révélé insuffisant sur trois points : un périmètre trop limité, des exigences trop hétérogènes selon les États membres, et une montée en puissance des cyberattaques que le cadre existant ne permettait plus d'endiguer. En élargissant le champ d'application, en harmonisant les obligations et en renforçant la coopération européenne, NIS 2 vise à élever collectivement le niveau de cybersécurité sur l'ensemble du territoire européen.

Quelle est la différence entre une entité essentielle et une entité importante ?

NIS 2 distingue les entités essentielles des entités importantes pour organiser le régime de supervision et de contrôle. Les entités essentielles regroupent notamment les grandes structures de certains secteurs de haute criticité, certains prestataires stratégiques indépendamment de leur taille, certaines entités publiques et des acteurs spécifiquement identifiés par les États membres. Les autres entités relevant du périmètre mais ne remplissant pas ces critères sont considérées comme importantes. Cette distinction n’efface pas l’obligation de sécurité : dans les deux cas, il y a des exigences de gestion des risques et de notification. En revanche, l’intensité des mécanismes de supervision et les modalités de contrôle peuvent différer.

Quelles organisations sont concernées par NIS 2 ?

Sont concernées, en règle générale, les entités moyennes et grandes relevant des secteurs listés dans les annexes I et II de la directive, tels que l’énergie, les transports, la santé, l’eau, les infrastructures numériques, les services gérés TIC, certains services numériques, certaines industries critiques, la recherche, ou encore certaines administrations publiques. NIS 2 s’applique aussi, indépendamment de la taille, à certaines catégories comme des fournisseurs de communications électroniques, des prestataires de services de confiance, des registres de noms de domaine, des fournisseurs DNS, des entités critiques identifiées au titre d’un autre texte européen, ou certains acteurs désignés par les États membres en raison de leur importance particulière.

NIS 2

Définition simple : qu'est-ce que la directive NIS 2 ?

La directive NIS 2 est un texte européen qui impose des règles strictes de cybersécurité aux organisations publiques et privées. Elle concerne environ 15 000 entités en France, dont les régions, métropoles et intercommunalités. Son objectif : protéger les réseaux, les systèmes d'information et les données contre les cyberattaques. Les collectivités doivent notifier les incidents graves sous 24 heures et mettre en place des mesures de prévention.

Définition technique

Champ d'application et critères d'identification des entités

La directive NIS 2 élargit le périmètre de son prédécesseur (NIS 1) en intégrant de nouveaux secteurs comme la gestion des déchets, l'espace ou les services postaux. Les entités sont classées en deux catégories : essentielles (ex : régions) et importantes (ex : intercommunalités de plus de 30 000 habitants). Les critères incluent la taille (plus de 50 salariés ou 10 millions d'euros de chiffre d'affaires), l'impact sur la sécurité nationale et la dépendance aux infrastructures numériques.

Obligations techniques et gestion des risques

Les entités doivent appliquer des mesures comme le chiffrement des données, l'authentification multifactorielle (MFA) et la segmentation des réseaux. La directive impose aussi une analyse des risques régulière et des audits de sécurité. Les outils d'IA pour la détection d'anomalies sont encouragés : 65% des grandes entreprises françaises du secteur data et IA ont investi dans ces solutions pour un montant moyen de 1,2 million d'euros (INSEE, 2026).

Réglementation et cadre juridique

Texte européen et transposition en France : quand la directive sera-t-elle effective?

La directive NIS 2 (UE 2022/2555) a été adoptée le 14 décembre 2022. Elle devait être transposée en droit national avant le 17 octobre 2024, mais la France a reporté son examen parlementaire à janvier 2026. Le projet de loi relatif à la résilience des infrastructures critiques (articles 8 à 12) transpose ces exigences, avec une plateforme nationale d'auto-enregistrement (MonEspaceNIS2) pour les entités concernées.

Obligations spécifiques pour les collectivités territoriales : comment savoir si mon organisation est concernée ?

Les régions sont considérées comme entités essentielles, soumises aux exigences les plus strictes. Les intercommunalités, communautés d'agglomération et métropoles sont classées comme entités importantes si elles dépassent certains seuils (ex : 30 000 habitants). Toutes doivent respecter les articles 21 et 23 de la directive, qui imposent des mesures de gestion des risques et des notifications d'incidents sous 24 heures (projet de loi, titre II).

Enjeux actuels et chiffres clés

Enjeux quantitatifs et financiers

En 2026, 78% des entités françaises obligées (EO) ont engagé leur conformité NIS 2, mais leur maturité moyenne n'atteint que 3,2/5 (ANSSI, 2026). Le budget national alloué à cette transition s'élève à 2,4 milliards d'euros, en hausse de 45% par rapport à 2024 (Cour des comptes, 2026). Les attaques par rançongiciel représentent 92% des incidents signalés, avec un temps de résolution moyen de 14 jours (ANSSI, 2026).

Enjeux qualitatifs et résilience

La transposition de NIS 2 a permis à 34% des EO d'améliorer la résilience de leurs services data et IA, réduisant les temps d'indisponibilité de 22% (CNIL, 2026). En Île-de-France, le taux de conformité aux exigences de gestion des risques atteint 71%, contre 58% au niveau national (ANCT, 2025). Les outils d'IA pour la cybersécurité sont adoptés par 65% des grandes entreprises du secteur, avec un investissement moyen de 1,2 million d'euros par entité (INSEE, 2026).

Conformité NIS2 : rôle et actions des collectivités

Surveillance et monitoring

Déploiement de solutions de détection d'anomalies en temps réel, utilisant l'IA pour analyser les logs et flux réseau.

Exemple : La région Île-de-France a intégré un SOC (Security Operations Center) mutualisé pour ses 1 200 sites.

Résultat : Réduction de 30% des temps de détection des cyberattaques et conformité aux exigences de notification sous 24h (article 23 de NIS 2).

Protection et investissements

Mise en place de plans de continuité d'activité (PCA) et de sauvegardes externalisées.

Exemple : La Collectivité de Corse a investi 1,5 million d'euros dans des infrastructures cloud sécurisées pour ses services numériques critiques (stratégie « Smart Isula »).

Résultat : Amélioration de la résilience des services publics et réduction des risques de rançongiciels, qui représentent 92% des incidents signalés (ANSSI, 2026).

Solutions innovantes et gouvernance

Création de comités de pilotage cybersécurité et formation des agents.

Exemple : La métropole de Lyon a formé 500 agents aux bonnes pratiques et déployé un référentiel de sécurité aligné sur NIS 2.

Résultat : Renforcement de la culture cybersécurité et conformité aux exigences de gestion des risques (article 21 de NIS 2).