NIS2 vs NIS1 : ce qui change avec la nouvelle directive
La directive NIS1 de 2016 a pose les bases d'une politique europeenne de cybersécurité. NIS2, adoptee en decembre 2022, en corrige les limites en elargissant le périmètre, en harmonisant les obligations et en durcissant les sanctions. Comparaison détaillée.
Pourquoi NIS1 etait insuffisanté
La directive NIS1 (UE 2016/1148) etait un texte pionnier, mais sa mise en oeuvre a revele plusieurs limites. La transposition heterogene entre États membres a cree des distorsions de regulation : ce qui etait obligatoire en France ne l'etait pas forcement en Allemagne ou en Italie. Le périmètre etroit (opérateurs de services essentiels et fournisseurs de services numeriques) laissait hors champ de nombreux secteurs critiques touches par les attaques récentes (santé, administrations locales, recherche). Les sanctions disparates manquaient de force dissuasive.
Apres une évaluation conduite en 2020, la Commission europeenne a propose une refonte complete sous la forme de NIS2.
Tableau comparatif
| Critère | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Nombre de secteurs | 7 secteurs | 18 secteurs |
| Catégories d'entités | OSE et FSN | Entités essentielles et importantes |
| Désignation | Cas par cas par l'État | Automatique selon taille et secteur |
| Nombre d'entités en France | environ 500 | 10 000 a 15 000 |
| Gouvernance | Pas d'exigence spécifique | Article 20 : responsabilité des dirigeants |
| Mesures techniques | Non détaillées | Article 21 : 10 mesures minimales explicites |
| Notification d'incident | Sans délai | 24h, 72h, 1 mois |
| Sanctions | Variables selon États | Harmonisees : jusqu'a 10 millions d'euros ou 2 pourcent CA |
| Responsabilité dirigeants | Non prévue | Oui, sanctions personnelles possibles |
| Supply chain | Non couverte | Obligation explicite |
| Coopération europeenne | Limitee | Renforcee (groupe NIS, réseau CSIRT) |
Les apports majeurs de NIS2
1. Un périmètre considerablement elargi
NIS2 passe de 7 a 18 secteurs en integrant l'administration publique, l'espace, les services postaux, la gestion des dechets, la chimie, l'alimentation et la recherche. Le périmètre cible egalement les fournisseurs critiques de la chaîne d'approvisionnement, ce qui multiplie le nombre d'entités soumises. Voir notre page 18 secteurs concernes.
2. Une désignation automatique
Sous NIS1, l'État designait les opérateurs au cas par cas, ce qui conduisait à des arbitrages politiques et à des délais. NIS2 instaure une désignation automatique fondee sur la taille et le secteur : si vous dépasséz 50 salariés ou 10 millions d'euros de CA et que vous etes dans un secteur liste, vous etes concerne. Le detail des critères est sur notre page qui est concerne.
3. Une gouvernance imposee aux dirigeants
C'est la rupture la plus marquante. NIS2 considere que la cybersécurité est une responsabilité de direction et non une simple affaire technique. L'article 20 impose aux dirigeants d'approuver les mesures, de les superviser, et de se former. En cas de manquement, ils peuvent être personnellement sanctionnes. Cette logique rapproche NIS2 du modele du RGPD.
4. Des mesures techniques explicites
NIS1 imposait des mesures appropriees sans les détaillér. NIS2 enumere 10 mesures minimales (article 21) couvrant la gestion des risques, la continuite d'activité, la cryptographie, l'authentification multifactorielle, la sécurité supply chain. Voir notre page obligations NIS2.
5. Une notification d'incident harmonisee
NIS1 demandait une notification sans délai mais sans cadre precis. NIS2 fixe un schema en trois temps (alerte 24h, notification 72h, rapport final 1 mois) qui aligne les pratiques entre États membres et facilite la coordination europeenne.
6. Des sanctions dissuasives et harmonisees
Sous NIS1, les sanctions variaient considerablement entre États membres, certaines etant quasi-symboliques. NIS2 impose un plancher minimal commun et un plafond élevé (10 millions d'euros ou 2 pourcent du CA mondial). Voir le detail sur notre page sanctions NIS2.
Que faire si vous etiez déjà sous NIS1 ?
Si vous etiez OSE ou FSN sous NIS1, vous etes presque certainement entité essentielle ou importante sous NIS2. Vos obligations restent globalement les memes mais sont durcies sur plusieurs aspects :
- Formaliser et faire approuver votre politique de gouvernance par la direction.
- Documenter précisement les 10 mesures de l'article 21.
- Mettre à jour vos procédures de notification pour respecter le schema 24h/72h/1 mois.
- Intégrér votre supply chain dans votre analyse de risques.
- Mettre à jour votre enregistrement aupres de l'ANSSI.
Pour engager la transition, suivez notre méthodologie de mise en conformité NIS2.