NIS2 vs NIS1 : ce qui change avec la nouvelle directive
La directive NIS1 de 2016 a pose les bases d'une politique europeenne de cybersecurite. NIS2, adoptee en decembre 2022, en corrige les limites en elargissant le perimetre, en harmonisant les obligations et en durcissant les sanctions. Comparaison detaillee.
Pourquoi NIS1 etait insuffisante
La directive NIS1 (UE 2016/1148) etait un texte pionnier, mais sa mise en oeuvre a revele plusieurs limites. La transposition heterogene entre Etats membres a cree des distorsions de regulation : ce qui etait obligatoire en France ne l'etait pas forcement en Allemagne ou en Italie. Le perimetre etroit (operateurs de services essentiels et fournisseurs de services numeriques) laissait hors champ de nombreux secteurs critiques touches par les attaques recentes (sante, administrations locales, recherche). Les sanctions disparates manquaient de force dissuasive.
Apres une evaluation conduite en 2020, la Commission europeenne a propose une refonte complete sous la forme de NIS2.
Tableau comparatif
| Critere | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Nombre de secteurs | 7 secteurs | 18 secteurs |
| Categories d'entites | OSE et FSN | Entites essentielles et importantes |
| Designation | Cas par cas par l'Etat | Automatique selon taille et secteur |
| Nombre d'entites en France | environ 500 | 10 000 a 15 000 |
| Gouvernance | Pas d'exigence specifique | Article 20 : responsabilite des dirigeants |
| Mesures techniques | Non detaillees | Article 21 : 10 mesures minimales explicites |
| Notification d'incident | Sans delai | 24h, 72h, 1 mois |
| Sanctions | Variables selon Etats | Harmonisees : jusqu'a 10 millions d'euros ou 2 pourcent CA |
| Responsabilite dirigeants | Non prevue | Oui, sanctions personnelles possibles |
| Supply chain | Non couverte | Obligation explicite |
| Cooperation europeenne | Limitee | Renforcee (groupe NIS, reseau CSIRT) |
Les apports majeurs de NIS2
1. Un perimetre considerablement elargi
NIS2 passe de 7 a 18 secteurs en integrant l'administration publique, l'espace, les services postaux, la gestion des dechets, la chimie, l'alimentation et la recherche. Le perimetre cible egalement les fournisseurs critiques de la chaine d'approvisionnement, ce qui multiplie le nombre d'entites soumises. Voir notre page 18 secteurs concernes.
2. Une designation automatique
Sous NIS1, l'Etat designait les operateurs au cas par cas, ce qui conduisait a des arbitrages politiques et a des delais. NIS2 instaure une designation automatique fondee sur la taille et le secteur : si vous depassez 50 salaries ou 10 millions d'euros de CA et que vous etes dans un secteur liste, vous etes concerne. Le detail des criteres est sur notre page qui est concerne.
3. Une gouvernance imposee aux dirigeants
C'est la rupture la plus marquante. NIS2 considere que la cybersecurite est une responsabilite de direction et non une simple affaire technique. L'article 20 impose aux dirigeants d'approuver les mesures, de les superviser, et de se former. En cas de manquement, ils peuvent etre personnellement sanctionnes. Cette logique rapproche NIS2 du modele du RGPD.
4. Des mesures techniques explicites
NIS1 imposait des mesures appropriees sans les detailler. NIS2 enumere 10 mesures minimales (article 21) couvrant la gestion des risques, la continuite d'activite, la cryptographie, l'authentification multifactorielle, la securite supply chain. Voir notre page obligations NIS2.
5. Une notification d'incident harmonisee
NIS1 demandait une notification sans delai mais sans cadre precis. NIS2 fixe un schema en trois temps (alerte 24h, notification 72h, rapport final 1 mois) qui aligne les pratiques entre Etats membres et facilite la coordination europeenne.
6. Des sanctions dissuasives et harmonisees
Sous NIS1, les sanctions variaient considerablement entre Etats membres, certaines etant quasi-symboliques. NIS2 impose un plancher minimal commun et un plafond eleve (10 millions d'euros ou 2 pourcent du CA mondial). Voir le detail sur notre page sanctions NIS2.
Que faire si vous etiez deja sous NIS1 ?
Si vous etiez OSE ou FSN sous NIS1, vous etes presque certainement entite essentielle ou importante sous NIS2. Vos obligations restent globalement les memes mais sont durcies sur plusieurs aspects :
- Formaliser et faire approuver votre politique de gouvernance par la direction.
- Documenter precisement les 10 mesures de l'article 21.
- Mettre a jour vos procedures de notification pour respecter le schema 24h/72h/1 mois.
- Integrer votre supply chain dans votre analyse de risques.
- Mettre a jour votre enregistrement aupres de l'ANSSI.
Pour engager la transition, suivez notre methodologie de mise en conformite NIS2.