Ir al contenido

Glossaire des affaires

Directive NIS2

La directive sur la sécurité des réseaux et des systèmes d'information 2 (NIS2 — Directive 2022/2555/UE) est le cadre actualisé de l'UE en matière de cybersécurité, remplaçant la directive NIS originale de 2016. Elle élargit considérablement le périmètre des obligations obligatoires en matière de cybersécurité pour couvrir davantage de secteurs et de types d'entités dans tous les États membres, l'Espagne étant en cours de transposition en droit national.

Numérique

Qu’est-ce que la directive NIS2 ?

La directive NIS2 (Directive 2022/2555/UE), entrée en vigueur en janvier 2023, est le principal instrument législatif de l’Union européenne en matière de cybersécurité. Elle remplace la directive NIS originale (2016) et avait une date limite de transposition du 17 octobre 2024 pour tous les États membres de l’UE. L’Espagne finalise actuellement sa législation de transposition nationale, les obligations de conformité devant être pleinement applicables en 2025.

NIS2 reflète la reconnaissance par l’UE que les cybermenaces ont considérablement augmenté en gravité et en sophistication depuis 2016, et que la mosaïque d’approches nationales à la directive NIS originale a produit des résultats incohérents dans le marché unique.

Qui est dans le périmètre ?

NIS2 élargit considérablement la population d’entités réglementées par rapport à son prédécesseur. Les entités sont classées en deux niveaux :

Entités essentielles (soumises à la surveillance la plus stricte) :

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Services bancaires et infrastructures des marchés financiers
  • Santé et produits pharmaceutiques
  • Eau potable et eaux usées
  • Infrastructure numérique (points d’échange Internet, DNS, registres TLD, fournisseurs de cloud, centres de données, CDN, TSP, réseaux de communications électroniques)
  • Espace
  • Administration publique (gouvernement central ; les États membres peuvent inclure les collectivités régionales/locales)

Entités importantes (soumises à une surveillance plus légère mais avec des obligations substantielles) :

  • Services postaux et de messagerie
  • Gestion des déchets
  • Produits chimiques
  • Production et distribution alimentaires
  • Dispositifs médicaux, ordinateurs, machines, véhicules à moteur et autres secteurs manufacturiers
  • Prestataires numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
  • Organismes de recherche

Pour la plupart des secteurs, le seuil est les entreprises de taille moyenne (50+ salariés ou 10 millions EUR+ de chiffre d’affaires), de sorte que NIS2 s’étend bien plus profondément dans le marché des PME que la directive originale.

Obligations fondamentales

NIS2 impose des obligations dans deux domaines principaux :

1. Mesures de gestion des risques

Les entités réglementées doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité. Ces mesures doivent couvrir :

  • Analyse des risques et politiques de sécurité des systèmes d’information
  • Gestion des incidents (détection, réponse, rétablissement)
  • Continuité des activités et gestion de crise
  • Sécurité de la chaîne d’approvisionnement
  • Sécurité dans l’acquisition, le développement et la maintenance des systèmes de réseau et d’information
  • Politiques et procédures pour évaluer l’efficacité des mesures de cybersécurité
  • Utilisation de la cryptographie et, le cas échéant, du chiffrement
  • Sécurité des ressources humaines, contrôle des accès et gestion des actifs
  • Authentification multifacteur et solutions d’authentification continue

2. Signalement des incidents

Les incidents significatifs doivent être signalés au CSIRT national ou à l’autorité compétente selon un calendrier strict :

  • Alerte précoce : dans les 24 heures suivant la prise de conscience
  • Notification d’incident : dans les 72 heures
  • Rapport final : dans le mois suivant

Responsabilité des organes de direction

Une innovation critique de NIS2 est la responsabilité explicite placée sur les organes de direction. Les conseils d’administration et la direction générale doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et peuvent être tenus personnellement responsables des infractions. Le personnel de direction est tenu de suivre une formation en cybersécurité.

Pénalités

NIS2 introduit des pénalités échelonnées similaires au RGPD :

  • Entités essentielles : jusqu’à 10 millions EUR ou 2 % du chiffre d’affaires annuel mondial total, selon le montant le plus élevé
  • Entités importantes : jusqu’à 7 millions EUR ou 1,4 % du chiffre d’affaires mondial, selon le montant le plus élevé

Les autorités de surveillance ont également le pouvoir d’émettre des instructions contraignantes, d’imposer des audits de sécurité et (pour les entités essentielles) de suspendre temporairement le personnel de direction responsable d’infractions.

Transposition en Espagne et INCIBE / CCN-CERT

En Espagne, l’Institut national de cybersécurité (INCIBE) est le CSIRT pour les entités du secteur privé ; le CCN-CERT gère l’administration publique et les infrastructures critiques. La législation de transposition NIS2 de l’Espagne désignera des autorités compétentes sectorielles alignées sur les régulateurs existants (CNMC pour les télécommunications, Banque d’Espagne/CNMV pour les entités financières, CNE pour l’énergie, etc.).

Comment BMC Peut Vous Aider

Nous aidons les entreprises dans l’analyse de leur périmètre NIS2, les évaluations des écarts par rapport aux mesures techniques et organisationnelles requises, les examens de sécurité de la chaîne d’approvisionnement, la rédaction des plans de réponse aux incidents, les programmes de gouvernance de la cybersécurité au niveau du conseil d’administration et la coordination avec INCIBE lors du processus d’enregistrement et de notification.

Questions fréquentes

Quelles entreprises espagnoles sont soumises à la directive NIS2 ?
NIS2 s'applique aux entreprises de taille moyenne et grande (50 salariés ou plus ou 10 millions EUR ou plus de chiffre d'affaires annuel) opérant dans des secteurs classés comme essentiels ou importants. Les secteurs essentiels comprennent l'énergie, les transports, les services bancaires, la santé, l'eau potable et les infrastructures numériques. Les secteurs importants comprennent les services postaux, la gestion des déchets, les produits chimiques, la production alimentaire, l'industrie manufacturière, les prestataires numériques et les organismes de recherche. L'Espagne finalise sa législation de transposition nationale, les obligations de conformité devant être pleinement applicables en 2025.
Quelles mesures de cybersécurité NIS2 requiert-elle ?
NIS2 exige que les entités réglementées mettent en œuvre des mesures techniques, opérationnelles et organisationnelles pour gérer les risques de cybersécurité, couvrant : l'analyse des risques et les politiques de sécurité, la détection et la réponse aux incidents, la planification de la continuité des activités, la sécurité de la chaîne d'approvisionnement, le développement et la maintenance sécurisés des systèmes de réseau, les politiques de cryptographie et de chiffrement, la sécurité des ressources humaines et le contrôle des accès, et l'authentification multifacteur. Les mesures doivent être appropriées et proportionnées à la taille et à l'exposition aux risques de l'entité.
Dans quel délai une entreprise réglementée par NIS2 doit-elle signaler un incident de cybersécurité ?
NIS2 impose un calendrier strict de signalement des incidents en trois étapes. Une alerte précoce doit être envoyée au CSIRT national ou à l'autorité compétente dans les 24 heures suivant la prise de conscience d'un incident significatif. Une notification détaillée de l'incident doit suivre dans les 72 heures. Un rapport final complet doit être soumis dans le mois suivant la notification initiale. En Espagne, les entités du secteur privé signalent à INCIBE-CERT ; les entités de l'administration publique et des infrastructures critiques signalent au CCN-CERT.
Les dirigeants d'entreprise peuvent-ils être personnellement responsables en cas de non-conformité à NIS2 ?
Oui. NIS2 place explicitement la responsabilité sur les organes de direction. Les conseils d'administration et la direction générale doivent approuver les mesures de gestion des risques de cybersécurité et superviser leur mise en œuvre. Les autorités de surveillance ont le pouvoir de suspendre temporairement le personnel de direction responsable d'infractions dans les entités essentielles. Le personnel de direction est tenu de suivre une formation en cybersécurité pour s'assurer qu'il peut évaluer les cyber-risques et leur impact commercial.
Quelles sont les pénalités en cas de non-conformité à NIS2 en Espagne ?
NIS2 introduit des pénalités échelonnées similaires au RGPD. Les entités essentielles (énergie, services bancaires, santé, etc.) risquent des amendes allant jusqu'à 10 millions EUR ou 2 % du chiffre d'affaires annuel mondial total, selon le montant le plus élevé. Les entités importantes risquent des amendes allant jusqu'à 7 millions EUR ou 1,4 % du chiffre d'affaires mondial. Au-delà des sanctions financières, les autorités de surveillance peuvent émettre des instructions contraignantes, imposer des audits de sécurité indépendants et interdire temporairement à des personnes d'exercer des fonctions de direction dans des entités essentielles.

Service associé

Legal

Découvrez nos services dans ce domaine

Secteurs associés

Technologies & Startups Télécommunications & Opérateurs de Réseaux

Termes associés

ISO 27001 (Système de management de la sécurité de l'information) RGPD en Espagne (LOPD-GDD) RSSI (Responsable de la Sécurité des Systèmes d'Information) Conformité intégrée
Retour au glossaire

Demandez une consultation personnalisée

Nos experts sont prêts à analyser votre situation et vous proposer des solutions sur mesure.

Consultation gratuite
Appeler Contact