Conformité NIS2 : Agissez Avant que le Régulateur ne le Fasse

NIS2 — Directive (UE) 2022/2555 sur des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'Union — remplace la Directive NIS originale et étend considérablement le périmètre des obligations de cybersécurité obligatoires dans l'UE. Elle classifie les organisations dans 18 secteurs critiques comme « entités essentielles » ou « entités importantes » et les oblige à mettre en œuvre des mesures de gestion des risques (article 21), à signaler les incidents significatifs aux autorités nationales dans les 24 heures (alerte précoce) et 72 heures (rapport formel), et à s'assurer que leurs chaînes d'approvisionnement respectent des normes de sécurité adéquates. En Espagne, la transposition en droit national est attendue pour juin 2026 ; les autorités de supervision compétentes sont l'INCIBE (Instituto Nacional de Ciberseguridad) pour la plupart des entités privées et le CCN (Centro Criptológico Nacional) pour les entités publiques et leurs prestataires. Les amendes pour les entités essentielles atteignent 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

Notre équipe de conformité NIS2 combine une expertise juridique en réglementation technologique avec des connaissances techniques en cybersécurité, nous permettant d’aborder à la fois l’évaluation juridique du périmètre et la mise en œuvre pratique des contrôles qu’impose la directive.

La Réglementation de Cybersécurité la Plus Significative de l’Histoire de l’UE

NIS2 n’est pas une mise à jour progressive de la Directive NIS originale. C’est une refonte fondamentale qui transforme la cybersécurité d’une préoccupation technique en une obligation de gouvernance au niveau du conseil d’administration — avec une responsabilité personnelle des dirigeants, des amendes comparables au RGPD, et un périmètre qui s’étend à 18 secteurs critiques et leurs chaînes d’approvisionnement. La transposition espagnole attendue en juin 2026 intégrera ces obligations dans le droit interne, mais la réponse prudente est de commencer la mise en œuvre maintenant plutôt que d’attendre que la loi prenne effet formellement.

Périmètre : Plus Large que la Plupart des Entreprises ne l’Anticipent

La source la plus fréquente de surprises avec NIS2 est le périmètre. Les entreprises qui ne se considèrent pas opérateurs d’infrastructures critiques au sens traditionnel — plateformes logistiques, fournisseurs de services cloud, fabricants alimentaires, entreprises de dispositifs médicaux — sont capturées par la liste sectorielle élargie de la directive. L’exposition de la chaîne d’approvisionnement ajoute une couche supplémentaire : les organisations fournissant des services à des entités essentielles peuvent être contraintes par ces entités de démontrer une conformité équivalente à NIS2 comme condition de leurs contrats, bien avant qu’une autorité de supervision espagnole intervienne.

Notre évaluation du périmètre est une analyse juridique et technique formelle, pas un simple exercice de liste de contrôle. Elle produit une conclusion documentée qui peut être présentée au conseil d’administration, aux clients, et aux régulateurs.

Article 21 : Quels Contrôles Sont Réellement Requis

L’analyse des écarts par rapport aux exigences de l’article 21 est généralement là où les organisations découvrent le plus de travail à accomplir. La plupart disposent d’une forme quelconque de contrôles de cybersécurité, mais les exigences de NIS2 vont substantiellement plus loin : un cadre de gestion des risques formellement documenté et approuvé par le conseil d’administration, un programme de sécurité de la chaîne d’approvisionnement avec des obligations contractuelles, une authentification multi-facteurs et un chiffrement déployés sur tous les systèmes critiques, et — de façon critique — un protocole de notification des incidents testé capable de délivrer réellement une alerte précoce de 24 heures à l’autorité de supervision, pas seulement en théorie.

Pour les organisations poursuivant simultanément la certification ISO 27001, nous structurons le projet de conformité NIS2 pour maximiser le recoupement entre les deux cadres, évitant la duplication des efforts tout en veillant à ce que les exigences spécifiques de NIS2 non couvertes par la norme — documentation de la responsabilité du conseil, délais de notification des incidents, clauses relatives à la chaîne d’approvisionnement — soient intégralement traitées.

L’Exigence de Notification des Incidents

Les obligations de notification des incidents de NIS2 sont opérationnellement exigeantes. Une alerte précoce doit parvenir à l’autorité de supervision dans les 24 heures suivant la détection d’un incident significatif — avant l’analyse complète, avant la détermination de la cause racine, et souvent avant que l’incident soit entièrement contenu. Le rapport initial de 72 heures requiert plus de substance, et le rapport final d’un mois requiert un compte rendu complet de l’impact, de la cause et de la remédiation.

Pour les incidents affectant des données personnelles, ces délais courent en parallèle avec la fenêtre de notification de 72 heures du RGPD à l’AEPD. Nos équipes de protection des données et NIS2 coordonnent ces notifications conjointement, veillant à ce que les informations communiquées aux différentes autorités soient cohérentes et qu’aucun délai ne soit manqué dans l’urgence de l’autre.