Le faux répit du report : ce que la directive NIS2 ne change pas pour les DSI
Le report de la transposition nationale de la directive NIS2 à juillet 2026 ne modifie ni le niveau d’exigence ni l’ampleur de la conformité attendue des DSI. La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, sur des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union, renforce déjà le cadre de conformité NIS pour les entreprises et les entités essentielles, avec des sanctions pouvant atteindre plusieurs millions d’euros de chiffre d’affaires mondial. Pour une entreprise classée parmi les entités essentielles, la NIS2 prévoit des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires (article 34), ce qui place la cybersécurité au rang de priorité stratégique pour toute direction informatique.
Ce faux répit masque aussi un changement de gouvernance, car la responsabilité personnelle des dirigeants est désormais engagée en cas de manquements manifestes à la sécurité informatique. La directive NIS2 impose aux conseils d’administration et aux comités exécutifs de démontrer la mise en place de mesures de gestion des risques cyber, de gestion de crise et de continuité d’activité, ce qui transforme la conformité NIS en sujet de pilotage central pour la DSI. Dans ce contexte, la mise en conformité ne peut plus être vue comme un projet purement technique de systèmes d’information, mais comme une mise en œuvre structurée de gouvernance des risques à l’échelle de l’entreprise, avec des comptes rendus réguliers au COMEX et au conseil.
Les pouvoirs de supervision de l’ANSSI évoluent aussi, avec la possibilité de conduire des audits proactifs sur les entités essentielles sans incident préalable déclaré. Cette capacité d’audit renforce la pression sur les entreprises et sur les DSI, qui doivent pouvoir démontrer la mise en œuvre effective des mesures de sécurité informatique et de gestion des risques cyber, et pas seulement l’existence de politiques sur le papier. Pour les DSI d’entreprises opérant des services critiques ou une supply chain sensible, la directive NIS2 et la directive DORA créent un continuum d’exigences qui couvre à la fois les systèmes d’information internes et la chaîne d’approvisionnement numérique, en incluant les prestataires cloud et les opérateurs de services numériques.
Lire le ReCyF en DSI : prioriser la mise en conformité NIS2 par chantiers
Le Référentiel Cyber France, ou ReCyF, publié par l’ANSSI dans son communiqué de présentation du référentiel, fournit une base de travail opérationnelle pour la mise en conformité NIS2 des DSI, même avant la publication du texte national. Ce référentiel, dans sa version de référence utilisée par de nombreuses organisations, structure les exigences de cybersécurité autour de grands domaines de gestion des risques, de gouvernance, de sécurité informatique opérationnelle et de gestion de crise, ce qui permet aux DSI de cartographier rapidement les écarts de maturité. En pratique, la mise en œuvre commence par une cartographie des systèmes d’information, des services critiques et des entités essentielles, afin de situer précisément la place de chaque actif dans la continuité d’activité de l’entreprise et dans la chaîne de valeur.
Pour un DSI, la première lecture du ReCyF doit se faire avec une grille de gestion des risques cyber qui relie chaque exigence à un impact métier concret sur le chiffre d’affaires, la continuité d’activité ou la réputation. Cette approche permet de prioriser la mise en place des mesures de sécurité sur les services numériques qui soutiennent directement la chaîne d’approvisionnement, la supply chain logistique ou les services aux clients finaux. La directive NIS2 impose aussi une attention particulière aux dépendances de la chaîne d’approvisionnement numérique, ce qui oblige à intégrer la gouvernance des tiers et des prestataires dans la stratégie de conformité NIS des entreprises, avec des critères de sélection et de suivi plus exigeants.
Le ReCyF offre un langage commun entre RSSI, DSI et direction générale pour structurer la mise en conformité, en rapprochant les exigences NIS2 des pratiques de gestion existantes. Les DSI peuvent ainsi aligner les chantiers NIS entreprises avec les programmes déjà engagés sur l’identité numérique, la gestion des accès, la supervision cyber et la gestion de crise, tout en intégrant les obligations de la directive DORA pour les services financiers le cas échéant. En procédant par vagues de mise en œuvre, les DSI renforcent progressivement le niveau de maturité de la cybersécurité, tout en préparant les preuves nécessaires en cas d’audit ou d’incident majeur, comme des tableaux de bord, des journaux de sécurité et des comptes rendus d’exercices.
Quatre chantiers NIS2 que les DSI ne peuvent plus différer
Le premier chantier critique pour la NIS2 conformité DSI concerne la cartographie détaillée des systèmes d’information et des services essentiels, y compris les interconnexions avec la supply chain et la chaîne d’approvisionnement numérique. Cette cartographie doit intégrer les entités essentielles, les flux de données, les dépendances aux prestataires cloud et aux opérateurs de services numériques, afin de documenter précisément la place de chaque composant dans la continuité d’activité. Sans cette vision consolidée, la gestion des risques cyber et la mise en place de mesures de sécurité adaptées restent théoriques et fragilisent la capacité de l’entreprise à répondre à un incident majeur, comme une attaque par rançongiciel ou une indisponibilité prolongée d’un fournisseur clé.
Pour rendre ces chantiers plus concrets, de nombreuses DSI s’appuient sur un plan de déploiement par étapes. Comme le résume un RSSI de groupe industriel en 2024 : « NIS2 n’est pas un projet de plus, c’est le fil conducteur qui nous oblige à prioriser et à documenter ce que nous faisions déjà de manière partielle. » Un cas typique est celui d’un opérateur de services numériques qui commence par cartographier ses environnements de production, puis étend progressivement la démarche aux filiales et aux prestataires critiques. Dans ce type de projet, la DSI suit quelques indicateurs simples : pourcentage d’actifs cartographiés, nombre d’applications critiques disposant d’un plan de continuité, taux de contrats fournisseurs intégrant des clauses de cybersécurité.
Checklist opérationnelle et chronologique des quatre chantiers NIS2
0–3 mois : cartographie et analyse d’impact
– Objectif : disposer d’une vision exhaustive des systèmes d’information, des services essentiels et des entités essentielles.
– Actions clés : inventaire des actifs, identification des services critiques, cartographie des flux avec la supply chain et les prestataires cloud, qualification des dépendances numériques.
– Responsabilités type : DSI pilote, RSSI en maîtrise d’ouvrage sécurité, contribution des responsables métiers pour qualifier les impacts sur la continuité d’activité.
3–9 mois : gestion des identités, des accès et segmentation
– Objectif : renforcer le socle de sécurité informatique exigé par la directive NIS2 et par la directive DORA dans les secteurs financiers.
– Actions clés : refonte des processus de gestion des comptes, intégration des annuaires, segmentation des privilèges, déploiement de contrôles d’accès renforcés, traçabilité des activités sensibles, supervision continue des droits dans l’ensemble des systèmes d’information.
– Responsabilités type : DSI pour l’architecture et les outils IAM, RSSI pour la définition des règles de sécurité, validation par la direction générale pour les profils à privilèges élevés.
6–12 mois : gouvernance des tiers et de la supply chain
– Objectif : intégrer les fournisseurs et prestataires critiques dans la gestion globale des risques cyber, en cohérence avec les attentes de l’Union européenne.
– Actions clés : formalisation d’exigences de cybersécurité dans les contrats, évaluation de la maturité des fournisseurs, suivi des plans de remédiation, intégration des risques tiers dans le registre de risques de l’entreprise.
– Responsabilités type : DSI et achats pour la contractualisation, RSSI pour les exigences techniques, COMEX pour l’arbitrage sur les prestataires stratégiques.
Tests réguliers de gestion de crise et continuité d’activité
– Objectif : disposer d’un plan de gestion de crise cyber robuste, capable de démontrer la résilience de l’entreprise face aux menaces les plus sévères.
– Actions clés : élaboration de scénarios d’incident, définition des procédures de communication interne et externe, organisation d’exercices de crise réguliers, retour d’expérience systématique pour améliorer les plans de continuité d’activité.
– Responsabilités type : DSI et RSSI pour la préparation des scénarios, direction de la communication pour les messages externes, COMEX pour la validation des décisions stratégiques et la participation aux exercices majeurs.
Références chiffrées clés sur la NIS2 et la conformité des DSI
- Sanctions maximales prévues pour les entités essentielles : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, ce qui place la conformité NIS2 au niveau des enjeux financiers du RGPD (article 34 de la directive (UE) 2022/2555).
- Sanctions maximales prévues pour les entités importantes : jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial, ce qui impose une gouvernance de la cybersécurité structurée même pour les entreprises de taille intermédiaire.
- Extension du périmètre NIS2 à plusieurs centaines de milliers d’entités dans l’Union européenne, incluant des opérateurs de services essentiels, des fournisseurs de services numériques et des acteurs clés de la chaîne d’approvisionnement, bien au-delà des seuls opérateurs d’importance vitale.
- Renforcement des pouvoirs de supervision des autorités nationales, avec la possibilité de conduire des audits proactifs sans incident préalable pour vérifier la mise en œuvre effective des mesures de sécurité, y compris la gestion des incidents et la notification aux autorités compétentes.
Questions fréquentes des DSI sur la NIS2 et la conformité
La NIS2 s’applique t elle à toutes les entreprises ou seulement aux opérateurs critiques ?
La directive NIS2 ne vise pas toutes les entreprises, mais elle élargit considérablement le périmètre par rapport à la première directive NIS. Elle s’applique aux entités essentielles et aux entités importantes opérant dans des secteurs jugés critiques ou fortement dépendants du numérique, comme l’énergie, les transports, la santé, les infrastructures numériques, les services financiers ou certains services publics. De nombreuses entreprises de taille intermédiaire se retrouvent ainsi concernées, directement ou via leur rôle dans la chaîne d’approvisionnement de grands opérateurs, ce qui impose aux DSI de vérifier précisément le statut de leur organisation.
Comment un DSI peut il démarrer la mise en conformité NIS2 avant la transposition nationale ?
Un DSI peut s’appuyer sur le Référentiel Cyber France de l’ANSSI pour structurer dès maintenant la mise en conformité NIS2, même en l’absence de décret national définitif. La démarche consiste à cartographier les systèmes d’information critiques, à évaluer le niveau de maturité de la cybersécurité, puis à lancer des chantiers prioritaires sur la gestion des identités, la gouvernance des tiers et la gestion de crise. Cette anticipation permet de réduire le risque de non conformité future et de mieux préparer les échanges avec les autorités en cas d’audit ou d’incident majeur, tout en donnant de la visibilité au COMEX sur l’effort à fournir.
Quel lien existe entre la directive NIS2 et la directive DORA pour les DSI du secteur financier ?
Pour les DSI du secteur financier, la directive NIS2 et la directive DORA forment un cadre cohérent de gestion des risques numériques, couvrant à la fois la sécurité informatique, la résilience opérationnelle et la gouvernance des prestataires. NIS2 impose des exigences transverses de cybersécurité et de gestion des incidents, tandis que DORA détaille les obligations spécifiques liées aux services financiers et aux prestataires TIC critiques. Les DSI doivent donc articuler leurs programmes de conformité pour éviter les redondances et démontrer une approche intégrée de la résilience numérique, en harmonisant les contrôles, les indicateurs et les plans de tests.
Comment articuler la NIS2 avec les programmes de cybersécurité déjà en place dans l’entreprise ?
La NIS2 ne remplace pas les programmes de cybersécurité existants, mais elle impose de les structurer autour d’une gouvernance des risques plus formalisée et de preuves de mise en œuvre. Les DSI peuvent capitaliser sur les politiques, les outils et les processus déjà déployés, en les alignant sur les exigences du ReCyF et en comblant les écarts identifiés lors des audits internes. L’objectif est de transformer les initiatives techniques en un dispositif de conformité démontrable, soutenu par la direction générale et intégré aux processus de gestion des risques de l’entreprise, avec des indicateurs de suivi partagés.
Quels sont les principaux risques pour un DSI qui attend la transposition nationale avant d’agir ?
Attendre la transposition nationale expose le DSI à un risque de calendrier, avec un effet de rattrapage difficilement tenable sur des chantiers lourds comme la cartographie des systèmes d’information ou la refonte de la gestion des identités. Ce choix augmente aussi le risque de non conformité en cas d’audit ou d’incident survenant avant que les mesures ne soient pleinement déployées, alors que la responsabilité des dirigeants est déjà engagée. Enfin, il prive la DSI d’un levier puissant pour structurer le dialogue avec le COMEX autour de la cybersécurité, de la continuité d’activité et de la protection du chiffre d’affaires, en particulier dans les secteurs où la dépendance au numérique est devenue critique.
Références
- Agence nationale de la sécurité des systèmes d’information (ANSSI) – Communiqué de présentation du Référentiel Cyber France (ReCyF) et précisions sur le calendrier de transposition de la directive NIS2 en droit français.
- Référentiel Cyber France (ReCyF) – Version de référence publiée par l’ANSSI pour la mise en œuvre des exigences NIS2, utilisée comme base d’autoévaluation par de nombreuses DSI.
- Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (directive NIS2) – Articles relatifs aux entités essentielles, aux entités importantes, aux pouvoirs de supervision et au régime de sanctions (notamment l’article 34).
- Banque des Territoires / IT for Business – Analyses sur la transposition de NIS2 et ses impacts pour les DSI, avec un focus sur les entités essentielles, les entités importantes et la gouvernance de la cybersécurité.