Newsletters

La France se lance enfin dans le chantier "NIS 2" pour sécuriser tout le tissu économique

Retardée par la dissolution de l'Assemblée nationale, la procédure d'adoption de la loi de transposition de la directive NIS 2 arrive enfin sur le bureau du Sénat. Ce texte augmente considérablement le nombre d'entités régulées - d'environ 300 à 15 000 - afin de renforcer leur capacité de résistance face aux cyberattaques. 

Alice Vitard
Cyber
Schluesseldienst - Pixabay
Cyber

La menace cyber continue de progresser : au cours de l’année 2024, l’Agence nationale de la sécurité des systèmes d'information (Anssi) a traité – avec "un degré d’engagement variable" – 4386 événements de sécurité, soit une augmentation de 15% par rapport à l’année 2023. Ces chiffres proviennent du "Panorama de la cybermenace" rédigé par le gendarme français.

Autrement dit : il est grand temps d'agir en protégeant tous les pans de l'économie. C'est l'ambition de la directive européenne NIS 2 (Network and Information Security), dont le projet de loi de transposition arrive ce 11 mars 2025 sur le bureau du Sénat en première lecture, avant d'être transféré à l'Assemblée nationale, qui l'examinera en "mai-juin", d'après le cabinet de Clara Chappaz, ministre déléguée auprès du ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, chargée de l'Intelligence artificielle et du Numérique.

Un contexte géopolitique tendu

"Ce n'est plus une question de est-ce que ça va nous arriver, mais quand est-ce que ça arrive ?", a rappelé la ministre déléguée lors d'une conférence de presse à laquelle L'Usine Digitale a participé. L'occasion pour elle de souligner l'attachement du gouvernement aux questions liées à la cybersécurité dans un contexte géopolitique particulièrement tendu. Le monde change et les textes doivent suivre.

"En 2018, l'Europe s'est dotée d'une régulation très ambitieuse dans la matière, mais la menace évolue très rapidement, et il nous faut absolument évoluer notre résilience et monter le niveau, c'est ce que nous faisons avec le projet de loi sur la résilience qui arrive au Sénat", a rappelé le cabinet faisant référence à la directive NIS 1 (adoptée en 2016 par l'UE avec un délai de deux ans pour la transposition nationale). 

La transposition de trois textes européens

Plus précisément, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité intègre trois textes européens dans le droit français : la directive NIS 2, la directive sur la résilience des entités critiques (REC ou CER pour Critical Entities Resilience) et le règlement Dora, pour Digital Operational Resilience Act, (contrairement à une directive, un règlement n'a en réalité pas besoin d'être transposé, il s'applique directement dans les Etats membres). Tandis que le règlement Dora est dédié au secteur financier, la directive REC vise à renforcer la résilience de toutes les infrastructures et services critiques face aux risques et aux crises, y compris les cyberattaques.

Le chantier est donc colossal et particulièrement technique. Le coeur du sujet est bien NIS 2. En effet, ce texte provoque un véritable changement d'échelle : alors que NIS 1 concernait "environ 300" opérateurs d'importance vitale (OIV)/opérateurs de services essentiels (OSE), NIS 2 touche "plus de 15 000 entités dans 18 secteurs différents", détaille le cabinet de la ministre. Dans le cadre de NIS 1, les entités ciblées étaient soumises à l'obligation de déclarer leurs incidents à l'Anssi ainsi qu'à mettre en oeuvre les mesures de sécurité nécessaires pour réduire fortement l'exposition de leurs systèmes les plus critiques aux risques cyber. 

Secteurs NIS 2

OIV/OSE à EE/EI

La directive européenne NIS 2 distingue deux catégories d'entités régulées : les entités essentielles (EE) et les entités importantes (EI). Pour aider les organisations, l'Anssi a créé un simulateur indicatif pour savoir si NIS 2 les concernent. Ce test est dans un premier temps focalisé sur les entreprises privées ou publiques. Il sera par la suite disponible pour les administrations publiques. 

Au sein du secteur privé, le véritable changement apporté par NIS 2 est l'intégration des TPE et PME dans le champ d'application du texte. Cette évolution était indispensable puisqu'elles sont particulièrement visées et touchées par les cyberattaques : en 2024, les PME/TPE/ETI ont constitué la catégorie d’entités la plus affectée par les compromissions par rançongiciel, d'après le rapport de l'Anssi. Or, elles représentent la majeure partie du tissu économique français. 

L'accompagnement des TPE-PME est un véritable challenge car, comme le rappelle l'Anssi, la majorité d'entre elles n'ont aucune expertise dans le numérique, et encore moins dans la sécurité informatique. Le même paradigme se retrouve pour les collectivités territoriales. Dans ce contexte, le média La Lettre révélait que des sénateurs souhaitaient assouplir les obligations auxquelles ces entités devront faire face "pour rendre la potion un peu moins amère". 

L'intégration du principe de proportionnalité

A propos des obligations, leur nombre diffère en fonction de la taille de l'entreprise, en vertu du principe de proportionnalité. Ce sont les articles 20 et 21 de la directive européenne qui définissent les mesures de gestion des risques minimales à mettre en oeuvre. Elles doivent au moins porter sur : 

  • les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
  • la gestion des incidents
  • la continuité des activités
  • la sécurité de la chaîne d'approvisionnement, la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information
  • des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
  • les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité, les politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement,
  • la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
  • l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité. 

La loi de transposition doit préciser ces mesures à travers un référentiel, en cours de rédaction par l'Anssi. Il s'articulera autour d'une vingtaine d'objectifs qui seront la traduction technique, opérationnelle et organisationnelle des mesures des articles 20 et 21 de la directive NIS 2, précise l'Agence. 

L'Anssi ne propose pas d'accompagnement financier

Or, bien qu'elle soit essentielle, la cybersécurité a un coût. L'addition sera particulièrement salée pour les entités ayant un mauvais niveau de sécurité numérique. Dans le cadre de sa mission d'accompagnement, l'Anssi ne propose aucun accompagnement financier. Dans sa foire aux questions dédiée, elle rappelle que la mise en œuvre des mesures de cybersécurité doit être perçue comme un investissement à long terme et que les cyberattaques peuvent avoir des conséquences financières dramatiques. 

Le chemin pourrait être encore long avant l'adoption définitive du texte. NIS 2 n'entrera en vigueur en France dès lors que l'ensemble des textes de transposition (loi, décrets, arrêtés) auront été promulgués. Il reste à voir quel équilibre trouvera le législateur français entre sous- transposition et surtransposition des nouvelles obligations. Mais une chose est sûre : il est urgent que le tissu économique se protège mieux face aux menaces. 

À lire aussi

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Consultant en Recrutement (H/F) - Rouen
Harry Hope - 16/04/2026 - CDI - Rouen
Expert en gestion des sites et sols pollués H/F
EGIS - 16/04/2026 - CDI - Bordeaux, Nouvelle-Aquitaine, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay