La directive NIS 2 (SRI 2) énumère de façon claire tous les secteurs et sous-secteurs (industries) qui doivent se conformer à la directive européenne en matière de cybersécurité. Cependant, il existe de nombreuses exceptions à cette liste et la distinction entre entités essentielles et importantes est assez difficile à comprendre ; j’explique clairement dans cet article qui doit se conformer et sous quelles conditions.
Les moyennes et grandes entreprises des secteurs suivants doivent se conformer à NIS 2 : énergie ; transports ; secteur bancaire ; Infrastructures des marchés financiers ; santé ; eau potable ; eux usées ; infrastructure numérique ; gestion des services TIC (interentreprises) ; administration publique ; espace ; services postaux et d’expédition ; gestion des déchets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution de denrées alimentaires ; fabrication ; fournisseurs numériques ; et recherche.
Critères déterminant quelles entreprises doivent se conformer à NIS 2
Il existe trois critères définissant quelles organisations doivent se conformer à NIS 2 :
- 1) Emplacement – si elles fournissent des services ou exercent des activités dans tout pays de l’Union européenne (peu importe qu’elles soient établies dans l’UE ou non) ; et
- 2) Taille – si elles font partie des moyennes ou grandes organisations (voir les critères dans la section ci-dessous) ; et
- 3) Industrie – si elles exercent leurs activités dans l’un de 18 secteurs énumérés ci-dessous.
Il existe cependant quelques exceptions à ces règes (voir le tableau dans la section ci-dessous pour de plus amples explications).
Qu’est-ce que sont des entités essentielles et importantes ?
Les « entités essentielles » et les « entités importantes » sont ce que NIS 2 appelle des entreprises et d’autres organisations qui doivent se conformer à NIS 2.
NIS 2 définit les entités essentielles comme suit :
- Sociétés qui font partie des grandes entreprises (voir les critères dans la section suivante) et de l’un des 11 secteurs critiques (énumérés dans le tableau ci-dessous).
- Fournisseurs de services de confiance
- Fournisseurs de services DNS
- Réseaux publics de communications électroniques
- Entités de l’administration publique
- Toute entité critique selon la directive (UE) 2022/2557 sur la résilience des entités critiques (REC)
- Autres entités indiquées par les États membres
Les entités importantes sont toutes les autres organisations qui ne sont pas des entités essentielles mais qui relèvent des 3 critères susmentionnés dans la section précédente.
Présentation des secteurs et des entités essentielles et importantes
Dans la mesure où les explications précédentes provenant de NIS 2 sont quelque peu confuses, j’ai créé un tableau ci-dessous pour présenter les organisations qui doivent se conformer à NIS 2 et qui sont classées parmi les entités essentielles ou importantes.
Pour plus de clarté, voici comment l’UE classe les entreprises selon leur taille :
- Micro et petites organisations — si elles possèdent moins de 50 employés et réalisent moins de 10 millions d’euro de recettes annuelles.
- Moyennes organisations — si elles possèdent entre 50 et 250 employés et réalisent entre 10 et 50 millions d’euro de recettes annuelles.
- Grandes organisations — si elles possèdent plus de 250 employés et réalisent plus de 50 millions d’euro de recettes annuelles.
Secteur | Sous-secteur | Type d’entité | Micro et petites organisations* | Moyennes organisations | Grandes organisations |
Secteurs hautement critiques | |||||
1. Énergie | (a) Électricité | Entreprises d’électricité qui remplissent la fonction de « fourniture » | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
Gestionnaires de réseau de distribution | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Gestionnaires de réseau de transport | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Producteurs | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Opérateurs désignés du marché de l’électricité Acteurs du marché Exploitants d’un point de recharge |
(Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
(b) Réseaux de chaleur et de froid | Opérateurs de réseaux de chaleur ou de réseaux de froid | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | |
(c) Pétrole | Exploitants d’oléoducs | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | |
Exploitants d’installations de production, de raffinage, de traitement, de stockage et de transport de pétrole | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Entités centrales de stockage | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
(d) Gaz | Entreprises de fourniture | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | |
Gestionnaires de réseau de distribution | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Gestionnaires de réseau de transport | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Gestionnaires d’installation de stockage | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Gestionnaires d’installation de GNL | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Entreprises de gaz naturel | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Exploitants d’installations de raffinage et de traitement de gaz naturel | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
(e) Hydrogène | Exploitants de systèmes de production, de stockage et de transport d’hydrogène | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | |
2. Transports | (a) Transports aériens | Transporteurs aériens utilisés à des fins commerciales | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
Entités gestionnaires d’aéroports, aéroports, y compris les aéroports du réseau central, et entités exploitant les installations annexes se trouvant dans les aéroports | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Services du contrôle de la circulation aérienne | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
(b) Transports ferroviaires | Gestionnaires de l’infrastructure | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | |
Entreprises ferroviaires, y compris les exploitants d’installation de service | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
(c) Transports par eau | Sociétés de transport par voie d’eau intérieure, maritime et côtier de passagers et de fret, à l’exclusion des navires exploités à titre individuel par ces sociétés | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | |
Entités gestionnaires des ports, y compris les installations portuaires ainsi que les entités exploitant des infrastructures et des équipements à l’intérieur des ports | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Exploitants de services de trafic maritime (STM) | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
(d) Transports routiers | Autorités routières chargées du contrôle de la gestion de la circulation, à l’exclusion des entités publiques pour lesquelles la gestion de la circulation ou l’exploitation de systèmes de transport intelligents constituent une partie non essentielle de leur activité générale | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | |
Exploitants de systèmes de transport intelligents | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
3. Secteur bancaire | (sous-secteur non indiqué) | Établissements de crédit | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
4. Infrastructures des marchés financiers | (sous-secteur non indiqué) | Exploitants de plates-formes de négociation | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
Contreparties centrales | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
5. Santé | (sous-secteur non indiqué) | Prestataires de soins de santé | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
Laboratoires de référence de l’Union européenne | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Entités exerçant des activités de recherche et de développement dans le domaine des médicaments Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques Entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique (liste des dispositifs médicaux critiques en cas d’urgence de santé publique) |
(Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
6. Eau potable | (sous-secteur non indiqué) | Fournisseurs et distributeurs d’eaux destinées à la consommation humaine, à l’exclusion des distributeurs pour lesquels la distribution d’eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d’autres produits et biens | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
7. Eaux usées | (sous-secteur non indiqué) | Entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, les eaux ménagères usées ou les eaux industrielles usées, à l’exclusion des entreprises pour lesquelles la collecte, l’évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
8. Infrastructure numérique | (sous-secteur non indiqué) | Fournisseurs de points d’échange internet | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
Fournisseurs de services DNS, à l’exclusion des opérateurs de serveurs racines de noms de domaine | Entité essentielle | Entité essentielle | Entité essentielle | ||
Registres de noms de domaine de premier niveau | Entité essentielle | Entité essentielle | Entité essentielle | ||
Services d’enregistrement de noms de domaine | Entité importante | Entité importante | Entité importante | ||
Fournisseurs de services d’informatique en nuage | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Fournisseurs de services de centres de données | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Fournisseurs de réseaux de diffusion de contenu | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle | ||
Prestataires de services de confiance | Entité essentielle | Entité essentielle | Entité essentielle | ||
Fournisseurs de réseaux de communications électroniques publics | Entité importante | Entité essentielle | Entité essentielle | ||
Fournisseurs de services de communications électroniques accessibles au public | Entité importante | Entité essentielle | Entité essentielle | ||
9. Gestion des services TIC (interentreprises) | (sous-secteur non indiqué) | Fournisseurs de services gérés Fournisseurs de services de sécurité gérés |
(Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
10. Administration publique | (sous-secteur non indiqué) | Entités de l’administration publique des pouvoirs publics centraux définies comme telles par un État membre conformément au droit national | Entité essentielle | Entité essentielle | Entité essentielle |
Entités de l’administration publique au niveau régional définies comme telles par un État membre conformément au droit national | Entité essentielle | Entité essentielle | Entité essentielle | ||
Entités de l’administration publique au niveau local | (Si un État membre le décide) | (Si un État membre le décide) | (Si un État membre le décide) | ||
11. Espace | (sous-secteur non indiqué) | Exploitants d’infrastructures terrestres, détenues, gérées et exploitées par des États membres ou par des parties privées, qui soutiennent la fourniture de services spatiaux, à l’exclusion des fournisseurs de réseaux de communications électroniques publics | (Conformité à NIS 2 non requise) | Entité importante | Entité essentielle |
Autres secteurs critiques | |||||
1. Services postaux et d’expédition | (sous-secteur non indiqué) | Prestataires de services postaux, y compris les prestataires de services d’expédition | (Conformité à NIS 2 non requise) | Entité importante | Entité importante |
2. Gestion des déchets | (sous-secteur non indiqué) | Entreprises exécutant des opérations de gestion des déchets, à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas la principale activité économique | (Conformité à NIS 2 non requise) | Entité importante | Entité importante |
3. Fabrication, production et distribution de produits chimiques | (sous-secteur non indiqué) | Entreprises procédant à la fabrication de substances et à la distribution de substances ou de mélanges et entreprises procédant à la production d’articles, à partir de substances ou de mélanges | (Conformité à NIS 2 non requise) | Entité importante | Entité importante |
4. Production, transformation et distribution des denrées alimentaires | (sous-secteur non indiqué) | Entreprises du secteur alimentaire qui exercent des activités de distribution en gros ainsi que de production et de transformation industrielles | (Conformité à NIS 2 non requise) | Entité importante | Entité importante |
5. Fabrication | (a) Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro | Entités fabriquant des dispositifs médicaux et entités fabriquant des dispositifs médicaux de diagnostic in vitro, à l’exception des entités fabriquant des dispositifs médicaux | (Conformité à NIS 2 non requise) | Entité importante | Entité importante |
(b) Fabrication de produits informatiques, électroniques et optiques | Entreprises exerçant l’une des activités économiques | (Conformité à NIS 2 non requise) | Entité importante | Entité importante | |
(c) Fabrication d’équipements électriques | Entreprises exerçant l’une des activités économiques | (Conformité à NIS 2 non requise) | Entité importante | Entité importante | |
(d) Fabrication de machines et équipements n.c.a. | Entreprises exerçant l’une des activités économiques | (Conformité à NIS 2 non requise) | Entité importante | Entité importante | |
(e) Construction de véhicules automobiles, remorques et semi-remorques | Entreprises exerçant l’une des activités économiques | (Conformité à NIS 2 non requise) | Entité importante | Entité importante | |
(f) Fabrication d’autres matériels de transport | Entreprises exerçant l’une des activités économiques | (Conformité à NIS 2 non requise) | Entité importante | Entité importante | |
6. Fournisseurs numériques | (sous-secteur non indiqué) | Fournisseurs de places de marché en ligne | (Conformité à NIS 2 non requise) | Entité importante | Entité importante |
Fournisseurs de moteurs de recherche en ligne | (Conformité à NIS 2 non requise) | Entité importante | Entité importante | ||
Fournisseurs de plateformes de services de réseaux sociaux | (Conformité à NIS 2 non requise) | Entité importante | Entité importante | ||
7. Recherche | (sous-secteur non indiqué) | Organismes de recherche | (Conformité à NIS 2 non requise) | Entité importante | Entité importante |
Établissements d’enseignement, en particulier lorsqu’ils mènent des activités de recherche critiques | (Si un État membre le décide) | (Si un État membre le décide) | (Si un État membre le décide) |
*Les micro et moyennes organisations doivent également se conformer à NIS 2 dans les cas suivants :
- Si, selon l’article 2 paragraphe 2 de la directive NIS 2 :
- « (b) l’entité est, dans un État membre, le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques ;
- (c) une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;
- (d) une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ;
- (e) l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants dans l’État membre ; »
- Si un État membre a défini cette entité comme étant une « entité critique » selon la directive (UE) 2022/2557 sur la résilience des entités critiques (REC)
Qu’est-ce qui différencie les entités essentielles et importantes dans NIS 2 ?
Voici les principales différences dans la façon dont NIS 2 traite les entités essentielles et importantes :
- L’article 32 définit une supervision et des mesures d’exécution plus strictes pour les entités essentielles par rapport à celles définies à l’article 33 pour les entités importantes.
- L’article 34 définit des amendes supérieures pour les entités essentielles :
- Pour les entités essentielles – les amendes sont d’un montant maximal s’élevant à au moins 10 millions d’euro ou à au moins 2 % du chiffre d’affaires annuel total.
- Pour les entités importantes – les amendes sont d’un montant maximal s’élevant à au moins 7 millions d’euros ou à au moins 1,4 % du chiffre d’affaires annuel total.
Une portée bien plus grande que la précédente directive NIS
On estime à 100 000 le nombre d’entreprises devant se conformer à NIS 2, un chiffre bien plus important que ce qu’exigeait la précédente directive NIS. En outre, NIS 2 couvre également les entités importantes et essentielles qui fournissent des services dans tout pays de l’UE, même si ces entreprises sont établies en dehors de l’Union européenne.
Il y aura donc beaucoup de travail pour les professionnels de la cybersécurité.
Pour en savoir plus sur NIS 2, téléchargez ce livre blanc gratuit : Guide complet sur la directive NIS 2.