Kecvn : Publication via Quaero Hub

2026-06-12T21:36:55Z

Publication via Quaero Hub

← Version précédente		Version du 12 juin 2026 à 17:36
Ligne 134 :		Ligne 134 :
	[[Catégorie:Droit de l'Union européenne]]		[[Catégorie:Droit de l'Union européenne]]
	[[Catégorie:Sécurité des systèmes d'information]]		[[Catégorie:Sécurité des systèmes d'information]]

			[[Catégorie:Cybersécurité]]

Kecvn : Publication via Quaero Hub

2026-06-07T17:23:02Z

Publication via Quaero Hub

Nouvelle page

La '''directive NIS''' (''Network and Information Security''), officiellement désignée directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, est le premier instrument législatif européen dédié à la [[Cybersécurité|cybersécurité]] des réseaux et des systèmes d'information à l'échelle de l'Union européenne. Publiée au Journal officiel de l'Union européenne le 19 juillet 2016 et entrée en vigueur le 8 août 2016, elle impose aux États membres de se doter de capacités nationales de sécurité, d'instaurer une coopération entre eux et de fixer des obligations de sécurité pour des opérateurs clés de l'économie numérique. Elle a été abrogée et remplacée par la [[Directive NIS2|directive NIS 2]] (directive (UE) 2022/2555), dont la transposition était attendue au plus tard le 17 octobre 2024.

== Contexte et genèse ==

Avant l'adoption de la directive NIS, la réglementation européenne en matière de sécurité des systèmes d'information était fragmentée. Seul le secteur des communications électroniques disposait d'obligations harmonisées, issues de la directive-cadre 2009/140/CE. La multiplication des [[Cyberattaque|cyberattaques]] d'envergure contre des infrastructures étatiques et industrielles — notamment les incidents en Estonie en 2007, en Géorgie en 2008 et les attaques visant des réseaux industriels européens entre 2010 et 2014 — a mis en évidence l'absence d'un cadre commun contraignant.

La Commission européenne a présenté sa proposition de directive en février 2013, assortie d'une stratégie européenne pour la cybersécurité. Après trois ans de négociations en trilogue entre le Parlement européen, le Conseil de l'Union européenne et la Commission, le texte définitif a été adopté le 6 juillet 2016. Les États membres disposaient jusqu'au 9 mai 2018 pour transposer la directive en droit national et jusqu'au 9 novembre 2018 pour identifier et notifier leurs opérateurs de services essentiels à la Commission. Une clause de révision imposait à la Commission de soumettre un rapport d'évaluation au Parlement européen avant le 9 mai 2019.

== Champ d'application ==

=== Opérateurs de services essentiels ===

La directive NIS s'applique en premier lieu aux [[Opérateur de services essentiels|opérateurs de services essentiels]] (OSE), définis comme des entités publiques ou privées dont la fourniture de services repose sur des réseaux et systèmes d'information et dont une perturbation aurait un impact significatif sur l'économie ou la société. Sept secteurs sont couverts :

{| class="wikitable"
|-
! Secteur !! Sous-catégories visées
|-
| Énergie || Électricité (transport, distribution), gaz naturel (transport, distribution, stockage, GNL), pétrole (pipelines, stockage)
|-
| Transport || Aérien, ferroviaire, maritime et fluvial, routier (gestionnaires d'ITS)
|-
| Banque || Établissements de crédit au sens de la directive 2013/36/UE
|-
| Infrastructures des marchés financiers || Plates-formes de négociation, contreparties centrales (CCP)
|-
| Santé || Hôpitaux et cliniques privées, établissements de soins de santé
|-
| Eau potable || Distributeurs et fournisseurs d'eau destinée à la consommation humaine (hors petites structures)
|-
| Infrastructure numérique || Points d'échange Internet (IXP), fournisseurs de services DNS, registres de noms de domaine de premier niveau (TLD)
|}

Chaque État membre était responsable d'identifier, sur son territoire, quelles entités relevaient de la qualité d'OSE, en appliquant les critères du texte et des lignes directrices du [[Groupe de coopération NIS]]. Cette marge d'appréciation nationale a conduit à des écarts importants : certains États membres ont désigné moins de vingt OSE, d'autres plusieurs centaines.

=== Fournisseurs de services numériques ===

La directive s'applique également aux [[Fournisseur de service numérique|fournisseurs de services numériques]] (FSN), soumis à un régime allégé par rapport aux OSE. Trois catégories sont visées : les places de marché en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage (''cloud computing''). Contrairement aux OSE, les FSN font l'objet d'une supervision ex post : les autorités nationales n'interviennent qu'en cas d'indices de non-conformité ou d'incident avéré. Les microentreprises et petites entreprises (moins de 50 salariés et chiffre d'affaires ou bilan total annuel inférieur à 10 millions d'euros) sont exclues du champ des FSN.

== Obligations des opérateurs ==

=== Mesures de sécurité ===

Les entités assujetties doivent prendre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d'information. La directive identifie cinq domaines prioritaires sans prescrire de mesures techniques précises :

* La [[Gestion des risques informatiques|gestion des risques]] pesant sur les systèmes d'information, incluant l'identification des actifs critiques et l'évaluation des menaces ;
* La prévention et la minimisation de l'impact des incidents de sécurité ;
* La [[Réponse aux incidents de sécurité|réponse aux incidents]] et la gestion de crise ;
* Le [[Plan de continuité d'activité|plan de continuité d'activité]] pour assurer la résilience des services essentiels en cas d'incident majeur ;
* La supervision, l'[[Audit de cybersécurité|audit de cybersécurité]] et les tests réguliers des mesures en place.

La directive renvoie aux bonnes pratiques et aux normes internationales, notamment l'[[ISO/IEC 27001]], sans les rendre obligatoires. Elle encourage le recours à des standards européens ou internationaux reconnus.

=== Notification des incidents ===

Les OSE et FSN sont tenus de notifier, sans délai indu, les incidents ayant un impact significatif sur la continuité des services essentiels ou numériques qu'ils fournissent. La notification est adressée à l'autorité nationale compétente ou au CSIRT national désigné. Pour les FSN établis dans plusieurs États membres, la notification s'effectue auprès de l'autorité de l'État membre dans lequel l'entité a son établissement principal au sein de l'Union.

L'appréciation du caractère « significatif » d'un incident repose sur des critères cumulatifs définis par la Commission dans le règlement d'exécution (UE) 2018/151 : nombre d'utilisateurs affectés, durée de l'incident, étendue géographique, degré de perturbation du service et impact économique estimé. La directive n'impose pas de délai maximal chiffré pour la notification initiale, lacune corrigée par la directive NIS 2.

== Gouvernance et coopération européenne ==

=== Autorités nationales compétentes ===

Chaque État membre devait désigner une ou plusieurs autorités nationales compétentes chargées de la mise en œuvre, du suivi et du contrôle de la directive sur son territoire. En France, cette mission a été confiée à l'[[ANSSI|Agence nationale de la sécurité des systèmes d'information (ANSSI)]], qui dispose des pouvoirs d'enquête, d'audit et d'injonction nécessaires.

=== CSIRTs nationaux ===

La directive impose à chaque État membre de se doter d'une ou plusieurs équipes de réponse aux incidents de sécurité informatique (CSIRT — ''Computer Security Incident Response Team''), chargées de surveiller les incidents à l'échelle nationale, de diffuser des alertes et d'assister les opérateurs touchés. En France, le [[CERT-FR]] remplit ce rôle au sein de l'ANSSI. Il constitue le point de contact national pour les échanges opérationnels au sein du réseau européen des CSIRT.

=== Groupe de coopération NIS ===

Le [[Groupe de coopération NIS]] réunit les représentants des États membres, de la Commission européenne et de l'[[ENISA]] (Agence de l'Union européenne pour la cybersécurité). Institué par l'article 11 de la directive, il a pour mission de faciliter l'échange d'informations stratégiques, d'élaborer des lignes directrices et d'assurer la cohérence des approches nationales. Le groupe se réunit plusieurs fois par an et publie des documents techniques sur des sujets tels que la notification des incidents, la sécurité de la chaîne d'approvisionnement ou les critères d'identification des OSE.

=== Réseau des CSIRT ===

Distinct du groupe de coopération, le réseau des CSIRT rassemble les équipes nationales de réponse aux incidents pour favoriser l'échange d'informations opérationnelles et la coordination lors d'incidents transfrontaliers. L'ENISA en assure le secrétariat. Ce réseau a notamment été sollicité lors de la gestion de l'épidémie de [[Ransomware|rançongiciel]] WannaCry en mai 2017, survenue avant même la fin du délai de transposition de la directive.

== Transposition en France ==

La France a transposé la directive NIS par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité. Le décret n° 2018-384 du 23 mai 2018 a précisé les modalités d'application, notamment les règles de sécurité et les procédures de désignation des OSE. Des arrêtés sectoriels, publiés entre 2018 et 2021, ont ensuite fixé les règles de sécurité propres à chaque secteur couvert.

Le droit français distingue soigneusement les opérateurs de services essentiels au sens de la directive NIS des [[Opérateur d'importance vitale|opérateurs d'importance vitale]] (OIV), notion préexistante issue de la loi de programmation militaire du 18 décembre 2013. Un même opérateur peut relever simultanément des deux régimes, avec des obligations cumulatives et potentiellement redondantes. L'ANSSI a publié des guides méthodologiques sectoriels pour aider les entités concernées à se conformer aux deux référentiels.

Les contrôles de conformité peuvent prendre la forme d'[[Audit de cybersécurité|audits de cybersécurité]] réalisés par des prestataires qualifiés PASSI (Prestataires d'audit de la sécurité des systèmes d'information) référencés par l'ANSSI, ou par l'ANSSI elle-même. La désignation comme OSE est prononcée par arrêté du Premier ministre, sur proposition de l'ANSSI, après consultation du ou des ministres de tutelle concernés.

== Impact et bilan ==

=== Adoption par les États membres ===

Au 9 mai 2018, date limite de transposition, une majorité d'États membres n'avaient pas achevé le processus législatif national. La Commission européenne a engagé des procédures d'infraction contre plusieurs d'entre eux. Au total, la transposition effective s'est étalée jusqu'en 2020 pour certains pays. Le nombre total d'OSE identifiés dans l'ensemble de l'Union européenne s'élevait à environ 5 000 entités à la fin 2019, avec des disparités très marquées entre États membres.

=== Limites identifiées ===

L'évaluation de la directive publiée par la Commission européenne en décembre 2020 a mis en évidence plusieurs insuffisances structurelles :

* Un champ d'application jugé trop étroit, excluant des secteurs critiques tels que les administrations publiques, la gestion des eaux usées, la fabrication de produits critiques (dispositifs médicaux, produits chimiques), l'espace ou les services postaux.
* Des niveaux d'exigence et de contrôle très hétérogènes entre États membres, fragilisant la cohérence du marché intérieur numérique et créant des distorsions de concurrence.
* Une absence d'harmonisation des critères d'identification des opérateurs, certains États membres en ayant désigné moins de vingt, d'autres plusieurs centaines.
* Des mécanismes de coopération insuffisamment opérationnels face à des incidents majeurs transfrontaliers.
* Une responsabilisation insuffisante des dirigeants des entités concernées, la directive ne prévoyant pas d'obligation explicite pour les organes de direction.

=== Effets positifs sur les pratiques ===

Malgré ces limites, la directive NIS a contribué à structurer la gouvernance de la cybersécurité dans de nombreux États membres. Elle a professionnalisé le rôle du [[Responsable de la sécurité des systèmes d'information|responsable de la sécurité des systèmes d'information]] (RSSI) au sein des organisations concernées et diffusé des référentiels communs. En France, plusieurs centaines d'opérateurs ont réalisé leurs premiers audits de sécurité formels à la suite de leur désignation comme OSE, et l'ANSSI a renforcé ses effectifs de contrôle pour traiter les dossiers.

== Vers la directive NIS 2 ==

Face aux insuffisances constatées, la Commission européenne a présenté en décembre 2020 une proposition de révision substantielle. La [[Directive NIS2|directive NIS 2]] (directive (UE) 2022/2555) a été adoptée le 14 novembre 2022, publiée au Journal officiel de l'Union européenne le 27 décembre 2022 et est entrée en vigueur le 16 janvier 2023. Elle abroge et remplace la directive NIS avec effet au 18 octobre 2024.

Les principales évolutions introduites par NIS 2 comprennent :

* L'extension du champ d'application à 18 secteurs, avec une distinction entre entités « essentielles » et entités « importantes », soumises à des régimes de supervision distincts.
* Un régime de sanctions administratives harmonisé : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles, jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes.
* Une harmonisation des délais de notification des incidents : rapport initial dans les 24 heures, notification complète sous 72 heures, rapport final dans le mois.
* La responsabilisation explicite des organes de direction, qui peuvent être personnellement tenus responsables en cas de manquements graves.
* Le renforcement des exigences relatives à la sécurité de la chaîne d'approvisionnement numérique.
* La suppression de la distinction OSE/FSN au profit d'un critère de taille (entités moyennes et grandes) complété par des critères d'impact.

== Voir aussi ==

* [[ANSSI]]
* [[Directive NIS2]]
* [[Cybersécurité]]
* [[Opérateur d'importance vitale]]
* [[CERT-FR]]
* [[ISO/IEC 27001]]
* [[Audit de cybersécurité]]
* [[Réponse aux incidents de sécurité]]
* [[Responsable de la sécurité des systèmes d'information]]
* [[Gestion des risques informatiques]]
* [[Plan de continuité d'activité]]

[[Catégorie:Cybersécurité]]
[[Catégorie:Droit de l'Union européenne]]
[[Catégorie:Sécurité des systèmes d'information]]

Directive NIS - Historique des versions

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub