
Comment savoir si votre organisation est soumise aux exigences de conformité NIS2
Lorsque l’ENISA a publié son dernier rapport sur le paysage des menaces en octobre 2024, elle a mis en avant une augmentation de 400 % des cyberattaques visant les infrastructures critiques dans l’UE. Cette hausse coïncide avec la date limite de mise en œuvre de la directive NIS2, laissant de nombreuses organisations dans l’urgence pour déterminer leurs obligations en matière de conformité. La Commission européenne estime que plus de 160 000 entités relèvent désormais du champ d’application élargi—une augmentation spectaculaire par rapport à la couverture initiale de la directive NIS.
Déterminer si votre organisation est soumise aux exigences de conformité NIS2 n’est pas simple. Le système de classification complexe de la directive combine le nombre d’employés, les seuils de chiffre d’affaires et des critères sectoriels spécifiques qui varient selon les États membres. Une mauvaise évaluation peut avoir des conséquences lourdes : les entités essentielles risquent des amendes administratives allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, tandis que les entités importantes encourent des pénalités allant jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires.
Cette analyse détaille les critères spécifiques, les méthodes de calcul et les subtilités réglementaires qui déterminent l’applicabilité de NIS2. Nous allons examiner des cas concrets, les complications liées aux opérations transfrontalières, ainsi que les étapes pratiques que les équipes de conformité doivent suivre avant la phase d’application effective.
Quelles normes de conformité des données sont essentielles ?
Résumé Exécutif
Quelle est l’idée principale ? La conformité NIS2 dépend de trois facteurs interdépendants : la taille de votre organisation (nombre d’employés et chiffre d’affaires), les secteurs dans lesquels vous opérez et votre présence géographique dans les États membres de l’UE. La directive adopte une approche par niveaux où les entités essentielles sont soumises à des exigences plus strictes que les entités importantes.
Pourquoi est-ce important ? Une mauvaise classification de votre statut NIS2 peut entraîner des pénalités de plusieurs millions d’euros et perturber vos opérations. Avec le début des contrôles par les autorités nationales, les organisations ont besoin de repères clairs pour déterminer leur périmètre et éviter les mauvaises surprises réglementaires, tout en mettant en place les mesures de cybersécurité appropriées.
Points clés à retenir
-
Le nombre d’employés détermine l’obligation de se conformer à NIS2
Les organisations comptant 50 employés ou plus dans les secteurs essentiels, ou 250 employés ou plus dans les secteurs importants, relèvent automatiquement du champ d’application de NIS2, quel que soit leur chiffre d’affaires.
-
Les entités actives dans plusieurs secteurs doivent respecter les exigences les plus strictes applicables
Les entreprises opérant dans plusieurs secteurs couverts par NIS2 doivent se conformer aux exigences les plus rigoureuses applicables à leurs activités principales.
-
Les opérations transfrontalières impliquent de traiter avec plusieurs autorités
Les organisations présentes dans plusieurs États membres de l’UE doivent s’enregistrer auprès de chaque autorité nationale concernée et peuvent être confrontées à des modalités de mise en œuvre différentes.
-
Les seuils de chiffre d’affaires dépendent de la classification sectorielle et du chiffre d’affaires du groupe
Les seuils de chiffre d’affaires annuel varient selon le secteur : 10 M€ pour les services essentiels, 50 M€ pour les entités importantes, calculés sur la base des chiffres consolidés du groupe.
-
La supervision et les sanctions varient selon la désignation sectorielle
Les entités essentielles font l’objet d’une supervision et de sanctions plus strictes que les entités importantes, avec des exigences sectorielles spécifiques définies par les autorités nationales.
Comprendre les seuils d’effectif déclenchant les obligations NIS2
La directive NIS2 fixe des seuils d’effectif clairs, mais la méthode de calcul surprend souvent les organisations. Les autorités compétentes nationales utilisent la moyenne des effectifs sur l’exercice précédent, en incluant les équivalents temps plein pour les temps partiels et les intérimaires.
Entités essentielles : le seuil de 50 employés
Les organisations fournissant des services essentiels—énergie, transport, banque, infrastructures de marché financier, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC et administration publique—sont soumises au seuil le plus bas. Toute entité comptant 50 employés ou plus est automatiquement concernée, quel que soit son chiffre d’affaires.
Cependant, les États membres conservent la possibilité d’inclure des entités plus petites si elles sont jugées critiques pour la sécurité nationale ou la stabilité économique. Par exemple, le BSI allemand a indiqué qu’il pourrait désigner certaines entités du secteur de l’énergie de moins de 50 employés en fonction de leur rôle dans la gestion du réseau.
Entités importantes : le seuil de 250 employés
Les entités importantes—couvrant les services postaux, la gestion des déchets, la fabrication de produits critiques, les fournisseurs de services numériques et les organismes de recherche—doivent employer au moins 250 personnes pour être soumises à l’obligation. Ce seuil s’aligne sur la définition européenne des PME, assurant une cohérence entre les cadres réglementaires.
À retenir : Les seuils d’effectif NIS2 ne se limitent pas au nombre d’employés : ils incluent les sous-traitants, intérimaires et ETP calculés sur 12 mois. #NIS2Compliance
Calculs de chiffre d’affaires : naviguer entre les seuils financiers
Les seuils de chiffre d’affaires fonctionnent en complément du nombre d’employés, créant un système à double critère qui inclut les organisations selon l’un ou l’autre. Les calculs s’appuient sur les chiffres consolidés du groupe, et non sur les revenus individuels des filiales—un détail qui élargit considérablement le champ pour les groupes internationaux.
Seuils de chiffre d’affaires pour les services essentiels
Les entités essentielles doivent dépasser 10 millions d’euros de chiffre d’affaires annuel. Ce seuil relativement bas reflète la volonté de la directive d’inclure les acteurs régionaux plus modestes dans les secteurs critiques. Par exemple, une régie municipale de l’eau avec 45 employés mais 12 millions d’euros de chiffre d’affaires relèvera tout de même de NIS2.
L’Autorité bancaire européenne a précisé que les institutions financières doivent utiliser le produit net bancaire plutôt que les métriques traditionnelles de chiffre d’affaires, tandis que les entreprises du secteur de l’énergie doivent inclure à la fois les revenus régulés et non régulés.
Entités importantes : le seuil de 50 millions d’euros
Les entités importantes sont soumises à un seuil de 50 millions d’euros, ce qui laisse une marge de manœuvre aux entreprises de taille moyenne. Cependant, ce calcul inclut les transactions intra-groupe, ce qui peut faire franchir le seuil à certaines organisations de façon inattendue.
Des industriels ont fait part de leurs préoccupations à la Commission européenne concernant cette méthodologie. Un équipementier automobile allemand a découvert que ses 45 millions d’euros de chiffre d’affaires externe passaient à 52 millions en incluant les ventes aux filiales du groupe.
À retenir : Les calculs de chiffre d’affaires NIS2 incluent les transactions intra-groupe—votre seuil réel peut être supérieur à ce que suggèrent vos ventes externes.
Classifications sectorielles : entités essentielles vs. importantes
La distinction entre entités essentielles et importantes va bien au-delà de la sémantique—elle détermine l’intensité réglementaire, l’exposition aux sanctions et la méthode de supervision.
Secteurs essentiels : supervision renforcée
Les entités essentielles opèrent dans des secteurs où une interruption peut avoir un impact significatif sur la société ou l’économie. Ces organisations font face à :
- Une supervision directe par les autorités nationales compétentes
- Une obligation de déclaration des incidents de sécurité sous 24 heures
- Des audits et évaluations de sécurité périodiques
- Des sanctions administratives plus élevées (jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial)
Le secteur de l’énergie illustre bien cette approche. Les gestionnaires de réseaux de transport, quelle que soit leur taille, sont automatiquement considérés comme des entités essentielles en raison de leur rôle dans la gestion du réseau.
Entités importantes : exigences proportionnées
Les entités importantes soutiennent les services essentiels sans les fournir directement. Elles relèvent d’une régulation plus souple avec :
- Auto-évaluation et mécanismes de déclaration volontaire
- Notification des incidents sous 72 heures
- Approches de supervision fondées sur les risques
- Plafonds de sanctions plus bas (7 M€ ou 1,4 % du chiffre d’affaires mondial)
Les fournisseurs de services numériques illustrent la complexité de cette catégorie. Les fournisseurs d’infrastructures cloud sont considérés comme des entités essentielles, tandis que les entreprises SaaS relèvent généralement de la catégorie des entités importantes.
Opérations multi-sectorielles : gérer des classifications complexes
Les organisations présentes dans plusieurs secteurs couverts par NIS2 font face à des défis de classification qui nécessitent une analyse juridique approfondie. La directive ne fournit pas de directives claires pour les entités aux modèles d’affaires diversifiés.
Détermination de l’activité principale
Les autorités nationales utilisent généralement la répartition du chiffre d’affaires pour déterminer la classification sectorielle principale. Une entreprise de télécommunications générant une part importante de son chiffre d’affaires via des services cloud pourrait être classée dans les infrastructures numériques (essentiel) plutôt que dans les services numériques (important).
L’ANSSI en France a mis en place un seuil de 60 % : si plus de 60 % du chiffre d’affaires provient de services essentiels, l’ensemble de l’organisation est classée comme entité essentielle. D’autres États membres suivent cette approche de près.
Évaluation filiale vs. groupe
La structure du groupe a un impact majeur sur la classification NIS2. Certains États membres évaluent chaque entité juridique séparément, tandis que d’autres adoptent une analyse au niveau du groupe. Cette incohérence complique la conformité pour les groupes internationaux.
Un conglomérat énergétique européen a découvert que sa filiale dédiée aux énergies renouvelables était considérée comme entité essentielle en Allemagne, mais restait hors du champ en Espagne en raison de méthodologies d’évaluation différentes.
Opérations transfrontalières : variations entre États membres
Les organisations opérant dans plusieurs États membres de l’UE sont confrontées à une mosaïque de modalités de mise en œuvre, malgré les objectifs d’harmonisation de la directive.
Obligations d’enregistrement
Chaque État membre tient son propre registre NIS2, impliquant des démarches d’enregistrement distinctes. Le NCSC néerlandais a simplifié la procédure via des portails numériques, tandis qu’en Italie, certaines régions exigent encore des dossiers papier.
Les entités transfrontalières doivent s’enregistrer auprès de l’autorité compétente de chaque État membre où elles remplissent les critères de classification. Cela implique souvent plusieurs relations de supervision et potentiellement des exigences contradictoires.
Coordination de l’application
Le groupe de coopération NIS facilite le partage d’informations entre autorités nationales, mais les approches en matière d’application varient fortement. Les pays nordiques privilégient l’accompagnement à la conformité, tandis que les autorités d’Europe du Sud optent pour des audits formels.
À retenir : Même entreprise, traitement NIS2 différent—les variations d’application entre États membres compliquent la conformité transfrontalière.
Conclusion
Déterminer les exigences de conformité NIS2 nécessite une analyse systématique des effectifs, des seuils de chiffre d’affaires, des classifications sectorielles et des opérations géographiques. Le champ d’application élargi de la directive inclut désormais des organisations jusqu’alors non concernées par la réglementation en cybersécurité, créant de nouvelles obligations pour les acteurs des infrastructures critiques.
Les organisations doivent aller au-delà des simples vérifications de seuils pour comprendre leur exposition réglementaire spécifique. Cela implique de cartographier les activités aux secteurs NIS2, de calculer les chiffres d’affaires consolidés et d’identifier toutes les juridictions nationales concernées. La complexité s’accroît pour les groupes opérant dans plusieurs secteurs et pays.
Pour réussir, il faut mettre en œuvre des cadres de cybersécurité robustes couvrant la gestion des risques, la déclaration des incidents et la continuité d’activité exigées par NIS2. Les organisations doivent harmoniser leurs politiques de sécurité sur tous les canaux de communication de données, assurer la traçabilité des incidents pour le reporting obligatoire et disposer de capacités de détection des menaces en temps réel. Le contexte réglementaire impose des solutions capables de s’adapter aux exigences variées des États membres tout en maintenant un niveau de sécurité constant.
Les opérateurs d’infrastructures critiques doivent moderniser leurs systèmes existants et mettre en place les mesures de cybersécurité exigées par NIS2. Cette transformation passe par des plateformes capables d’uniformiser les politiques de sécurité, de fournir des journaux d’audit immuables et de garantir une réponse aux incidents rapide—tout en assurant la continuité opérationnelle des services essentiels.
Kiteworks accompagne les organisations concernées par NIS2 avec le partage de fichiers sécurisé et conforme
Le Réseau de données privé Kiteworks répond aux enjeux de conformité NIS2 grâce à une plateforme unifiée qui harmonise les politiques de sécurité sur les canaux de messagerie sécurisée, de partage sécurisé de fichiers Kiteworks, de transfert sécurisé de fichiers (MFT) et de SFTP.
Kiteworks propose le chiffrement AES-256, le contrôle d’accès basé sur les rôles (RBAC) et des journaux d’audit complets pour répondre aux obligations de déclaration d’incidents. Grâce à la détection d’anomalies en temps réel et à l’application granulaire des politiques, Kiteworks permet aux opérateurs d’infrastructures critiques de respecter les exigences de cybersécurité NIS2 tout en préservant leur efficacité opérationnelle. Le cadre de conformité éprouvé de la plateforme, certifié ISO 27001, FedRAMP et SOC 2, offre aux organisations une confiance totale dans leur posture réglementaire à travers l’UE.
Pour en savoir plus sur Kiteworks pour la conformité NIS2, démonstration personnalisée dès aujourd’hui.
Foire aux questions
Pour déterminer votre conformité à la directive NIS2, vérifiez si votre entreprise opère dans un secteur critique ou important (ex. : énergie, santé, IT) dans l’UE ou dessert des clients européens. Si vous comptez 50 employés ou plus, ou si votre chiffre d’affaires annuel dépasse 10 M€ (essentiel) ou 50 M€ (important), vous êtes probablement concerné. Les opérations multi-sectorielles et transfrontalières augmentent aussi l’applicabilité NIS2. Vérifiez votre classification sectorielle et consultez les autorités nationales pour confirmation.
Si les entités essentielles comptent 50 employés ou plus et les entités importantes 250 employés ou plus, elles doivent se conformer à la directive NIS2. Ce calcul inclut les équivalents temps plein sur l’année écoulée, ainsi que les intérimaires et sous-traitants. L’applicabilité NIS2 peut aussi être élargie par les États membres qui désignent comme essentielles des entités plus petites jugées critiques pour la sécurité nationale.
Pour calculer les seuils de chiffre d’affaires liés à la conformité NIS2, utilisez le chiffre d’affaires consolidé du groupe : 10 millions d’euros pour les entités essentielles, 50 millions pour les entités importantes. Incluez les transactions intra-groupe et les revenus des filiales. Les institutions financières utilisent le produit net bancaire, tandis que les entreprises du secteur de l’énergie additionnent les revenus régulés et non régulés.
Selon la directive NIS2, les entités essentielles font l’objet d’une supervision renforcée avec déclaration d’incident sous 24 heures, supervision directe et sanctions jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial. Les entités importantes disposent de 72 heures pour déclarer, procèdent à l’auto-évaluation et encourent des sanctions inférieures (7 M€ ou 1,4 % du chiffre d’affaires).
Pour être conforme à la directive NIS2, oui, vous devez vous enregistrer auprès de l’autorité compétente de chaque État membre où vous remplissez les critères de classification NIS2. Chaque pays dispose de son propre registre et de procédures différentes, des portails numériques aux dossiers papier.
Ressources complémentaires
- Brief Comment réaliser une évaluation de préparation à NIS2
- Vidéo Directive NIS2 : exigences, obligations et comment Kiteworks peut vous accompagner dans la conformité
- Article de blog Guide NIS2 pour les petites entreprises
- Article de blog Directive NIS2 : ce que cela signifie pour votre entreprise
- Article de blog Directive NIS2 : stratégies efficaces de mise en œuvre