NIS 2 : Une nouvelle directive pour renforcer la cybersécurité sur le marché européen
Renforcement de la Cybersécurité Industrielle : Impact de la Directive NIS2 sur la Protection des Infrastructures Critiques
Une nouvelle directive (Network and Information Security, version 2), plus ambitieuse que la première mesure a été adopté en janvier 2023 au Parlement & au Conseil de l’Union Européenne afin de protéger davantage les entreprises contre des cybermenaces. Elle entrera en vigueur au plus tard au deuxième semestre 2024 en France.
Qu’est-ce qui change avec la NIS v2 ?
Face à l'augmentation des cybermenaces résultant de la transformation numérique et de l'interconnexion des pays de l’Union Européenne, le Parlement et le Conseil de l'Union européenne ont adopté en 2016 une première série de mesures visant à renforcer la cybersécurité sur le marché européen. Cette directive est connue sous le nom de NIS 1. Elle imposait aux acteurs majeurs de dix secteurs d'activité, soit quelques centaines d'entités en France, l'obligation de déclarer leurs incidents de sécurité à l'ANSSI et de mettre en place des mesures de sécurité pour réduire les risques cyber.
La Directive NIS v2 élargit ses objectifs et son périmètre d’application pour plus de protection. Elle inclut dorénavant les PME/TPE/ETI/Collectivité territoriales suite à un rapport de l’ANSSI (Agence Nationale de la sécurité des systèmes d’information en France) qui dénombre que 60% des cyberattaques concernent ces structures. Cette nouvelle directive vise aussi à inciter les entreprises concernées à renforcer leur coopération en matière de gestion des crises cyber.
Qui est concerné par la directive NIS V2 ?
En France, NIS 2 s'appliquera aux entités essentiels (EE) et à des milliers d’entités importantes (EI) réparties dans plus de dix-huit secteurs différents :
Source : Webinaire ANSSI du 16/05/2023 : https://www.ssi.gouv.fr/actualite/webinaire-nis-2-presentation-de-la-directive-et-de-sa-transposition-nationale/
Les entités essentielles (EE) correspondent à l'ensemble des entités de taille intermédiaire ou grande, compris dans le secteur d'activité de l'annexe 1. Correspondant aux critères de seuils suivants :
Source : Webinaire ANSSI du 16/05/2023 : https://www.ssi.gouv.fr/actualite/webinaire-nis-2-presentation-de-la-directive-et-de-sa-transposition-nationale/
Les entités importantes (EI) correspondent à toutes entités du périmètre qui n'est pas essentiel au regard des critères et cas exposés sera par défaut importante.
La directive offre également la possibilité à l’ANSSI de designer des entités spécifiquement.
Qu’est ce que mon entreprise risque en cas de non-respect de cette directive ?
Pour non-respect de la directive NIS v2, les entités essentielles risquent une amende de 10 M€ ou au moins 2% du CA. Pour les entités importantes, le montant s’élève à 7M€ ou au moins 1,4% du CA
Les équipes cybersécurité DATIVE vous tiendront informés de l’évolution de la mesure et sa mise en application.
Nos actualités
Du 31 mars au 2 avril 2026, nous serons présents au Forum InCyber Europe (FIC) au Lille Grand Palais. Véritable rendez‑vous européen de la cybersécurité et de la confiance numérique, l’édition 2026 a pour thème « Maîtriser nos dépendances numériques » et rassemblera tout l’écosystème cyber public/privé autour de conférences, démonstrations et moments de networking.
Un industriel de l’agroalimentaire a sollicité DATIVE pour retrouver la maîtrise de son réseau OT. Grâce à un inventaire complet et à une double cartographie logique et physique, le site a pu redécouvrir sa vraie architecture industrielle, sécuriser ses opérations et renforcer sa cybersécurité.
Les projets industriels liés à l’hydrogène imposent un niveau d’exigence particulièrement élevé. La sécurité, la fiabilité et la continuité opérationnelle y sont indissociables. DATIVE accompagne un client industriel spécialisé dans le développement de solutions hydrogène décarbonées. Son activité repose sur des infrastructures industrielles sensibles, soumises à de fortes contraintes techniques et réglementaires. Dans ce contexte, la cybersécurité industrielle ne peut pas se limiter à une approche théorique ou générique. Elle doit s’intégrer finement au fonctionnement réel des installations et soutenir la performance opérationnelle. Nous accompagnons actuellement ce client sur des sujets structurants de cybersécurité OT. Notre objectif : lui apporter de la visibilité, sécuriser ses échanges et permettre des décisions techniques éclairées.
Dans le secteur pharmaceutique, la cybersécurité industrielle ne consiste plus uniquement à protéger des données sensibles. Elle conditionne aujourd’hui la fiabilité de chaque médicament produit, la continuité de la production et la confiance accordée par les autorités de santé. Face à des infrastructures OT interconnectées, des obligations réglementaires strictes et des enjeux de santé publique, DATIVE accompagne les industriels dans la sécurisation de leurs environnements critiques et dans l’amélioration durable de leurs performances opérationnelles.
Une collectivité territoriale située en Bretagne, exploitant une station d’épuration composée de six bassins de traitement, a sollicité l’expertise de DATIVE afin de renforcer la cybersécurité de son environnement industriel.