ISO 27001, accélérateur de mise en conformité avec la directive NIS 2

15 mai 2025
Nis2

NIS 2 – une directive européenne au vaste périmètre

Article rédigé par Evolucare pour le livre blanc APSSIS 2025

Depuis le début des années 2010*, la question de la protection des systèmes d’information essentiels au fonctionnement des nations se pose de manière de plus en plus précise, suite à l’essor de la cybercriminalité, et à l’utilisation des capacités de « cyberguerre » dans le cadre de conflits géopolitiques.

*2009, création de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France

Lauranne Peyron

Par Lauranne Peyron, RSSI-DPO du Groupe Evolucare

En France, ces préoccupations ont été inscrites dans la loi dès 2014, via la Loi de Programmation Militaire 2014-2019, qui définissait des « Organismes d’Importance Vitale » qui devaient se mettre en conformité avec un certain nombre de mesures visant à assurer la sécurité et la résilience de leurs systèmes d’information.

Cette loi a été suivie en 2016 d’une directive européenne, dite « NIS » qui appliquait une logique similaire aux « Opérateurs de Services Essentiels ».

En 2022, sur la base du retour d’expérience de la mise en application de la directive NIS, une nouvelle directive, dite « NIS 2 » a été votée par le Parlement Européen. Elle a pour particularité de définir un cadre plus précis de règles, de manière à encourager l’harmonisation des mesures de sécurité à l’échelle européenne, et surtout, elle étend drastiquement le périmètre d’application en identifiant 11 secteurs d’activités hautement critiques et 7 secteurs d’activité critiques.

Sont concernées par la directive, de manière variable en fonction de leur secteur d’activité, toutes les entités européennes intervenant dans un des 18 secteurs ciblés, dont le chiffre d’affaires et le bilan annuel dépassent 10 millions d’euros, ou qui emploient au moins 50 personnes.

Un calendrier d’application en France flou, mais de plus en plus proche

NIS 2 étant une directive européenne, elle ne peut s’appliquer dans un état membre que suite à une transposition en droit local. Suite à sa publication au JOUE (Journal Officiel de l’Union Européenne) en décembre 2022, les pays européens avaient jusqu’à mi-octobre 2024 pour voter leurs transpositions.

En France, le projet de loi « Résilience », qui contient ladite transposition, a été déposé au parlement le 14 octobre 2024, voté en première lecture au Sénat le 13 mars 2025 et se trouve à l’heure où j’écris ces lignes en cours d’examen à l’Assemblée Nationale. Suite au vote de la loi, une dernière phase de concertation a été annoncée sur les éléments devant être précisés par décret. La date prévisionnelle d’application de la directive NIS 2 en France reste donc inconnue, mais devrait s’établir courant du 2nd semestre 2025.

La directive européenne elle-même, en tant que texte de loi, émet des objectifs de sécurité plus que des mesures de sécurité concrètes et intelligible pour les structures concernées. Il en sera de même pour le projet de loi français – le détail des exigences sera contenu dans un référentiel de règles qui fera partie du décret d’application.

Ce référentiel a été construit par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en prenant en compte le retour d’expérience de la mise en conformité avec la LPM (Loi de Programmation Militaire) et la première directive NIS, ainsi qu’en menant des concertations successives avec les parties prenantes intéressées : fédérations et associations professionnelles, associations d’élus et de représentants des collectivités territoriales, prestataires de produits et services qualifiés.

Cette co-construction marque la volonté de l’ANSSI de proposer un référentiel de règles qui soit pragmatique et adapté aux organisations qui doivent le mettre en œuvre.

Une harmonisation des structures des différents référentiels

Dès l’émergence de la sécurité informatique – devenue sécurité des systèmes d’information, sécurité de l’information, puis cybersécurité – en tant que domaine spécifique, des référentiels normatifs et des standards ont vu le jour afin de l’aider à se structurer. Au fil des années, même si chaque référentiel conserve ses spécificités propres, ils tendent à se consolider autour des mêmes piliers, ce qui facilite les actions de mise en conformité avec de multiples référentiels.

Ainsi, les futures exigences de sécurité de la transposition française de NIS 2 seront alignées sur le référentiel à 4 piliers de l’ANSSI (Gouvernance, Protection, Détection, Résilience).

Evolucare Guide Apssis 2025 Schéma

Evolucare, certifié ISO 27001 depuis 2023, est confiant dans sa mise en conformité avec NIS 2

A date, nos sources d’information sont le texte de l’article 21 de la directive, les éléments contenus dans le projet de loi « Résilience », ainsi que les éléments partagés par l’ANSSI au cours des phases de concertation sur la construction du référentiel. Ces sources nous permettent de savoir que les entités françaises visées par la directive devront se mettre en conformité avec vingt règles, qui proposeront des modalités différentes en fonction de la catégorisation (importante ou essentielle) de l’entité.

Bien que certains détails restent à préciser, on peut déjà effectuer un croisement entre les thématiques des règles et les exigences ISO 27001:2022, et anticiper sur la future mise en conformité.

Certains éléments sont d’ores et déjà traités par l’existence d’un SMSI : inventaire des systèmes, gouvernance SSI, cartographie des risques, gestion des fournisseurs, ressources humaines, sécurité physique, gestion des incidents de sécurité, audit…

Il restera quelques projets plus lourds, mais le temps gagné grâce à notre SMSI nous permettra d’y consacrer les efforts nécessaires pour assurer une mise en conformité dans les temps.

Conclusion

Le flou qui persiste autour des modalités de transposition de la directive NIS 2 en France peut pousser les organismes à attendre le dernier moment avant de prévoir et de planifier leurs projets de mise en conformité. Il n’est par ailleurs pas exclu que certains organismes n’obtiennent qu’au dernier moment une visibilité sur leur inclusion dans le périmètre de la directive, ou sur leur qualification d’entité importante ou essentielle.

Dans ce contexte, initier un projet de mise en conformité ISO 27001, même sans objectif de certification, ne peut être que bénéfique pour l’organisme. Quel que soit le futur impact de la directive NIS 2 (ou d’autres réglementations), la réflexion orientée par le référentiel ISO 27001 aura permis aux instances dirigeantes de l’entreprise de prendre du recul sur leur système d’information, de considérer les risques auxquels ils doivent pouvoir faire face, et dans l’idéal, d’initier des projets de montée en maturité sécurité.

La protection de nos organisations contre les attaques de plus en plus nombreuses peut souvent paraître comme une montagne insurmontable ; mais petit pas par petit pas, on arrive en haut de l’Everest.

Sources

  1. L’espace mis à disposition des futures entités essentielles et importantes par l’ANSSI : https://monespacenis2.cyber.gouv.fr/
  2. Le dossier législatif français sur le site de l’Assemblée Nationale : https://www.assemblee-nationale.fr/dyn/17/dossiers/DLR5L17N50731
  3. La directive NIS 2 : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555