Pourquoi ce sujet est-il pertinent pour mon organisation ?

Le comportement humain est la cause la plus fréquente d'incidents de sécurité. Connaître ce sujet et y être sensibilisé réduit directement et de manière mesurable le risque.

Comment 2LRN4 aide-t-il sur ce sujet ?

2LRN4 relie ce sujet à un module de formation orienté risque, à une simulation de phishing optionnelle et à des rapports, pour démontrer la conformité aux autorités et au conseil.

Une formation de sensibilisation suffit-elle ou faut-il plus ?

La formation est un pilier nécessaire mais pas un bouclier complet. Combinez-la à des mesures techniques (MFA, filtrage e-mail), à des procédures et à une culture de signalement pour une protection optimale.

La loi française de transposition de NIS2

La transposition française de la directive NIS2 intervient par une loi adoptée en 2024-2025, qui adapte le cadre national de cybersécurité (notamment la loi de programmation militaire et le code de la défense) et confie un rôle central à l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Elle impose des obligations de cybersécurité aux entités essentielles et importantes dans les secteurs de l'énergie, des transports, de la santé, des services financiers, de l'eau potable, de l'infrastructure numérique, de l'administration et de l'espace. Pour les organisations établies en Belgique, c'est la loi belge NIS2 du 26 avril 2024 qui s'applique, avec le Centre pour la cybersécurité Belgique (CCB) comme autorité de référence.

Pourquoi cette loi a été introduite

Le 17 janvier 2023, la directive NIS2 (Network and Information Security 2) est entrée en vigueur en remplacement de NIS1. NIS2 élargit considérablement le champ d'application, de quelques milliers à plusieurs dizaines de milliers d'organisations en Europe, et introduit une responsabilité directe des organes de direction en matière de cybersécurité. Les États membres devaient transposer NIS2 en droit national avant le 18 octobre 2024.

La France a transposé NIS2 par une loi adoptée en 2024-2025, qui adapte plusieurs textes existants, notamment le code de la défense et la loi de programmation militaire (LPM). Le processus législatif a pris plus de temps que la date butoir européenne, et l'entrée en vigueur s'est faite par étapes. L'ANSSI assure le rôle de point de contact national, d'autorité compétente et de CSIRT national, en complément des régulateurs sectoriels (ACPR pour la finance, ARCEP pour les télécommunications, ASN pour le nucléaire, etc.).

Pour les organisations établies en France, c'est la loi française qui s'impose, et non directement le texte de la directive. La directive peut servir d'aide à l'interprétation lorsque la loi française est silencieuse, mais les contrôles et sanctions de l'ANSSI s'appuient sur le droit national.

Et en Belgique ? La loi belge NIS2

En Belgique, NIS2 est transposée par la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, communément appelée la loi NIS2. Elle est entrée en vigueur le 18 octobre 2024, conformément à l'échéance européenne.

La loi belge distingue entités essentielles et importantes, avec des seuils alignés sur la directive (50+ employés ou €10M de chiffre d'affaires annuel). Elle impose les mêmes piliers : gestion des risques, notification d'incidents en trois phases (24h, 72h, un mois) et responsabilité des organes de direction, qui doivent approuver les mesures, en superviser la mise en œuvre et suivre eux-mêmes une formation.

L'autorité de référence est le Centre pour la cybersécurité Belgique (CCB), qui combine les rôles de point de contact national, de CSIRT national et d'autorité de surveillance. Des autorités sectorielles peuvent intervenir en complément (FSMA pour la finance, SPF Santé publique pour la santé). Pour les groupes actifs en France et en Belgique, la règle d'établissement principal de l'article 26 de NIS2 désigne en principe le droit national applicable, mais des obligations sectorielles peuvent s'appliquer en parallèle dans chaque pays.

Qui relève de la loi ?

La loi française distingue entités essentielles et importantes. Les entités essentielles sont soumises à une supervision proactive (contrôles possibles sans préavis) ; les entités importantes à une supervision réactive (interventions sur signaux ou incidents).

Secteurs essentiels : énergie, transports, banque, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace.
Secteurs importants : services postaux et de courrier, gestion des déchets, fabrication et distribution de produits chimiques, production et transformation alimentaire, fabrication (machines, véhicules, dispositifs médicaux), fournisseurs de services numériques, organismes de recherche.
Seuils : en règle générale 50+ employés ou plus de €10M de chiffre d'affaires annuel ou de total de bilan. Des règles spécifiques s'appliquent aux opérateurs d'importance vitale (OIV) et à certaines entités critiques, indépendamment de la taille.

Les obligations principales

Le texte français reprend les trois grandes obligations imposées par NIS2 :

Gestion des risques. Mesures techniques et organisationnelles proportionnées : analyse des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, gestion des vulnérabilités, cryptographie, contrôle d'accès, authentification multi-facteurs et formation des collaborateurs.
Notification d'incidents. Les incidents importants doivent être déclarés à l'ANSSI en trois étapes : alerte précoce sous 24 heures, rapport intermédiaire sous 72 heures, rapport final sous un mois. Des informations complémentaires peuvent être demandées entre-temps.
Responsabilité des organes de direction. Les dirigeants doivent approuver les mesures de gestion des risques, en superviser la mise en œuvre, suivre eux-mêmes une formation à la cybersécurité et peuvent être personnellement responsables en cas de manquement caractérisé.

Sanctions

La loi française prévoit des sanctions calquées sur le plafond européen. Les entités essentielles s'exposent à des amendes pouvant atteindre €10 millions ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Pour les entités importantes, le plafond est de €7 millions ou 1,4 %.

Au-delà des amendes, l'ANSSI dispose de pouvoirs d'instruction étendus : injonctions de mise en conformité, audits imposés, suspension de certifications et, dans les cas graves, suspension temporaire des fonctions de direction. La responsabilité personnelle des dirigeants peut être engagée en cas de manquement aux obligations de gouvernance.

Au cours des 12 à 18 premiers mois suivant l'entrée en vigueur, une approche graduée est à prévoir, axée sur la démonstration de progrès raisonnables. L'obligation de formation des dirigeants est toutefois applicable et contrôlable dès le premier jour.

De l'explication à l'action

Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.

Voir la page NIS2

Sources

FAQ

Quand cette loi s'applique-t-elle ?

La loi française de transposition NIS2 a été adoptée et mise en vigueur par étapes en 2024-2025. Les obligations sont pleinement applicables depuis 2025, certaines dispositions sectorielles pouvant comporter des délais transitoires. L'ANSSI publie sur son site les calendriers détaillés et les guides d'application.

Mon organisation est-elle concernée ?

Cela dépend du secteur et de la taille. Seuil général : 50+ employés ou plus de €10M de chiffre d'affaires, dans un secteur désigné. Les opérateurs d'importance vitale (OIV) et certaines entités critiques sont concernés indépendamment de la taille. L'ANSSI propose des outils d'auto-évaluation et un point de contact pour les questions de périmètre.

Si je suis actif en France et en Belgique, quelles lois s'appliquent ?

La règle d'établissement principal de l'article 26 de NIS2 désigne en principe le droit national de l'État membre où se trouve votre établissement principal. Si celui-ci est en France, la loi française s'applique en premier, avec l'ANSSI comme autorité. Si l'établissement principal est en Belgique, c'est la loi belge NIS2 et le CCB. Des obligations sectorielles supplémentaires peuvent toutefois s'appliquer dans le pays où vous opérez.

Quel est le lien avec le RGPD ?

RGPD et loi NIS2 se recouvrent partiellement mais visent des objectifs différents : le RGPD protège les données personnelles, NIS2 protège la sécurité globale des réseaux et systèmes d'information. Un incident peut déclencher les deux obligations de notification, vers la CNIL pour les données personnelles et vers l'ANSSI pour la cybersécurité. Un programme de conformité intégré traite les deux régimes de manière coordonnée.

Comment commencer la mise en œuvre ?

Trois étapes : (1) déterminer le périmètre (secteur, taille, qualification d'entité essentielle ou importante) et désigner un dirigeant responsable ; (2) mener une analyse d'écart sur la gestion des risques, la notification d'incidents et la gouvernance ; (3) construire un plan de mise en œuvre priorisant la formation des dirigeants (contrôlable immédiatement) et les mesures techniques et organisationnelles.

Quel régulateur, ANSSI ou autorités sectorielles ?

L'ANSSI est l'autorité nationale de référence : point de contact, autorité compétente et CSIRT national. Des régulateurs sectoriels conservent leurs prérogatives, notamment l'ACPR pour la finance, l'ARCEP pour les télécommunications, l'ASN pour le nucléaire. Pour des entités multi-secteurs, il est conseillé de clarifier dès le départ la chaîne de responsabilité avec chaque autorité concernée.