Quels sont les problèmes de conformité à la norme NIS 2 et comment y remédier ?

Par Phil Muncaster • 6 mai 2025

Une approche « une seule fois » n'est pas adaptée à la conformité réglementaire, bien au contraire. La plupart des réglementations mondiales exigent une amélioration continue, un suivi et des audits et évaluations réguliers. La directive NIS 2 de l'UE ne fait pas exception.

C'est pourquoi de nombreux RSSI et responsables de la conformité trouveront le dernier rapport de l'Agence de sécurité de l'UE (ENISA) une lecture intéressante. ENISA NIS360 2024 Ce rapport présente six secteurs confrontés à des difficultés de conformité et explique pourquoi, tout en soulignant comment les organisations plus matures ouvrent la voie. La bonne nouvelle est que les organisations déjà certifiées ISO 27001 constateront qu'il est relativement simple de combler les écarts de conformité à la norme NIS 2.

Quoi de neuf dans NIS 2

NIS 2 est la tentative de l'UE de mettre à jour sa loi phare sur la résilience numérique pour l'ère moderne. les efforts se concentrent sur:

Élargir le nombre de secteurs couverts par la directive
Introduction d'exigences de base plus concrètes en matière de cybersécurité
Réduire les incohérences dans les niveaux de résilience entre les différents secteurs
Améliorer le partage d'informations, la réponse aux incidents et la gestion des risques de la chaîne d'approvisionnement
Tenir la haute direction responsable de toute défaillance flagrante

Les organisations britanniques recevront leur propre version mise à jour de la directive originale sur les réseaux et les systèmes d'information (NIS) lorsque Projet de loi sur la cybersécurité et la résilience Cette loi est enfin entrée en vigueur. Cependant, nombre d'entre elles fournissent des services aux citoyens européens et/ou opèrent sur le continent, ce qui les place sous le coup de la norme NIS 2. Pour ces organisations, la lecture de NIS 360 peut s'avérer utile.

Quels secteurs sont en difficulté ?

Parmi les 22 secteurs et sous-secteurs étudiés dans le rapport, six se situent dans la « zone à risque » en matière de conformité, c'est-à-dire que la maturité de leur risque n'est pas à la hauteur de leur criticité. Il s'agit de :

Gestion des services TIC : Bien qu'il soutienne les organisations de la même manière que d'autres infrastructures numériques, le secteur est moins mature. L'ENISA souligne son « manque de processus standardisés, de cohérence et de ressources » pour maîtriser les opérations numériques de plus en plus complexes qu'elle doit prendre en charge. Le manque de collaboration entre les acteurs transfrontaliers aggrave le problème, tout comme la « méconnaissance » du secteur par les autorités compétentes (AC).

L'ENISA appelle notamment à une coopération plus étroite entre les autorités compétentes et à une surveillance transfrontalière harmonisée.

Espace: Le secteur joue un rôle de plus en plus crucial dans la fourniture de nombreux services, notamment l'accès au téléphone et à Internet, la télévision et la radio par satellite, la surveillance des ressources terrestres et hydriques, l'agriculture de précision, la télédétection, la gestion des infrastructures distantes et le suivi des colis logistiques. Cependant, en tant que secteur nouvellement réglementé, le rapport souligne qu'il n'en est qu'aux premiers stades de son alignement avec les exigences de la norme NIS 2. Une forte dépendance aux produits commerciaux standard (COTS), des investissements limités dans la cybersécurité et une posture relativement immature en matière de partage d'informations ajoutent aux défis.

L'ENISA appelle à mettre davantage l'accent sur la sensibilisation à la sécurité, à améliorer les directives pour tester les composants COTS avant leur déploiement et à promouvoir la collaboration au sein du secteur et avec d'autres secteurs verticaux comme les télécommunications.

Administrations publiques : Il s'agit de l'un des secteurs les moins matures malgré son rôle essentiel dans la prestation des services publics. Selon l'ENISA, les risques et menaces cybernétiques auxquels il est confronté, ainsi que les enjeux de la norme NIS 2, sont mal compris. Cependant, il demeure une cible majeure pour les hacktivistes et les acteurs malveillants soutenus par l'État.

L'ENISA recommande un modèle de services partagés avec d'autres entités publiques afin d'optimiser les ressources et de renforcer les capacités de sécurité. Elle encourage également les administrations publiques à moderniser leurs systèmes existants, à investir dans la formation et à utiliser l'acte de cybersolidarité de l'UE pour obtenir un soutien financier afin d'améliorer la détection, la réponse et la remédiation.

Maritime: Essentiel à l’économie (il gère 68 % du fret) et fortement dépendant de la technologie, le secteur est confronté à des technologies obsolètes, notamment OT.

L'ENISA affirme qu'elle pourrait bénéficier de conseils personnalisés pour la mise en œuvre de contrôles rigoureux de gestion des risques de cybersécurité, privilégiant les principes de sécurité dès la conception et la gestion proactive des vulnérabilités dans les technologies opérationnelles maritimes. Elle appelle à un exercice de cybersécurité à l'échelle de l'UE afin d'améliorer la réponse multimodale aux crises.

La Santé: Ce secteur est vital, représentant 7 % des entreprises et 8 % des emplois dans l'UE. La sensibilité des données des patients et l'impact potentiellement fatal des cybermenaces rendent la réponse aux incidents cruciale. Cependant, la diversité des organisations, des appareils et des technologies au sein du secteur, le manque de ressources et les pratiques obsolètes font que de nombreux prestataires peinent à aller au-delà des exigences de sécurité de base. La complexité des chaînes d'approvisionnement et l'héritage des technologies informatiques et opérationnelles aggravent le problème.

L'ENISA souhaite voir davantage de lignes directrices sur les achats sécurisés et les meilleures pratiques en matière de sécurité, des programmes de formation et de sensibilisation du personnel, ainsi qu'un engagement accru dans les cadres de collaboration pour renforcer la détection et la réponse aux menaces.

Gaz: Le secteur est vulnérable aux attaques en raison de sa dépendance aux systèmes informatiques pour le contrôle et l'interconnectivité avec d'autres secteurs comme l'électricité et l'industrie manufacturière. L'ENISA affirme que la préparation et la réponse aux incidents sont particulièrement médiocres, notamment par rapport à ses homologues du secteur de l'électricité.

Le secteur devrait élaborer des plans de réponse aux incidents robustes et régulièrement testés et améliorer la collaboration avec les secteurs de l’électricité et de la fabrication en matière de cyberdéfense coordonnée, de partage des meilleures pratiques et d’exercices conjoints.

Que font bien les dirigeants ?

Selon l’ENISA, les secteurs présentant les niveaux de maturité les plus élevés se distinguent pour plusieurs raisons :

Des orientations plus substantielles en matière de cybersécurité, incluant potentiellement une législation ou des normes sectorielles spécifiques
Une surveillance et un soutien renforcés de la part des autorités de l'UE qui connaissent le secteur et ses défis
Une meilleure compréhension du risque et une gestion plus efficace des risques
Une collaboration et un partage d'informations renforcés entre les entités et les autorités aux niveaux national et européen
Une préparation opérationnelle plus mature grâce à des plans bien testés

Comment réussir la conformité NIS 2

Il convient de rappeler qu'il n'existe pas deux organisations identiques dans un même secteur. Cependant, les conclusions du rapport sont instructives. Si une partie de la responsabilité de l'amélioration de la conformité incombe aux autorités de certification (AC) – pour améliorer la surveillance, l'encadrement et le soutien –, une grande partie de cette tâche consiste à adopter une approche cybernétique fondée sur les risques. C'est là que des normes comme ISO 27001 prennent tout leur sens, apportant des précisions qui pourraient faire défaut à NIS 2, selon Jamie Boote, consultant principal associé en sécurité logicielle chez Black Duck :

« La norme NIS 2 a été rédigée à un niveau élevé car elle devait s'appliquer à un large éventail d'entreprises et d'industries et, en tant que telle, ne pouvait pas inclure de directives personnalisées et prescriptives au-delà de l'information des entreprises sur ce à quoi elles devaient se conformer », explique-t-il à ISMS.online.

Si la norme NIS 2 impose aux entreprises de mettre en place des programmes de gestion des incidents ou des formations de base en cybersécurité et en pratiques d'hygiène informatique, elle ne leur indique pas comment élaborer ces programmes, rédiger la politique, former le personnel et fournir les outils adéquats. L'intégration de cadres détaillant la gestion des incidents ou la sécurité de la chaîne d'approvisionnement est essentielle pour analyser ces politiques et intégrer tous les éléments qui composent les personnes, les processus et la technologie d'un programme de cybersécurité.

Chris Henderson, directeur principal des opérations de lutte contre les menaces chez Huntress, convient qu'il existe un chevauchement important entre NIS 2 et ISO 27001.

« La norme ISO 27001 couvre une grande partie des obligations de gouvernance, de gestion des risques et de reporting requises par la norme NIS 2. Si une organisation possède déjà la norme ISO 27001, elle est bien placée pour couvrir également les contrôles de la norme NIS 2 », explique-t-il à ISMS.online. « La gestion de crise est un domaine qu'elle devra améliorer, car il n'existe pas de contrôle équivalent à la norme ISO 27001. Les obligations de reporting de la norme NIS 2 comportent également des exigences spécifiques qui ne seront pas immédiatement satisfaites par la mise en œuvre de la norme ISO 27001. »

Il encourage les organisations à commencer par tester les éléments de politique obligatoires de NIS 2 et à les mettre en correspondance avec les contrôles de leur cadre/norme choisi (par exemple ISO 27001).

« Il est également important de comprendre les lacunes d’un cadre lui-même, car tous les cadres ne peuvent pas fournir une couverture complète d’une réglementation, et s’il reste des déclarations réglementaires non cartographiées, un cadre supplémentaire peut devoir être ajouté », ajoute-t-il.

Cela dit, la conformité peut être une tâche de grande envergure.

« Les référentiels de conformité tels que NIS 2 et ISO 27001 sont vastes et nécessitent un travail considérable », explique Henderson. « Si vous élaborez un programme de sécurité de A à Z, il est facile de se retrouver paralysé par l'analyse en essayant de comprendre par où commencer. »

C'est là qu'interviennent les solutions tierces, qui ont déjà effectué le travail de cartographie pour produire un Guide de conformité NIS 2-ready, Peut vous aider.

Morten Mjels, PDG de Green Raven Limited, estime que la conformité à la norme ISO 27001 permettra aux organisations d'atteindre environ 75 % de l'alignement avec les exigences de la norme NIS 2.

« La conformité est un combat permanent avec un géant (le régulateur) qui ne se lasse jamais, n'abandonne jamais et ne cède jamais », explique-t-il à ISMS.online. « C'est pourquoi les grandes entreprises disposent de services entiers dédiés à la conformité à tous les niveaux. Si votre entreprise n'est pas dans cette situation, il est judicieux d'en consulter un. »

Regardez ce webinaire pour en savoir plus sur la manière dont la norme ISO 27001 peut contribuer concrètement à la conformité NIS 2.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster

La cyber-sécurité 27 Janvier 2026

L'importance de la protection de la vie privée : ce que les équipes de conformité peuvent attendre en 2026

L'importance de la protection de la vie privée : ce à quoi les équipes de conformité peuvent s'attendre en 2026

Le 28 janvier est la Journée mondiale de la protection des données – l’occasion de célébrer le droit à la confidentialité et à la protection des données que beaucoup d’entre nous tiennent aujourd’hui pour acquis.

Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster