NIS2 en Espagne : Tout Ce Que Votre Entreprise Doit Savoir pour Se Conformer à la Directive Cybersécurité

La Directive NIS2 concerne environ 40 000 entités en Espagne et introduit une responsabilité personnelle pour les dirigeants. Tout ce que votre entreprise doit savoir sur la conformité NIS2.

Évaluer si mon entreprise est concernée par NIS2

Le problème

La Directive NIS2 (Directive UE 2022/2555) représente la refonte la plus significative du cadre européen de cybersécurité depuis 2016. Elle élargit considérablement le périmètre des entités obligées — passant de quelques centaines d'opérateurs de services essentiels sous NIS1 à environ 40 000 entités en Espagne — et introduit un régime de sanctions entièrement nouveau avec des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes. Ce qui préoccupe le plus les responsables juridiques et de conformité est le cadre de responsabilité personnelle pour les organes de direction. NIS2 établit que les directeurs et cadres supérieurs peuvent engager leur responsabilité personnelle si l'entité n'a pas mis en œuvre des mesures adéquates de gestion des risques de cybersécurité. Ce n'est pas théorique : les autorités de surveillance européennes ont commencé à investiguer activement la conformité. En Espagne, la transposition de NIS2 — qui était due avant le 17 octobre 2024 — a été retardée, mais nombre des obligations de la directive sont directement applicables en vertu des principes du droit de l'UE, et la législation nationale de mise en œuvre est attendue au premier semestre 2026. De nombreuses entreprises qui devront se conformer à NIS2 ne savent toujours pas si elles sont concernées, quelles mesures techniques et organisationnelles elles doivent mettre en œuvre, ou comment gérer la nouvelle exigence de notification d'incidents en 24 heures.

Notre solution

BMC propose un programme complet de conformité NIS2 couvrant toutes les dimensions de la directive : évaluation initiale du périmètre, analyse des lacunes par rapport au standard des mesures de sécurité requises, feuille de route de mise en œuvre, politiques et procédures de gestion des risques, et support continu de conformité et de réponse aux incidents. Notre équipe combine des juristes spécialisés dans la conformité réglementaire technologique avec des experts en cybersécurité capables d'évaluer les dimensions juridiques et techniques de la conformité NIS2. Nous agissons en tant que RSSI virtuel (Virtual CISO) pour les entités ne disposant pas de leur propre Chief Information Security Officer, et conseillons les organes de direction sur leurs responsabilités personnelles et la manière de documenter leur conformité avec leurs obligations de supervision.

Processus

Comment nous procédons

Évaluation du périmètre

Nous déterminons si votre entreprise entre dans le périmètre NIS2 en tant qu'entité essentielle ou importante, en fonction du secteur d'activité, de la taille de l'entreprise et de sa pertinence pour les infrastructures critiques. Nous identifions les sous-secteurs spécifiques des Annexes I et II de la Directive qui s'appliquent et leurs implications pour le régime de supervision.

Analyse des lacunes

Nous évaluons les mesures techniques et organisationnelles de gestion des risques de cybersécurité actuellement en place et les comparons aux exigences de l'article 21 de NIS2 : politiques de sécurité, gestion des incidents, continuité des activités, sécurité de la chaîne d'approvisionnement, sécurité du développement des systèmes, gestion des vulnérabilités, chiffrement et authentification multifacteur.

Mise en œuvre et documentation

Nous développons et mettons en œuvre les politiques, procédures et contrôles techniques nécessaires pour combler les lacunes identifiées : politique de sécurité de l'information, procédures de notification des incidents (alerte 24h, rapport 72h, rapport final mensuel), plan de continuité, évaluations des risques des fournisseurs clés, et programme de formation et de sensibilisation.

Surveillance et réponse aux incidents

Nous assurons une surveillance continue de la conformité, un accompagnement dans la notification des incidents significatifs à l'INCIBE-CERT ou au CCN-CERT selon le secteur, une assistance juridique lors des inspections des autorités de surveillance, et la mise à jour du programme de conformité suite aux changements réglementaires ou aux nouvelles orientations de l'ENISA.

10 M€

Amende maximale pour les entités essentielles (ou 2 % du CA annuel mondial)

40 000+

Entités concernées estimées en Espagne

24 heures

Délai de notification des incidents significatifs à l'autorité compétente

Téléchargez notre guide

Télécharger notre guide : 'NIS2 en 10 étapes — De l'évaluation du périmètre à la notification des incidents'

La Directive NIS2 : le plus grand changement en cybersécurité européenne depuis 2016

La Directive (UE) 2022/2555, connue sous le nom de NIS2, remplace la Directive NIS originale de 2016 et représente la révision la plus ambitieuse du cadre européen de cybersécurité à ce jour. Son objectif est d’élever le niveau commun de cybersécurité dans l’Union européenne, de réduire les divergences entre États membres et d’élargir considérablement le périmètre des entités soumises à des obligations de sécurité.

L’ampleur du changement est considérable. La Directive NIS originale concernait un nombre limité d’Opérateurs de Services Essentiels et de Fournisseurs de Services Numériques. NIS2 étend ce périmètre à tous les secteurs des Annexes I et II de la Directive — y compris la gestion des déchets, la production chimique, l’industrie alimentaire et la fabrication de machines qui n’étaient auparavant pas réglementés du point de vue de la cybersécurité — et s’applique aux entreprises dépassant les seuils de taille, ce qui se traduit par environ 40 000 entités concernées en Espagne.

Entités essentielles vs. entités importantes : différences pratiques

Entités essentielles (Annexe I) : Énergie (électricité, gaz, pétrole, hydrogène), transport (aérien, ferroviaire, maritime, routier), banque, infrastructure des marchés financiers, santé, eau potable et eaux usées, infrastructure numérique (points d’échange Internet, DNS, registres de noms de domaine de premier niveau, cloud, centres de données, CDN, prestataires de services de confiance), et gestion des services TIC. Les entités essentielles sont soumises à une supervision ex ante et à des sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial.

Entités importantes (Annexe II) : Services postaux et de messagerie, gestion des déchets, fabrication chimique, production alimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules automobiles), et fournisseurs de services numériques (marchés en ligne, moteurs de recherche, plateformes de réseaux sociaux). Les entités importantes sont soumises à une supervision ex post et à des sanctions pouvant atteindre 7 M€ ou 1,4 % du CA mondial.

Les mesures de gestion des risques requises par NIS2

L’article 21 de NIS2 établit les mesures minimales que les entités concernées doivent adopter. Ces mesures doivent être « appropriées et proportionnées » au niveau de risque de l’entité, en tenant compte de sa taille, de l’état de l’art technologique et des vulnérabilités sectorielles spécifiques.

Notre équipe de conformité NIS2 aide les entreprises à mettre en œuvre ces mesures de manière documentée et auditable, en établissant le dossier de preuves que l’autorité de surveillance peut exiger lors d’une inspection.

NIS2 et RSSI Virtuel : quand vous n’avez pas besoin d’un directeur de la sécurité à temps plein

De nombreuses entités concernées par NIS2 — en particulier les entreprises de taille moyenne — n’ont pas de Chief Information Security Officer (CISO), ni n’en ont besoin à temps plein. Pour ces entreprises, le service de RSSI Virtuel de BMC fournit la fonction de gestion de la sécurité de l’information en mode externalisé : gestion du programme de sécurité, supervision des fournisseurs technologiques, liaison avec l’autorité de surveillance, et représentation devant l’organe de direction lors des revues périodiques de cybersécurité.

FAQ

Questions fréquentes

Quelles entreprises sont concernées par la Directive NIS2 ?

NIS2 distingue les entités essentielles (Annexe I) et les entités importantes (Annexe II). Les entités essentielles sont les entreprises des secteurs critiques : énergie, transport, banque, infrastructure des marchés financiers, santé, eau, infrastructure numérique et gestion des services TIC. Les entités importantes sont les entreprises des secteurs incluant les services postaux, la gestion des déchets, les produits chimiques, la production alimentaire, la fabrication de dispositifs médicaux, de machines, de véhicules automobiles et les fournisseurs de services numériques. Dans les deux cas, les seuils de taille s'appliquent : la directive s'applique généralement aux entreprises de taille moyenne (50+ salariés ou 10 M€ de CA) et grandes. Les micro et petites entreprises sont exclues sauf dans des cas spécifiques pour les secteurs particulièrement critiques.

Quel est le délai de transposition de NIS2 en Espagne ?

La Directive NIS2 devait être transposée en droit espagnol avant le 17 octobre 2024. L'Espagne, comme plusieurs autres États membres, n'a pas respecté ce délai. Le projet de loi nationale sur la cybersécurité, qui intégrerait NIS2, est attendu au premier semestre 2026. Cependant, nombre des obligations de la directive sont déjà directement applicables en vertu des principes d'effet direct du droit de l'UE, et les autorités espagnoles (INCIBE, CCN) ont émis des orientations sur les mesures que les entités concernées devraient mettre en œuvre. Le retard n'exempte pas les entreprises de se conformer aux obligations de fond.

Quelles sont les sanctions en cas de non-conformité à NIS2 ?

Pour les entités essentielles, les sanctions maximales sont de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé). Pour les entités importantes, le maximum est de 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total. En plus des sanctions financières, la directive prévoit la suspension temporaire de l'autorisation d'exploitation d'une entité et l'interdiction temporaire pour des personnes physiques d'exercer des fonctions de direction. Les États membres peuvent établir des sanctions supplémentaires dans leur législation nationale de transposition.

Quelle responsabilité personnelle les dirigeants et cadres ont-ils au titre de NIS2 ?

C'est l'une des innovations les plus significatives de NIS2. La directive impose des obligations aux organes de direction de : (1) approuver les mesures de gestion des risques de cybersécurité ; (2) superviser leur mise en œuvre ; et (3) assumer la responsabilité personnelle des violations. Les États membres doivent veiller à ce que les membres des organes de direction puissent être tenus responsables de la non-conformité de leur entité. La directive prévoit également que les autorités compétentes publient des déclarations publiques et imposent des interdictions temporaires d'exercer des fonctions de direction aux personnes responsables. Pour les dirigeants, cela signifie que la cybersécurité ne peut plus être entièrement déléguée au département informatique : c'est une responsabilité de gouvernance d'entreprise.

Quelles obligations NIS2 impose-t-elle en matière de notification des incidents ?

NIS2 établit un système de notification des incidents en trois étapes : (1) alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident significatif, indiquant si l'on soupçonne qu'il est intentionnel ou a un impact transfrontalier ; (2) notification de l'incident dans les 72 heures avec une évaluation initiale de l'incident, sa gravité et son impact, et les indicateurs de compromission disponibles ; et (3) rapport final dans le mois avec une description détaillée de l'incident, le type de menace, la cause profonde, les mesures prises et — pour les incidents transfrontaliers — l'impact sur les autres États membres. Un incident est « significatif » s'il provoque une perturbation opérationnelle grave, des pertes financières matérielles pour l'entité, ou des dommages matériels ou immatériels à d'autres personnes.

Quel est le rapport entre NIS2 et ISO 27001 ?

ISO 27001 et NIS2 sont complémentaires mais pas équivalentes. Avoir la certification ISO 27001 est un indicateur positif de maturité en sécurité de l'information et peut simplifier considérablement la conformité NIS2, car de nombreux contrôles ISO 27001 répondent aux exigences NIS2. Cependant, la certification ISO 27001 ne garantit pas automatiquement la conformité NIS2 parce que : (1) NIS2 a des exigences spécifiques en matière de notification des incidents, de sécurité de la chaîne d'approvisionnement et de formation des dirigeants qui vont au-delà de la norme ISO ; et (2) le périmètre du SMSI peut ne pas couvrir tous les systèmes dans le périmètre NIS2.

Comment NIS2 et le RGPD interagissent-ils en cas de cyberincident ?

Lorsqu'un cyberincident constitue également une violation de données personnelles, l'entreprise doit simultanément respecter les obligations de notification au titre de NIS2 (à l'autorité de cybersécurité : INCIBE-CERT ou CCN-CERT) et du RGPD (à l'autorité de protection des données : AEPD en Espagne). Les deux réglementations ont des fenêtres de 72 heures pour la notification principale, mais les destinataires, le contenu requis et les conséquences diffèrent. NIS2 peut également être déclenchée sans que des données personnelles soient affectées (par exemple, une attaque par déni de service). BMC gère la coordination des deux obligations de notification pour s'assurer qu'elles sont remplies correctement et de manière cohérente lorsqu'un incident déclenche simultanément les deux cadres.

Que signifie NIS2 pour la sécurité de la chaîne d'approvisionnement ?

NIS2 introduit pour la première fois des obligations explicites en matière de sécurité de la chaîne d'approvisionnement : les entités concernées doivent évaluer les risques de cybersécurité liés à leurs fournisseurs et prestataires de services, en particulier ceux ayant accès à leurs systèmes ou données, et doivent inclure des clauses contractuelles garantissant des standards de sécurité adéquats tout au long de la chaîne d'approvisionnement. Cela crée un effet de cascade : une entreprise qui fournit une entité NIS2 recevra des exigences de sécurité de la part de son client, même si elle n'est pas directement dans le périmètre NIS2.

Services associés

Compliance 50 Employees Hub Csrd Sustainability Hub Ai Act Regulation

Voir tous les services dans ce domaine

Faites le premier pas

Demandez une consultation sans engagement et découvrez ce que nous pouvons faire pour votre entreprise.

Consultation gratuite

Conseil

Évaluation et analyse

Transformation

Gouvernance et transmission

Stratégie fiscale

Conformité

Régimes spéciaux

Patrimoine et contentieux

Droit commercial et des sociétés

Procédures collectives et restructuration

Social et conformité

Contentieux et résolution

Cybersécurité

Données et IA

Finance et reporting

Services sociétaires

Croissance

Risques et résilience

Articles et analyses

Rapports et livres blancs

Outils

Industries