NIS2 en Espagne : qui est concerné et délais de transposition

·

La directive NIS2 (directive UE 2022/2555 du Parlement européen et du Conseil, du 14 décembre 2022) est le cadre européen de cybersécurité le plus ambitieux adopté à ce jour. Elle abroge et remplace la première directive NIS de 2016, double le nombre de secteurs concernés, durcit les sanctions et exige la notification des incidents dans des délais de quelques heures. Si vous dirigez une entreprise en Espagne et que vous avez entendu parler de NIS2 sans savoir avec certitude si elle vous concerne, cet article répond directement à la question : à qui elle s'applique, avec quels seuils, dans quels secteurs et à partir de quand.

Qu'est-ce que la directive NIS2 et en quoi diffère-t-elle de NIS1 ?

La première directive NIS (2016) avait créé un cadre minimal couvrant sept secteurs, laissant la grande majorité des entreprises européennes en dehors de son champ. Elle ne s'appliquait qu'aux opérateurs de services essentiels et à certains grands prestataires de services numériques. Il en a résulté une fragmentation réglementaire notable entre les États membres et une couverture insuffisante face à l'escalade des cyberattaques des dernières années.

NIS2 corrige ces défauts à la racine : elle élargit le nombre de secteurs de 7 à 18, introduit les notions d'entité essentielle et d'entité importante assorties d'obligations différenciées, fixe des seuils de taille clairs et harmonise les sanctions dans toute l'Union européenne. Elle oblige en outre les entités concernées à gérer la cybersécurité de leur chaîne d'approvisionnement, ce qui entraîne indirectement de nombreux fournisseurs qui, en raison de leur taille, n'entreraient pas dans le champ d'application direct.

État de la transposition en Espagne (2025–2026)

Le délai accordé aux États membres pour transposer NIS2 dans leur droit national était le 17 octobre 2024. L'Espagne n'a pas respecté ce délai. En janvier 2025, le Conseil des ministres a approuvé l'avant-projet de loi sur la coordination et la gouvernance de la cybersécurité, le texte qui incorporera la directive en droit espagnol. À mi-2026, cet avant-projet poursuit son parcours parlementaire, si bien que la loi définitive n'a pas encore été publiée au Journal officiel (BOE).

Cela ne signifie pas que les entreprises espagnoles peuvent ignorer NIS2. La directive a un effet direct partiel pour les États qui ne transposent pas dans les délais, et la Commission européenne peut ouvrir des procédures d'infraction. Plus important encore : les entités opérant déjà dans des secteurs réglementés (énergie, banque, télécommunications, santé) se voient demander par leurs régulateurs sectoriels de démontrer une maturité en cybersécurité conforme aux standards NIS2, même si la loi nationale n'est pas encore publiée. Attendre que le BOE l'exige formellement est une stratégie risquée.

Si vous avez besoin d'un accompagnement pour évaluer votre exposition et préparer la documentation exigée, Summum Consultoria gère l'ensemble du processus : consultez notre service NIS2 et DORA et découvrez comment nous structurons la démarche.

À qui s'applique NIS2 : les deux catégories clés

NIS2 distingue deux types d'entités obligées assorties de niveaux d'exigence différents :

Entités essentielles

Ce sont les organisations dont la défaillance aurait un impact particulièrement grave sur la société ou l'économie. On y trouve les grandes entreprises (plus de 250 salariés ou plus de 50 millions d'euros de chiffre d'affaires annuel) opérant dans les secteurs hautement critiques listés à l'Annexe I de la directive. Certaines infrastructures critiques, prestataires de réseaux de communications électroniques publics et prestataires de services de confiance qualifiés y sont également inclus, quelle que soit leur taille.

Entités importantes

Ce sont les entreprises de taille intermédiaire (entre 50 et 250 salariés, ou entre 10 et 50 millions d'euros de chiffre d'affaires) opérant dans les secteurs de l'Annexe I ou dans les secteurs hautement critiques de l'Annexe II. Les obligations sont similaires à celles des entités essentielles, mais le régime de supervision est réactif plutôt que proactif : les autorités interviennent principalement lorsque des manquements sont détectés, plutôt que de mener des audits périodiques.

Le seuil minimal général

Les microentreprises (moins de 10 salariés et moins de 2 millions d'euros de chiffre d'affaires) et les petites entreprises (moins de 50 salariés et moins de 10 millions d'euros) sont exclues du champ d'application direct, sauf si la réglementation nationale les désigne expressément comme critiques ou si elles fournissent des services dont dépend la sécurité publique, la défense nationale ou des activités réglementées.

Les 18 secteurs concernés par NIS2

Le tableau ci-dessous récapitule les secteurs obligés et s'ils relèvent de l'Annexe I (haute criticité) ou de l'Annexe II (criticité élevée) :

Secteur Catégorie Exemples d'entités
Énergie Annexe I — Essentielle Électricité, gaz, pétrole, hydrogène, chauffage urbain
Transports Annexe I — Essentielle Aérien, ferroviaire, maritime, routier
Banque Annexe I — Essentielle Établissements de crédit
Infrastructures des marchés financiers Annexe I — Essentielle Plateformes de négociation, contreparties centrales
Santé Annexe I — Essentielle Hôpitaux, laboratoires, fabricants de dispositifs médicaux critiques
Eau potable Annexe I — Essentielle Fournisseurs et distributeurs d'eau potable
Eaux usées Annexe I — Essentielle Entreprises d'assainissement et de traitement des eaux
Infrastructure numérique Annexe I — Essentielle IXP, DNS, TLD, centres de données, CDN, services de confiance, réseaux de communication
Gestion de services TIC (B2B) Annexe I — Essentielle Prestataires de services gérés (MSP) et de sécurité gérée (MSSP)
Administration publique Annexe I — Essentielle Administration centrale et, le cas échéant, régionale et locale
Espace Annexe I — Essentielle Opérateurs d'infrastructures terrestres pour services spatiaux
Services postaux et de messagerie Annexe II — Importante Opérateurs postaux et de colis
Gestion des déchets Annexe II — Importante Collecte, traitement et élimination des déchets
Fabrication Annexe II — Importante Dispositifs médicaux, informatique, électronique, machines, véhicules à moteur
Production et distribution alimentaires Annexe II — Importante Grands producteurs et distributeurs alimentaires
Chimie Annexe II — Importante Fabrication et distribution de substances dangereuses
Fournisseurs numériques Annexe II — Importante Plateformes en ligne, moteurs de recherche, réseaux sociaux, marchés en ligne
Recherche Annexe II — Importante Organismes de recherche (notamment ceux bénéficiant de financements publics ou de contrats de défense)

NIS2 concerne-t-elle les PME ?

C'est la question qui préoccupe le plus les dirigeants de petites et moyennes entreprises en Espagne. La réponse est nuancée :

Directement : uniquement si vous dépassez les seuils de taille (50 salariés ou 10 millions d'euros de chiffre d'affaires) et que vous opérez dans l'un des 18 secteurs. Une PME de 30 salariés qui fabrique des meubles n'est pas directement soumise à NIS2.

Indirectement : si vous êtes fournisseur d'une entité essentielle ou importante, NIS2 oblige cette entité à gérer activement les risques de sa chaîne d'approvisionnement. En pratique, vos grands clients vous demanderont des questionnaires de sécurité, des audits ou des preuves de conformité. Le non-respect peut vous coûter des contrats. Les secteurs où cet effet d'entraînement est le plus intense sont les TIC, l'industrie manufacturière de composants critiques, la logistique et les services professionnels (dont les cabinets de conseil qui gèrent des données d'entités essentielles).

Par désignation expresse : la loi espagnole pourra inclure des entités de petite taille dont l'activité est critique pour la sécurité nationale ou la prestation de services essentiels. Il n'est pas exclu que, par exemple, certaines cliniques ou laboratoires d'analyse de taille réduite entrent dans le champ d'application.

Principales obligations imposées par NIS2

Que votre entité soit essentielle ou importante, les obligations de fond sont équivalentes. La différence réside dans l'intensité de la supervision. Les mesures exigées comprennent :

Sanctions : à combien peut-on être condamné ?

Le régime de sanctions de NIS2 est nettement plus sévère que celui de NIS1 :

Le seuil de 2 % place ces sanctions, en termes relatifs, au même niveau que celles du RGPD (qui atteint 4 % pour les infractions les plus graves), ce qui donne une idée de la gravité avec laquelle le législateur européen traite cette question.

NIS2 et le Schéma national de sécurité (ENS)

En Espagne, le Schéma national de sécurité (ENS), réglementé par le décret royal 311/2022, est la norme de référence en matière de cybersécurité pour les administrations publiques et leurs prestataires. NIS2 et l'ENS partagent de nombreux principes et contrôles, mais ce ne sont pas les mêmes instruments et leur champ d'application diffère.

L'ENS est obligatoire pour l'administration publique et pour les entreprises qui fournissent des services ou gèrent des systèmes d'information d'entités publiques. Si vous êtes déjà conforme à l'ENS, vous avez une longueur d'avance sur NIS2, mais vous devrez réaliser une analyse d'écart spécifique : certaines exigences de NIS2 (comme la gestion de la chaîne d'approvisionnement ou la notification des incidents en 24 heures) ne sont pas couvertes de manière identique par l'ENS.

Étapes pratiques pour préparer votre entreprise dès maintenant

Même si la loi espagnole de transposition n'a pas été publiée au BOE, le temps restant pour agir est limité. Voici les étapes que nous recommandons chez Summum Consultoria, sur la base de notre expérience d'accompagnement des entreprises dans des processus de mise en conformité réglementaire :

  1. Déterminez si vous êtes dans le champ d'application : croisez votre secteur d'activité avec les Annexes I et II de la directive et vérifiez si vous dépassez les seuils de taille. En cas de doute, la réponse prudente est de supposer que oui.
  2. Réalisez une analyse d'écart (gap analysis) : comparez votre niveau de sécurité actuel aux obligations NIS2. L'INCIBE propose des outils de diagnostic gratuits qui constituent un bon point de départ.
  3. Impliquez la direction : NIS2 exige que l'organe de direction approuve les politiques de sécurité et soit conscient des risques. Il ne s'agit pas uniquement d'une question informatique.
  4. Auditez votre chaîne d'approvisionnement : identifiez les fournisseurs critiques et révisez les contrats pour y inclure des clauses de cybersécurité.
  5. Préparez le protocole de notification des incidents : 24 heures est très peu de temps si le processus n'est pas défini et entraîné à l'avance.
  6. Documentez tout : politique de sécurité, analyse des risques, plans de continuité, registres d'incidents. La documentation est ce qui démontre la conformité aux superviseurs.

Pour une feuille de route personnalisée et un accompagnement complet tout au long du processus de mise en conformité, consultez notre service de conformité NIS2 et DORA, où nous intervenons depuis le diagnostic initial jusqu'au soutien lors de la notification des incidents.

Questions fréquentes

NIS2 est-elle déjà en vigueur en Espagne même si elle n'a pas été publiée au BOE ?

La directive NIS2 est d'application directe dans ses aspects essentiels depuis l'expiration du délai de transposition (octobre 2024), même si la loi espagnole qui la met en œuvre est toujours en attente de publication. En pratique, les régulateurs sectoriels (CNMC pour les télécommunications et l'énergie, Banco de España et CNMV pour le secteur financier, etc.) exigent déjà des entités sous leur supervision qu'elles respectent les standards NIS2. De plus, si la loi définitive est adoptée avec un délai d'adaptation de neuf mois, comme prévu dans l'avant-projet, les entreprises qui commencent maintenant auront un avantage considérable.

Une entreprise de moins de 50 salariés peut-elle être soumise à NIS2 ?

Oui, dans deux cas de figure. Premièrement, si la législation espagnole la désigne expressément comme entité critique en raison de son activité (par exemple, un prestataire de services de confiance qualifiés ou une infrastructure numérique à caractère unique). Deuxièmement, si elle est fournisseur d'une entité essentielle et que cette dernière lui impose des accréditations de conformité en matière de cybersécurité comme condition contractuelle. L'effet d'entraînement au sein de la chaîne d'approvisionnement est l'un des aspects les plus importants de NIS2 pour les PME espagnoles.

Quel est le lien entre NIS2, le RGPD et la norme ISO 27001 ?

NIS2 et le RGPD sont des cadres complémentaires mais distincts. Le RGPD réglemente le traitement des données personnelles ; NIS2 réglemente la sécurité des réseaux et des systèmes d'information, y compris les infrastructures qui ne traitent pas de données personnelles. Cela dit, un incident de cybersécurité compromettant des données personnelles peut déclencher simultanément les obligations de notification du RGPD (72 heures à l'AEPD) et celles de NIS2 (24 heures au CSIRT). Pour sa part, la norme ISO 27001 est la référence pour les systèmes de management de la sécurité de l'information : sa mise en œuvre n'équivaut pas automatiquement à la conformité NIS2, mais elle couvre une part très significative des contrôles exigés et facilite grandement le processus de mise en conformité.

Qu'est-ce que DORA et en quoi diffère-t-il de NIS2 ?

Le règlement DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est la norme de cybersécurité et de résilience opérationnelle numérique spécifique au secteur financier européen : banques, assureurs, fonds d'investissement, sociétés de paiement et leurs prestataires TIC critiques. DORA est entré en vigueur le 17 janvier 2025 et a un effet direct sans nécessiter de transposition nationale. Si votre entreprise opère dans le secteur financier, DORA est le cadre prioritaire, même si NIS2 reste pertinent en tant que cadre général. Si votre entreprise est un fournisseur technologique d'entités financières, DORA vous concerne en tant que prestataire tiers critique.