NIS2 Article 21 : architecture et principes des mesures de gestion des risques
L'Article 21 est la colonne vertébrale opérationnelle de la directive NIS2. Là où notre guide des 10 mesures détaille l'implémentation pratique de chaque mesure (a) à (j), cet article explore l'architecture juridique et conceptuelle de l'Article 21 : les principes fondateurs, l'articulation avec les autres articles, le cadre de proportionnalité et la responsabilité des dirigeants.
Structure de l'Article 21
L'Article 21 de NIS2 se compose de 5 paragraphes qui forment un ensemble cohérent :
- §1 — Principe général : les États membres veillent à ce que les entités prennent des mesures techniques, opérationnelles et organisationnelles « appropriées et proportionnées » pour gérer les risques
- §2 — Les 10 mesures : liste les catégories de mesures obligatoires : (a) politiques de risques, (b) incidents, (c) continuité, (d) supply chain, (e) développement, (f) évaluation, (g) cyberhygiène, (h) cryptographie, (i) RH/accès, (j) MFA
- §3 — Proportionnalité : critères d'ajustement du niveau d'exigence
- §4 — Normes européennes : la Commission peut adopter des actes d'exécution précisant les exigences techniques
- §5 — Orientations ENISA : l'ENISA peut émettre des orientations techniques
L'approche « tous risques »
L'Article 21 §1 adopte une approche « tous risques »(all-hazards approach). Cela signifie que les mesures de sécurité ne doivent pas se limiter aux menaces cyber mais couvrir également :
- Les risques physiques (incendie, inondation, coupure de courant)
- Les risques humains (erreur, malveillance interne, ingénierie sociale)
- Les défaillances techniques (panne matérielle, bug logiciel, corruption de données)
- Les risques liés à la chaîne d'approvisionnement
Cette approche globale est alignée avec la méthode EBIOS RM qui modélise des scénarios de menaces incluant des sources de risques variées (États, cybercriminels, hacktivistes, mais aussi catastrophes naturelles).
Le principe de proportionnalité
Le principe de proportionnalité est central dans NIS2. L'Article 21 §1 et §3 précisent que les mesures doivent tenir compte de :
- L'exposition aux risques de l'entité (menaces spécifiques à son secteur)
- La taille de l'entité (une PME vs un grand groupe)
- La probabilité de survenance d'incidents et leur gravité, y compris leurs conséquences sociales et économiques
- L'état de l'art et les coûts de mise en œuvre
- Les normes européennes et internationales pertinentes
Concrètement, cela signifie qu'une PME dans le secteur de l'eau potable n'aura pas les mêmes exigences de sécurité qu'un opérateur télécom national. Mais toutes les entités doivent couvrir les 10 catégories de mesures — c'est la profondeur d'implémentation qui varie, pas le périmètre.
La classification en entités essentielles vs importantes est le premier niveau de proportionnalité : les entités essentielles font l'objet de contrôles proactifs, les importantes de contrôles réactifs.
Article 20 : responsabilité des dirigeants
L'Article 20 de NIS2, directement lié à l'Article 21, est une innovation majeure. Il impose que les organes de direction (conseil d'administration, direction générale) :
- Approuvent les mesures de gestion des risques prises au titre de l'Article 21
- Supervisent leur mise en œuvre
- Puissent être tenus responsables en cas d'infraction de l'entité aux obligations de l'Article 21
- Suivent des formations en cybersécurité pour acquérir les connaissances nécessaires à l'exercice de ces responsabilités
C'est un changement de paradigme : la cybersécurité n'est plus uniquement l'affaire du RSSI ou du service IT. Les dirigeants portent une responsabilité personnelle. L'Article 20 §2 prévoit même que les États membres puissent interdire temporairement à un dirigeant d'exercer des fonctions de direction en cas de manquement répété.
Articulation avec les autres articles
L'Article 21 ne fonctionne pas en isolation. Il s'articule avec un ensemble d'articles qui forment le cadre complet de conformité NIS2 :
| Article | Objet | Lien avec Art. 21 |
|---|---|---|
| Art. 20 | Gouvernance | Les dirigeants approuvent et supervisent les mesures Art. 21 |
| Art. 23 | Notification d'incidents | La mesure (b) d'Art. 21 prépare à l'obligation de notification |
| Art. 24 | Normes et certifications | Précise quelles normes peuvent satisfaire les exigences Art. 21 |
| Art. 32-33 | Supervision et contrôle | Mécanismes de vérification de la conformité à Art. 21 |
| Art. 34 | Sanctions | Sanctions en cas de non-respect des mesures Art. 21 |
Approche par les risques vs approche par les contrôles
NIS2 adopte une approche par les risques, pas une liste de contrôles à cocher. Cela signifie :
- Chaque entité doit évaluer ses propres risques et adapter ses mesures en conséquence
- Il n'y a pas de checklist universelle : deux entités du même secteur peuvent avoir des mesures différentes si leurs risques diffèrent
- L'entité doit justifier ses choix lors des contrôles — pourquoi telle mesure a été jugée appropriée
- La mesure (f) — évaluation de l'efficacité — ferme la boucle : les mesures doivent être vérifiées et ajustées
C'est un contraste avec l'approche ISO 27001 qui repose sur 93 contrôles prédéfinis de l'Annexe A. Les deux approches sont complémentaires : l'ISO 27001 fournit un cadre de contrôles exhaustif, NIS2 exige de les prioriser par le risque.
Actes d'exécution et normes techniques
L'Article 21 §4 confie à la Commission européenne le pouvoir d'adopter des actes d'exécution précisant les exigences techniques et méthodologiques des mesures. Le premier acte d'exécution (Règlement 2024/2690) a été publié le 17 octobre 2024 et concerne les fournisseurs de services numériques (cloud, places de marché, moteurs de recherche).
Pour les entités françaises, les objectifs de sécurité ANSSI viendront compléter ces actes d'exécution en les adaptant au contexte national.