NIS2

Qu'est-ce que NIS2 ? Un guide complet pour les entreprises françaises

Découvrez tout sur la directive NIS2 et la loi française de transposition : organismes concernés, écueils courants et préparation étape par étape.

K
Kim Borg
6 min de lecture
  1. 18
    secteurs sont concernés par NIS2, contre 7 dans la directive NIS originale
    Commission européenne
  2. 24
    heures maximum pour le signalement initial d'incident
    Directive NIS2 Article 23
  3. 10
    millions d'euros ou 2% du chiffre d'affaires mondial en amendes maximales
    Directive NIS2 Article 34
Business leader and security advisor discussing NIS2 implementation

Qu’est-ce que la directive NIS2 ?

NIS2 (Network and Information Security Directive 2) est le cadre européen de cybersécurité mis à jour qui remplace la directive NIS originale de 2016. En France, la directive est implémentée par la loi de transposition de la directive NIS 2 entrée en vigueur le 17 octobre 2024.

L’objectif est de créer un niveau de cybersécurité plus élevé et plus uniforme dans toute l’UE — non pas en créant de la bureaucratie, mais en renforçant la résilience réelle des organisations face aux cybermenaces.

Important à comprendre : NIS2 ne concerne pas seulement la compliance. C’est une opportunité de renforcer la sécurité et la crédibilité de votre organisation, tant en interne qu’en externe. Les organisations qui l’envisagent comme un changement culturel plutôt qu’un projet ponctuel réussiront le mieux.

Votre organisation est-elle concernée ?

Critères de taille

Généralement, sont concernées les organisations qui remplissent au moins un des critères suivants :

  • Au moins 50 employés
  • Au moins 10 millions d’euros de chiffre d’affaires annuel

Secteurs à haute criticité (entités essentielles)

Ceux-ci sont soumis aux exigences les plus strictes et aux sanctions les plus lourdes :

  • Énergie — électricité, pétrole, gaz, chauffage urbain, hydrogène
  • Transport — aviation, ferroviaire, transport routier, maritime
  • Banque et infrastructures de marché financier
  • Santé — hôpitaux, laboratoires, médicaments
  • Eau potable et eaux usées
  • Infrastructure numérique — DNS, centres de données, services cloud
  • Gestion des services TIC (services managés B2B)
  • Administration publique au niveau central
  • Espace — infrastructure terrestre

Autres secteurs critiques (entités importantes)

  • Services postaux et de messagerie
  • Gestion des déchets
  • Produits chimiques
  • Production et distribution alimentaires
  • Fabrication (dispositifs médicaux, électronique, véhicules)
  • Fournisseurs numériques (places de marché, moteurs de recherche)

ATTENTION : Certains services critiques — comme les fournisseurs DNS, les services de confiance qualifiés et les registres TLD — sont concernés quelle que soit leur taille. Les sous-traitants peuvent aussi être impactés indirectement par les exigences clients.

Vous n’êtes pas sûr d’être concerné ? Utilisez notre outil de classification NIS2 pour obtenir rapidement une réponse basée sur votre activité et votre taille.

Écueils courants à éviter

Beaucoup d’organisations font les mêmes erreurs en abordant NIS2. Voici les écueils les plus courants :

Travail en silos

La sécurité est traitée comme une question purement informatique au lieu d'une priorité transversale. NIS2 exige l'implication de toute l'organisation.

Manque d'engagement de la direction

Sans soutien actif du conseil d'administration et de la direction, il manque le mandat et les ressources. NIS2 pose des exigences explicites sur la responsabilité de la direction.

Manque de ressources et sous-priorisation

La sécurité est vue comme une fonction support au lieu d'une activité core. Cela mène à des investissements insuffisants et des efforts à moitié.

Dépendance aux personnes

Une dépendance trop importante aux personnes clés crée de la vulnérabilité. Les connaissances et processus doivent être documentés et partagés.

Problème fondamental : La sécurité devient un projet ponctuel au lieu d’un changement culturel et organisationnel à long terme.

Commencer — étape par étape

Se préparer à NIS2 ne doit pas être écrasant. Voici un modèle pragmatique en cinq étapes :

  1. Analyse d'écart Cartographiez la situation actuelle par rapport aux exigences NIS2. Identifiez les lacunes dans la technologie, les processus, la documentation et la répartition des responsabilités. Cela donne une image claire de ce qui doit être fait.
  2. Développement des connaissances Formez la direction, le conseil d'administration et les fonctions clés sur les exigences et conséquences de la directive. Sans compréhension au bon niveau, il devient difficile d'obtenir le mandat et les ressources.
  3. Planification stratégique Créez un plan annuel structuré avec un suivi documenté. Divisez le travail en parties gérables avec des jalons clairs et des responsables.
  4. Travail transversal Impliquez toute l'organisation — IT, juridique, RH, métier. Nommez un responsable mais évitez de tout centraliser chez une personne ou un service.
  5. Priorisation basée sur les risques Commencez par les risques les plus élevés. Implémentez des améliorations continues basées sur des évaluations de risques régulières. Le parfait est l'ennemi du suffisamment bien.

“Le parcours est l’objectif” — L’important est de commencer là où vous êtes et de prendre de petites étapes dans la bonne direction. La conformité NIS2 n’est pas un objectif final mais un processus d’amélioration continue.

Signalement d’incidents — les nouvelles contraintes de temps

NIS2 introduit des délais beaucoup plus stricts pour le signalement des incidents de sécurité significatifs :

DélaiRapportContenu
24 heuresAlerte précoceNotification initiale qu’un incident s’est produit, évaluation préliminaire des effets transfrontaliers
72 heuresNotification d’incidentMise à jour avec évaluation de la gravité, impact et éventuels indicateurs de compromission
1 moisRapport finalAnalyse complète avec cause racine, mesures prises et leçons apprises

Un incident est considéré comme “significatif” s’il a causé ou peut causer une perturbation opérationnelle grave, une perte économique, ou a affecté d’autres par des dommages matériels ou immatériels.

Sanctions et conséquences

NIS2 introduit des sanctions considérablement plus strictes :

Entités essentielles : Jusqu’à 10 millions € ou 2% du chiffre d’affaires annuel mondial

Entités importantes : Jusqu’à 7 millions € ou 1,4% du chiffre d’affaires annuel mondial

Selon le montant le plus élevé

Outre les amendes, les autorités de surveillance peuvent :

  • Exiger la publication des violations
  • Émettre des déclarations publiques identifiant les responsables
  • Dans les cas graves, émettre des interdictions temporaires d’exercer des fonctions de direction

Vous voulez approfondir ? Découvrez plus sur la structure et les exigences de la directive NIS2 sur notre page dédiée aux cadres réglementaires.

Comment Securapilot peut vous aider

Securapilot offre une plateforme complète pour la conformité NIS2 qui rend le parcours gérable :

  • Analyse d’écart automatisée — cartographiez la situation actuelle par rapport aux exigences NIS2
  • Module de gestion des risques — évaluation des risques basée sur ISO 27005
  • Gestion d’incidents — génération automatique de rapports dans les délais
  • Gestion des fournisseurs — sécurité dans toute la chaîne d’approvisionnement
  • Tableau de bord direction — vue d’ensemble pour le conseil d’administration et la direction

Réservez une démo pour voir comment nous pouvons aider votre organisation dans son parcours vers la conformité NIS2.

Questions fréquentes

Quand NIS2 entre-t-elle en vigueur en France ?

NIS2 est implémentée en France par la loi de transposition de la directive NIS 2, entrée en vigueur le 17 octobre 2024. Les organisations concernées auraient déjà dû commencer leur travail de mise en conformité.

Quelles entreprises sont concernées par NIS2 ?

Généralement, les organisations d'au moins 50 employés ou 10 millions d'euros de chiffre d'affaires dans les 18 secteurs définis. Certains services critiques sont concernés quelle que soit leur taille. Les sous-traitants peuvent aussi être impactés indirectement par les exigences clients.

Que se passe-t-il si on ne respecte pas NIS2 ?

Les entités essentielles risquent des amendes jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial. Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4%. La direction peut également être tenue personnellement responsable.

Combien de temps faut-il pour être conforme à NIS2 ?

Cela varie selon le niveau de maturité actuel, mais comptez 6 à 18 mois pour une implémentation complète. L'important est de commencer là où vous êtes et de prendre de petites étapes dans la bonne direction — le parcours est l'objectif.

Sommes-nous impactés en tant que sous-traitant ?

Oui, indirectement. NIS2 impose des exigences de sécurité dans la chaîne d'approvisionnement, ce qui signifie que les organisations concernées vont imposer des exigences de sécurité à leurs fournisseurs. Même si vous n'êtes pas directement concerné, vous pourriez devoir respecter certaines exigences pour conserver vos clients.

#NIS2#cybersécurité#compliance#directive-UE#sécurité-information#ANSSI

Plus d'articles

Nous utilisons des statistiques anonymes sans cookies pour améliorer le site. En savoir plus