NIS2

La directive NIS2 vous concerne-t-elle ?

Découvrez si votre entreprise est soumise aux nouvelles obligations européennes de cybersécurité et ce que cela implique pour vous.

Comprendre la directive NIS2

La directive NIS2 (Network and Information Security 2) est le nouveau cadre réglementaire européen en matière de cybersécurité. Adoptée en décembre 2022 et entrée en vigueur le 16 janvier 2023, elle renforce considérablement les exigences de la directive NIS1 de 2016.

Face à l'augmentation des cyberattaques et à la numérisation croissante de l'économie, l'Union Européenne a décidé d'élargir le périmètre des entités concernées et de durcir les obligations en matière de sécurité informatique. L'objectif : garantir un niveau de cybersécurité élevé et homogène dans l'ensemble de l'UE.

Les entités concernées par NIS2

NIS2 distingue deux catégories d'entités selon leur criticité pour l'économie et la société.

Entités essentielles

Contrôle proactif, sanctions élevées

  • Énergie (électricité, pétrole, gaz, hydrogène)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire et infrastructures des marchés financiers
  • Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
  • Eau potable et eaux usées
  • Infrastructure numérique (DNS, IXP, cloud, data centers)
  • Administration publique
  • Espace

Entités importantes

Contrôle a posteriori

  • Services postaux et de courrier
  • Gestion des déchets
  • Industrie chimique
  • Industrie agroalimentaire
  • Fabrication (dispositifs médicaux, équipements électroniques, machines)
  • Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
  • Recherche

Critères de taille

En plus des secteurs, NIS2 s'applique aux entreprises dépassant l'un ou l'autre de ces seuils :

50+

salariés

ou

10M€+

de chiffre d'affaires

Vous ne remplissez pas ces critères ? Vous pouvez tout de même anticiper et renforcer votre cybersécurité de manière proactive. De nombreuses entreprises choisissent de se préparer volontairement pour protéger leur activité et rassurer leurs partenaires.

Ce que NIS2 exige de vous

Les principales obligations à mettre en place pour être conforme.

Gouvernance et responsabilité

Les dirigeants sont personnellement responsables de la cybersécurité. Ils doivent approuver les mesures de gestion des risques et suivre des formations.

Mesures techniques

Mise en place de mesures de sécurité appropriées : contrôle d'accès, chiffrement, gestion des vulnérabilités, sécurité des réseaux.

Gestion des incidents

Procédures de détection, analyse et notification des incidents. Alerte sous 24h, rapport intermédiaire sous 72h.

Continuité d'activité

Plans de continuité et de reprise d'activité, sauvegardes, gestion de crise pour assurer la résilience de vos opérations.

Sécurité supply chain

Évaluation et sécurisation de vos relations avec fournisseurs et prestataires. Exigences contractuelles de cybersécurité.

Les sanctions en cas de non-conformité

Entités essentielles

10M€

ou 2% du chiffre d'affaires mondial

Entités importantes

7M€

ou 1,4% du chiffre d'affaires mondial

Au-delà des amendes, les dirigeants peuvent être tenus personnellement responsables en cas de manquement grave. La directive prévoit également la possibilité d'interdictions temporaires d'exercer pour les personnes physiques responsables.

Questions fréquentes sur NIS2

Tout ce que vous devez savoir sur la directive et ses implications pour votre entreprise.

Besoin d'un diagnostic personnalisé ?

Nos experts analysent gratuitement votre situation et vous indiquent si vous êtes concerné par NIS2.

Demander un diagnostic

RGPD Compliant

Données hébergées en France

Souveraineté

Acteur 100% français

Confidentialité

NDA systématique