Contactez-nous

Tél. +33 2 85 52 08 00

NIS2

Protégez vos infrastructures avec nos solutions adaptées à la nouvelle directive NIS2.

directive NIS2 : renforcer votre organisation

La directive #NIS2 (Network and Information Security 2), adoptée par l’Union européenne, marque une étape majeure dans la protection du tissu économique européen face à la montée des cybermenaces. Elle impose aux États membres et aux entreprises concernées de mettre en œuvre des mesures techniques, organisationnelles et de gouvernance destinées à améliorer la résilience des réseaux et systèmes d’information.


Son objectif : élever le niveau global de cybersécurité, assurer la continuité des activités critiques et limiter les impacts d’incidents majeurs sur les citoyens, les services publics et les entreprises.

entités essentielles et importantes :
qui est concerné ?

La directive distingue deux catégories d’organisations soumises à ses obligations

EE
Les entités essentielles

Ce sont les acteurs dont l’interruption pourrait avoir un impact majeur sur la société ou l’économie. Elles incluent notamment les opérateurs de services vitaux, les grandes infrastructures, les fournisseurs de services critiques et certaines entreprises de taille significative (plus de 250 employés ou 50 M€ de chiffre d’affaires annuel) ;

EI
Les entités importantes

Elles regroupent des structures de taille moyenne ou des acteurs clés de secteurs stratégiques dont une perturbation aurait un effet notable, sans pour autant être critique. Ces entités doivent se conformer à des exigences similaires, avec un niveau de contrôle allégé.

Dans les deux cas, les organisations doivent évaluer leurs risques, mettre en place des mesures de sécurité adaptées, et déclarer tout incident significatif aux autorités compétentes.

Les secteurs concernés

La directive #NIS2 élargit considérablement le périmètre des secteurs concernés par rapport à la première directive NIS. Elle s’applique désormais à un grand nombre d’activités stratégiques, parmi lesquelles :

Secteurs essentiels

  • Énergie (électricité, gaz, pétrole, chauffage, hydrogène)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Santé (hôpitaux, laboratoires, fournisseurs de dispositifs médicaux)
  • Eau potable et assainissement
  • Infrastructures numériques (centres de données, fournisseurs DNS, services cloud, réseaux)
  • Administrations publiques
  • Espace

Secteurs importants

  • Recherche et innovation
  • Services postaux et de messagerie
  • Gestion des déchets
  • Fabrication de produits critiques (équipements médicaux, électroniques, chimiques, machines industrielles, etc.)
  • Fournisseurs numériques (places de marché, moteurs de recherche, plateformes en ligne)

Les obligations clés pour se conformer

La directive NIS2 impose aux entités concernées une série d’exigences visant à renforcer leur niveau global de cybersécurité. Ces obligations s’articulent autour de quatre grands piliers : gouvernance, sécurité opérationnelle, gestion de crise et conformité réglementaire.

1. Gouvernance et responsabilité

Les dirigeants sont désormais directement responsables de la gestion des risques cyber.
Ils doivent :

  • approuver la stratégie de cybersécurité de l’organisation ;
  • superviser sa mise en œuvre effective ;
  • suivre régulièrement les risques et incidents ;
  • bénéficier d’une formation à la cybersécurité adaptée à leur rôle.

Le manquement à ces obligations peut engager leur responsabilité personnelle, notamment en cas de négligence avérée.

2. Mesures de sécurité minimales

Les entités doivent mettre en place un ensemble de mesures techniques et organisationnelles adaptées à leur niveau de risque, parmi lesquelles :

  • la gestion des risques de sécurité des systèmes d’information ;
  • la sécurisation de la chaîne d’approvisionnement ;
  • la gestion des identités et des accès ;
  • la protection contre les incidents (prévention, détection, réponse) ;
  • la sécurité des communications et des données ;
  • la continuité d’activité et la restauration après incident.

3. Notification des incidents

Tout incident majeur ayant un impact significatif sur la continuité des services doit être notifié :

  • dans les 24 heures : alerte préliminaire à l’autorité compétente (ANSSI en France) ;
  • dans les 72 heures : rapport complet sur la nature, l’impact et les mesures prises ;
  • rapport final à la clôture de l’incident.

Ces notifications permettent une meilleure coordination entre acteurs publics et privés face aux menaces émergentes.

4. Contrôles et sanctions

Les autorités nationales disposeront de pouvoirs étendus d’audit et d’inspection.
En cas de non-conformité, les sanctions peuvent atteindre :

  • jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles ;
  • jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités importantes.

Nos offres pour se préparer

👉 Si vous souhaitez bien démarrer, nous vous proposons un Diagnostic de maturité
Si vous avez déjà votre feuille de route, les éléments suivants peuvent vous intéresser.

Conseil

Analyse de risques, Certification ISO27k, Modèle Tiering Active Directory

Solutions

MFA, PAM, WAF, NAC, SASE

Sécurité managée

SOC360, EPP & EDR, FIREWALL360, DMARC360

Dans cette page