NagaShield Security
Directive NIS2

Conformité NIS2 : qui est concerné et comment s'y préparer

La directive européenne NIS2 élargit fortement le périmètre des organisations soumises à des obligations de cybersécurité. Si vous opérez dans l'un des secteurs concernés, la question n'est plus « suis-je concerné ? » mais « suis-je prêt ? ». Voici l'essentiel — et comment je vous accompagne.

En résumé

NIS2 (directive UE 2022/2555) est la réglementation européenne qui renforce et élargit les exigences de cybersécurité pour les organisations de 18 secteurs jugés critiques. Elle remplace la première directive NIS et augmente fortement le nombre d'entités concernées. Les organisations visées sont classées en « entités essentielles » et « entités importantes ». Elles doivent mettre en place une gouvernance des risques cyber, adopter des mesures techniques et organisationnelles, notifier les incidents significatifs (alerte initiale sous 24h, notification sous 72h) et sécuriser leur chaîne d'approvisionnement. La directive prévoit la responsabilité des dirigeants et des sanctions financières dissuasives. La transposition en droit français est en cours.

Qu'est-ce que la directive NIS2 ?

NIS2 (Network and Information Security 2) est une directive européenne adoptée en 2022 (UE 2022/2555) qui succède à la directive NIS de 2016. Son objectif : relever le niveau global de cybersécurité dans l'Union européenne face à une menace en forte croissance.

Par rapport à NIS1, NIS2 élargit considérablement le champ des organisations concernées, harmonise les exigences entre États membres, renforce les obligations de gestion des risques et de notification d'incidents, et introduit la responsabilité directe des organes de direction. Chaque État transpose la directive dans son droit national ; en France, cette transposition est en cours.

Qui est concerné par NIS2 ?

NIS2 couvre 18 secteurs, répartis en secteurs « hautement critiques » et « critiques » : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, administration publique, espace, services postaux, gestion des déchets, fabrication (dispositifs médicaux, produits informatiques et électroniques, etc.), production et distribution de produits chimiques et alimentaires, fournisseurs numériques, recherche.

Le périmètre s'applique généralement aux moyennes et grandes entreprises de ces secteurs (à partir de 50 salariés ou 10 M€ de chiffre d'affaires), mais certaines entités sont concernées quelle que soit leur taille en raison de leur criticité.

Entités essentielles vs entités importantes

NIS2 distingue deux catégories. Les « entités essentielles » (secteurs hautement critiques, grandes entreprises) sont soumises à une supervision proactive. Les « entités importantes » font l'objet d'une supervision réactive (en cas d'incident ou de signalement). Les deux ont des obligations similaires ; le régime de contrôle et de sanction diffère.

Quelles sont les obligations NIS2 ?

NIS2 impose des mesures de gestion des risques de cybersécurité « appropriées et proportionnées ». Concrètement :

  • Mettre en place une politique d'analyse et de gestion des risques
  • Adopter des mesures techniques et organisationnelles (contrôle d'accès, chiffrement, MFA, sauvegardes, continuité d'activité)
  • Gérer les incidents : détection, traitement et notification
  • Sécuriser la chaîne d'approvisionnement et les relations avec les fournisseurs
  • Évaluer l'efficacité des mesures et pratiquer la cyber-hygiène et la formation
  • Impliquer et responsabiliser les organes de direction (qui peuvent être tenus responsables)

Notification des incidents : les délais

L'une des obligations phares de NIS2 concerne la notification rapide des incidents significatifs à l'autorité compétente (en France, l'ANSSI) :

  • Alerte précoce dans les 24 heures suivant la prise de connaissance de l'incident
  • Notification complète dans les 72 heures, avec évaluation de l'incident
  • Rapport final dans un délai d'un mois

Sanctions et responsabilité des dirigeants

NIS2 prévoit des sanctions financières dissuasives, pouvant atteindre plusieurs millions d'euros ou un pourcentage du chiffre d'affaires mondial selon la catégorie d'entité. Au-delà de l'amende, la directive introduit la responsabilité des organes de direction quant au suivi des mesures de cybersécurité — un changement majeur qui place le sujet au niveau du COMEX.

Comment se mettre en conformité NIS2 ?

La bonne nouvelle : les exigences NIS2 recoupent très largement celles de l'ISO 27001. Une organisation engagée dans une démarche SMSI structurée couvre déjà l'essentiel des attentes. La démarche type :

  • Déterminer si vous êtes concerné, et dans quelle catégorie (essentielle / importante)
  • Réaliser un diagnostic d'écart par rapport aux exigences NIS2
  • Conduire une analyse de risques et un plan de traitement priorisé
  • Mettre en place la gouvernance, les mesures techniques et les procédures de notification
  • Sécuriser la chaîne d'approvisionnement (clauses contractuelles, évaluation fournisseurs)
  • Former et impliquer la direction dans le pilotage

Mon accompagnement NIS2

NagaShield vous aide à déterminer votre éligibilité, à mesurer l'écart et à construire une feuille de route réaliste vers la conformité — en capitalisant sur les synergies avec l'ISO 27001 pour éviter les efforts redondants. En tant que RSSI externalisé, je peux aussi piloter la démarche dans la durée et porter la relation avec les autorités.

Questions fréquentes

Préparez votre conformité NIS2

Vérifions ensemble si vous êtes concerné et construisons votre feuille de route. Diagnostic d'éligibilité lors d'un échange de cadrage gratuit.

Demander un devis gratuit Réserver un échange

À lire aussi

Certification ISO 27001RSSI externaliséAudit & PentestTous nos services