Encore NIS2 ? Oui, parce que c’est (très) sérieux.

Guillaume

Guillaume

5 min read

En Cybersécurité, les menaces évoluent, s'adaptent, se transforment. Face à l’explosion des menaces en ligne, l’Union Européenne a décidé de durcir les règles. C’est dans ce contexte qu’est née la directive NIS2, adoptée fin 2022, avec une ambition claire : mieux protéger les entreprises et les services essentiels à l’échelle européenne.

Concrètement, NIS2 va beaucoup plus loin que la première version de 2016. À l’époque, seules les infrastructures dites "critiques" étaient ciblées. Cette fois, le champ s’élargit fortement : de nombreuses entreprises de taille moyenne et même des prestataires de services numériques sont désormais concernés. Si votre activité touche à un secteur sensible, vous l’êtes probablement tout autant. En tant qu'entreprise Française, si vous êtes dans ce cas (nous le vérifirons plus tard), vous avez jusqu'au 31 décembre 2027 pour vous mettre en conformité.

Type d’entreprises concernées par la directive NIS2

La directive NIS2 classe les entités concernées en deux grandes catégories : les Entités Essentielles (EE) et les Entités Importantes (EI). Cette classification dépend à la fois du secteur d’activité et de la taille (nombre d’employés et chiffre d'affaires).

Les Entités Essentielles sont des organisations qui opèrent dans un secteur hautement critique pour la sécurité ou le bon fonctionnement de la société et de l'économie.
Elles sont soumises à des obligations strictes en matières de cybersécurité, de gestion des risques et de signalement d'incidents.

Parmi les obligations des Entités Essentielles :

  • Mise en place d’une gestion des risques cyber
  • Formation et sensibilisation du personnel
  • Notification obligatoire des incidents
  • Contrôles et audits réguliers
  • Gouvernance de la cybersécurité
  • Sécurisation de la chaîne d'approvisionnement

Les Entités Importantes sont les organisations actives dans un secteur critique, mais dont les services sont moins vitaux que ceux des entités essentielles. Elles sont également soumises à NIS2, avec des obligations similaires, mais les contrôles des autorités sont moins fréquents ou déclenchés en cas de soupçon de non-conformité.

Parmi les obligations des Entités Importantes :

  • Mise en place d’une gestion des risques cyber
  • Sensibilisation et formation
  • Notification des incidents
  • Documentation et rapport
  • Responsabilité du management

En cas de non-conformité, les sanctions prévues sont :

  • Jusqu'à 10 millions d'euros d'amende ou 2% du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu).
  • Mise en responsabilité directe des dirigeants.
  • Risque de suspension d'activité ou retrait d'autorisation dans les cas les plus graves ou répétés.

Il est à noter que les obligations, bien que parfois semblables, peuvent avoir des niveaux d'exigences différentes. Plus important encore, le délai pour la déclaration d'un incident de cybersécurité est de 24h à date de la découverte de l'alerte initiale.

NIS2 s'applique aux Entités Essentielles dont les caractéristiques sont les suivantes :

  • Plus de 250 salariés
  • Chiffre d’affaires annuel supérieur à 50 millions d’euros
  • Bilan annuel supérieur à 43 millions d’euros

Aux Entités Importantes de :

  • Plus de 50 salariés
  • Chiffre d’affaires annuel supérieur à 10 millions d’euros

Mais attention, il existe certaines dérogations et cas particulier prévus par la directive. Une PME de 30 salariés fournissant un logiciel de gestion à plusieurs hôpitaux peut être considérée comme entité importante si sa défaillance met en péril la continuité de soins, tout comme l'administration publique.

Liste des domaines impactés

Ce n’est pas la partie la plus palpitante, on vous l’accorde… mais voici les secteurs visés par NIS2. Prenez le temps de vérifier si votre entreprise est rattachée à l'une des catégories ci-dessous.

Entités Essentielles :

  • Énergie : électricité, gaz, pétrole, réseau de chaleur et de froid, hydrogène
  • Transports : aérien, ferroviaire, maritime, routier
  • Secteur bancaire
  • Infrastructures des marchés financiers
  • Santé : hôpitaux, laboratoires, recherche, fabrication pharmaceutique/dispositifs médicaux critiques
  • Eau : potable, usée
  • Infrastructures numériques : hébergement, cloud, DNS, centres de données, CDN
  • Gestion des services TIC : prestataires de services informatiques interentreprises
  • Administration publique centrale
  • Secteur spatial (infrastructures terrestres)

Entités Importantes :

  • Services postaux et d’expédition
  • Gestion des déchets
  • Chimie : fabrication, production et distribution
  • Agroalimentaire : production, transformation et distribution d’aliments
  • Industrie manufacturière : équipements médicaux, électroniques, optiques, machines, véhicules
  • Fournisseurs numériques : moteurs de recherche, places de marché, réseaux sociaux
  • Recherche

Être prêt oui, mais pour quand ?

Oui, la date limite de conformité est fixée à fin 2027… mais ne vous y trompez pas.
La mise en conformité NIS2 est un long chantier, complexe et structurant.

Ce n’est pas une simple case à cocher, ni un document à remplir à la dernière minute. C’est une transformation progressive qui touche aux processus, aux outils, à la gouvernance… et surtout à la culture de l’entreprise.

Nous vous accompagnons dans cette transformation !

À travers des formations ciblées, conçues pour vous aider à répondre aux exigences NIS2 tout en développant des compétences concrètes et immédiatement actionnables.

NIS2 exige la désignation d'un responsable de la cybersécurité et de la gestion des cyber-incidents. Même si le terme "Responsable de la sécurité des systèmes d'information" n’est pas explicitement imposé, une personne compétente doit porter cette responsabilité et être en capacité de piloter la démarche. Que vous soyez en phase de prise de fonction, en recherche de montée en compétence, vous devez former votre personnel pour être conforme aux exigences ou simplement curieux de comprendre ce que cela implique.

Nous vous proposons :

  • Des formations dédiées à la compréhension de la cybersécurité, des cybermenaces et à la mise en œuvre des exigences NIS2.
  • Un accompagnement à la mise en place d’une gouvernance cyber adaptée à votre structure.
  • Mais surtout, un programme de montée en compétences pensé pour les entreprises qui partent de zéro ou qui veulent renforcer leur organisation.

Notre premier module de formation NIS2 pose les bases indispensables en cybersécurité. Il aborde les attaques les plus courantes, avec un objectif clair : vous donner la culture générale nécessaire pour les reconnaître, vous en protéger efficacement et en limiter les impacts. Suivront des modules complémentaires sur :

  • La gestion des risques cyber
  • La mise en place d’un plan de réponse aux incidents et la gestion des incidents
  • La construction d’un cadre de conformité durable.

"N’attendez pas 2027 pour agir. La résilience cyber se construit aujourd’hui, étape par étape, et nous sommes là pour vous y aider."

Read more

Localisation des données dans le cloud : entre RGPD, souveraineté et géopolitique

Le cloud est devenu le socle numérique de nombreuses entreprises : applications, données, sauvegardes, intelligence artificielle, tout transite désormais par des infrastructures invisibles, réparties sur des centres de données à travers le monde. Mais des questions cruciales restent trop souvent négligées, incomprises : où résident réellement nos données ? Qui peut y accéder

By Guillaume