🎙⏯ RGPD, IA & Cybersécurité : Prochains webinaires et replays 🎙⏯ RGPD, IA & Cybersécurité : Prochains webinaires et replays 🎙⏯ RGPD, IA & Cybersécurité : Prochains webinaires et replays 🎙⏯ RGPD, IA & Cybersécurité : Prochains webinaires et replays
Appelez-nous au +(33)4 28 70 91 81
Se connecter

NIS 2 : Ce que les entreprises doivent savoir sur la nouvelle directive cybersécurité

Accueil FAQ NIS 2 : Ce que les entreprises doivent savoir sur la nouvelle directive cybersécurité

1. Qu’est-ce que la directive NIS 2 ?

La directive NIS 2 (Network and Information Security 2) est un texte européen adopté pour renforcer la cybersécurité des entités publiques et privées en Europe. Elle remplace la directive NIS 1 de 2016 et élargit considérablement le périmètre des entités concernées, tout en imposant des exigences plus strictes en matière de sécurité des systèmes d’information.

2. Quelles sont les différences entre NIS 1 et NIS 2 ?

Critère NIS 1 NIS 2
Nombre d’entités concernées Quelques centaines Plusieurs milliers
Secteurs couverts 10 secteurs critiques 18 secteurs + chaînes d’approvisionnement
Obligations Déclaration d’incidents Mesures de cybersécurité + formation + gouvernance
Sanctions Peu précisées Responsabilité juridique renforcée

3. Pourquoi la directive NIS 2 est-elle stratégique pour l’UE ?

  • Hausse des cyberattaques ciblant les PME et les chaînes de sous-traitance
  • Uniformisation de la cybersécurité dans tous les États membres
  • Création d’un réseau européen de gestion de crise (CyCLONe)
  • Sécurisation du tissu économique et des services essentiels

4. Mon entreprise est-elle concernée par NIS 2 ?

✔️ Vous êtes concerné si :

  • Vous appartenez à un des 18 secteurs listés dans les annexes I et II (ex. : santé, énergie, numérique, télécoms, eau, finances, administration publique, etc.)
  • Votre entreprise dépasse les seuils suivants :
    • ≥ 50 salariés
    • OU > 10 millions € de CA ou bilan annuel
  • Vous fournissez un service critique (même en dessous des seuils, sur désignation de l’État)

5. Et si mon entreprise est multinationale ou a plusieurs entités juridiques ?

Chaque entité est évaluée séparément selon :

  • Son lieu d’établissement (filiale, succursale, bureau)
  • Sa gouvernance cybersécurité (établissement principal)
  • Le secteur concerné
  • Le pays dans lequel elle fournit des services

Le groupe n’est pas considéré juridiquement comme une entité unique.

6. Les collectivités territoriales sont-elles concernées par NIS 2 ?

Oui, potentiellement. Chaque État membre peut choisir d’inclure certaines collectivités dans le périmètre NIS 2. En France, ce périmètre est en cours de définition, mais l’ANSSI recommande vivement aux collectivités de se préparer dès maintenant.

7. Comment s’enregistrer en tant qu’entité régulée par NIS 2 ?

  • Rendez-vous sur le portail Mon Espace NIS 2 (ANSSI)
  • Renseignez les informations obligatoires :
    • Nom, coordonnées, adresses IP exposées
    • Secteur et sous-secteur d’activité
    • États membres desservis
  • Déclarez toute modification dans un délai de 2 semaines à 3 mois selon votre statut

8. Quelles sont les nouvelles obligations de cybersécurité imposées par NIS 2 ?

Les entités essentielles et importantes doivent appliquer les 10 piliers suivants (article 21) :

  1. Analyse des risques et sécurité des SI
  2. Gestion des incidents
  3. Continuité des activités (sauvegardes, reprise)
  4. Sécurité de la chaîne d’approvisionnement
  5. Sécurité du développement des logiciels
  6. Évaluation de l’efficacité des mesures
  7. Cyberhygiène et formation des employés
  8. Utilisation de la cryptographie
  9. Sécurité des ressources humaines
  10. Authentification forte et systèmes de communication sécurisés

Les dirigeants sont responsables juridiquement de la mise en œuvre.

9. Quels systèmes d’information sont concernés par NIS 2 ?

Tous les SI de l’entité sont concernés, pas uniquement ceux liés aux services critiques. Une exclusion partielle est possible si une analyse de risques démontre que certains systèmes n’ont aucun impact potentiel sur les activités.

10. Comment savoir si un incident est « important » et doit être déclaré ?

Un incident est qualifié d’important s’il :

  • Perturbe gravement les services
  • Cause des pertes financières majeures
  • Affecte des tiers (clients, partenaires…)

L’ANSSI publiera un décret précisant les critères et la procédure de déclaration.

11. Peut-on choisir librement son prestataire pour se mettre en conformité ?

Oui. Les entités régulées sont libres de choisir leur prestataire cybersécurité. Il est recommandé de choisir un prestataire disposant d’une expertise en règlementation NIS 2, gestion des risques et audits de sécurité informatique.

12. Comment NIS 2 s’articule-t-elle avec le RGPD, DORA et le CRA ?

  • NIS 2 & RGPD : obligations complémentaires (protection des données vs sécurité des systèmes)
  • NIS 2 & DORA : DORA prime pour les entités financières (lex specialis)
  • NIS 2 & CRA : NIS 2 cible les opérateurs de services, le CRA concerne les produits numériques vendus sur le marché

13. Quels sont les seuils financiers et d’effectifs à retenir ?

Critère Petite entreprise Moyenne entreprise (min. NIS 2)
Effectifs < 50 salariés ≥ 50 salariés
Chiffre d’affaires < 10 M€ ≥ 10 M€
Bilan annuel < 10 M€ ≥ 10 M€

Les entreprises dépassant l’un des trois seuils sont potentiellement régulées par NIS 2.

14. Quels secteurs sont concernés par NIS 2 ?

Annexe I – Entités essentielles (secteurs hautement critiques)

  1. Énergie :
    • Électricité (production, transport, distribution)
    • Chauffage et refroidissement urbains
    • Pétrole (production, raffinage, stockage, transport)
    • Gaz (approvisionnement, transport, distribution, stockage)
    • Hydrogène
  2. Transports :
    • Aérien
    • Ferroviaire
    • Maritime et fluvial
    • Routier
  3. Banque : Établissements de crédit
  4. Infrastructures des marchés financiers :
    • Opérateurs de plateformes de négociation
    • Contreparties centrales
  5. Santé :
    • Prestataires de soins
    • Laboratoires de référence UE
    • Fabricants de dispositifs et médicaments essentiels
  6. Eau potable
  7. Eaux usées
  8. Infrastructures numériques :
    • Fournisseurs de points d’échange Internet, DNS, cloud, etc.
  9. Gestion des services TIC : MSP, MSSP
  10. Administration publique centrale
  11. Espace : Opérateurs de services liés à l’espace

Annexe II – Entités importantes (secteurs critiques)

  1. Services postaux et d’expédition
  2. Gestion des déchets
  3. Produits chimiques
  4. Agroalimentaire
  5. Fabrication (matériel médical, informatique, véhicules, etc.)
  6. Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
  7. Organismes de recherche
D'autres articles
sur le même sujet