La directive NIS2 (Network and Information Security 2) est la mise à jour de la directive NIS de 2016. Applicable depuis octobre 2024 dans l'Union européenne, elle élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. En France, la transposition législative est en cours — et les premières obligations s'imposeront progressivement en 2025 et 2026.
Qui est concerné par NIS2 ?
NIS2 s'applique à des entités essentielles et des entités importantes dans des secteurs critiques. Parmi les secteurs visés :
- Énergie, transports, eau
- Santé (laboratoires, hôpitaux, fabricants de dispositifs médicaux)
- Infrastructure numérique (hébergeurs, fournisseurs cloud, datacenters)
- Services numériques (places de marché, moteurs de recherche)
- Administration publique
Une PME de 50 à 249 employés peut être qualifiée d'entité importante si elle évolue dans l'un de ces secteurs. En dessous de 50 salariés, les micro-entreprises sont généralement exemptées — sauf si elles jouent un rôle critique dans la chaîne d'approvisionnement d'une entité essentielle.
Les nouvelles obligations pour les entités concernées
1. Gouvernance de la cybersécurité
Les dirigeants et les conseils d'administration sont désormais directement responsables de la cybersécurité. Ils doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre et suivre des formations spécifiques.
2. Gestion des risques
Les entités doivent mettre en place des mesures techniques et organisationnelles proportionnées : politique de sécurité, gestion des vulnérabilités, contrôle des accès, cryptographie, sécurité de la chaîne d'approvisionnement.
3. Notification des incidents
En cas d'incident significatif, l'obligation de notification à l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est renforcée :
- 24h pour le signalement initial
- 72h pour le rapport intermédiaire
- 1 mois pour le rapport final
4. Sécurité de la chaîne d'approvisionnement
Les entités concernées doivent évaluer et sécuriser leurs relations avec leurs sous-traitants et prestataires. Cela signifie concrètement que même les prestataires IT d'une entité NIS2 peuvent être indirectement touchés par la réglementation.
Quelles sanctions en cas de non-conformité ?
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA mondial.
Par où commencer ?
Si vous pensez être concerné par NIS2 :
- Vérifiez si votre secteur et votre taille vous qualifient (ressource ANSSI disponible sur le site officiel)
- Réalisez un audit de votre niveau de maturité cybersécurité actuel
- Formalisez votre politique de sécurité et votre plan de gestion des incidents
- Évaluez la sécurité de vos prestataires et sous-traitants IT
AT HOM S SOFTWARE vous accompagne dans l'audit et la mise en conformité de votre infrastructure. Parlons-en.
📬 Cet article vous a plu ?
Recevez nos prochains articles directement par email. Pas de spam, désabonnement en un clic.