NIS2

NIS2 : ce que la nouvelle directive européenne change pour vous

Johann

1 min read
NIS2 : ce que la nouvelle directive européenne change pour vous

La directive NIS2 est la réforme européenne la plus importante en matière de cybersécurité. Et contrairement à ce qu'on pense, elle ne concerne pas que les grandes entreprises.

Qu'est-ce que NIS2 ?

Adoptée en décembre 2022, la directive NIS2 remplace la directive NIS de 2016. Son but : élever le niveau de cybersécurité dans l'UE. Les États membres devaient la transposer avant octobre 2024.

En France, c'est la LPM et le projet de loi « SILÈNE » qui portent cette transposition.

Êtes-vous concerné ?

NIS2 couvre deux catégories :

Entités essentielles — secteurs critiques (énergie, transport, santé, eau, infrastructures numériques)

Entités importantes — critères élargis :

  • Toute entreprise de 50+ salariés ET 10 M€ de CA dans certains secteurs
  • Les prestataires de services numériques (hébergement, SaaS, e-commerce)
  • Les chaînes d'approvisionnement

Si vous êtes une PME dans le numérique, la santé ou les services, NIS2 vous concerne probablement.

Vos nouvelles obligations

  • Gouvernance — La direction est responsable de la cybersécurité. Nommer un RSSI ou équivalent.
  • Gestion des risques — Identifier, évaluer et traiter les risques numériques.
  • Sécurité de la chaîne d'approvisionnement — Évaluer les risques liés à vos fournisseurs.
  • Plan de continuité d'activité — Garantir la reprise après incident.
  • Notification d'incidents — Signaler dans les 24h (pré-notification) et 72h (notification complète) à l'ANSSI.
  • Formation — Sensibiliser régulièrement les collaborateurs.
  • Chiffrement et MFA — Mesures techniques de base obligatoires.

Les sanctions

  • Entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial
  • Entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial
  • Possibilité de suspension d'activité pour les récidivistes

Par où commencer ?

  1. Faire un audit — Identifier vos actifs numériques et vos vulnérabilités
  2. Désigner un responsable cybersécurité — Une personne référente
  3. Mettre en place la MFA — Obligatoire selon NIS2
  4. Rédiger une politique de notification d'incidents
  5. Évaluer vos fournisseurs — Cartographier qui a accès à vos données

En bref

NIS2, ce n'est pas une menace — c'est une opportunité de structurer votre cybersécurité. Les entreprises qui s'y conforment résistent mieux aux attaques. Et l'investissement est bien inférieur au coût d'un incident.

Références :

Read more