Qu’est-ce que NIS2 ?
La directive NIS2 (UE 2022/2555) est la nouvelle loi européenne en matière de cybersécurité visant à renforcer la protection des services critiques et numériques.
Elle élargit le périmètre de la directive NIS initiale, introduit des règles de sécurité et de reporting plus strictes, et engage la responsabilité de la direction en matière de conformité.
À compter du 17 avril 2025, NIS2 garantit un niveau uniforme de cybersécurité dans tous les États membres de l’UE.
Secteurs les plus touchés
NIS2 étend son champ d'application de 7 à 15 secteurs critiques, couvrant un plus large éventail de services essentiels et numériques.
Exigences plus strictes
La directive instaure des obligations plus strictes en matière de cybersécurité et de déclaration, garantissant une protection et une responsabilité accrues.
Application plus stricte
Le non-respect de ces règles peut entraîner des amendes importantes et engager la responsabilité juridique de la haute direction.
Êtes-vous concerné par NIS2 ?
La directive NIS2 introduit des règles de cybersécurité plus strictes pour les entreprises opérant dans des secteurs critiques. D’ici le 17 avril 2025, les pays de l’UE doivent identifier toutes les entités essentielles et importantes, avec une mise à jour tous les deux ans.
NPS Consult Group aide les entreprises à évaluer leur conformité, à renforcer leur résilience cyber et à éviter les sanctions.
La nouvelle directive NIS2 s’applique désormais à 11 secteurs essentiels et 7 secteurs importants dans toute l’Union européenne.
La directive NIS2 s’applique-t-elle à votre organisation ?
Vous êtes concerné par la directive NIS2 si :
Exceptions
Les petites organisations peuvent malgré tout être classées comme essentielles ou importantes si elles sont les seules à fournir un service vital ou si une interruption aurait un impact sociétal ou économique majeur.
Catégorie | Employés | Chiffre d’affaires annuel |
Entité moyenne | ≥ 50 | ≥ 10 millions d'euros |
Grande entité | ≥ 250 | ≥ 50 millions d'euros |
Entités essentielles
Transport
Energie
Banque
Domaine public
Secteur de la santé
Espace
Eau potable
Eaux usées
Infrastructure numérique
Infrastructures des marchés financiers
Gestion des services informatiques
Entités importantes
Nourriture
Produits chimiques
Services postaux et de messagerie
Fournisseurs numériques
Gestion des déchets
Organisations de recherche
Fabrication de dispositifs médicaux
Sanctions en cas de non-conformité à NIS2
Entités essentielles
Amendes administratives jusqu'à
10 000 000€ ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Entités importantes
Amendes administratives jusqu'à
7 000 000€ ou 1.4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Complexités juridictionnelles
Dans le cadre de NIS2, les entités relèvent de la juridiction de chaque État membre de l’UE dans lequel elles fournissent des services.
Les organisations opérant dans plusieurs pays sont supervisées par toutes les autorités compétentes.
Les entités dépendantes d’activités situées hors UE doivent garantir que leurs opérations dans l’UE restent fonctionnelles en cas de perturbation de ces services externes.
Mesures de gestion des risques en cybersécurité
La directive NIS2 exige que toutes les entités essentielles et importantes mettent en œuvre des mesures techniques, opérationnelles et organisationnelles proportionnées afin de gérer les risques en cybersécurité et d’assurer la continuité des services.
Ces mesures doivent couvrir l’ensemble du cycle de vie des systèmes numériques et se concentrer sur la prévention et l’atténuation des incidents susceptibles de perturber les opérations ou de compromettre les données. Elles doivent être proportionnées au niveau d’exposition aux risques de l’entité et sont définies à l’article 21 (2a) et (2f).
Ces mesures doivent inclure au minimum:
Analyse des risques et sécurité des systèmes d'information
Gestion des incidents
Mesures de continuité des activités (sauvegardes, reprise après sinistre, gestion de crise)
Sécurité de la chaîne d'approvisionnement
Sécurité dans l'acquisition, le développement et la maintenance des systèmes
Politiques et procédures d'évaluation de l'efficacité des mesures de gestion des risques de cybersécurité
Hygiène et formation informatiques de base
Politiques relatives à l'utilisation appropriée de la cryptographie et du chiffrement
Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs
Utilisation de l'authentification multifacteur, des communications vocales/textuelles/vidéo sécurisées et des communications d'urgence sécurisées
Nous vous accompagnons vers la conformité NIS2
Nous vous guidons à chaque étape de votre mise en conformité NIS2 : analyse de maturité, définition du plan d’action, gestion des risques, accompagnement à la gouvernance, mise en place des mesures de sécurité et préparation aux audits. Nos experts transforment les obligations réglementaires en solutions concrètes, adaptées à votre organisation, pour renforcer durablement votre cybersécurité.
Basic
Sécurité fondamentale et conformité minimum garantie
-
Inventaire et gestion des actifs
-
Politiques de base et conformité
-
Protection essentielle
Important
Couverture renforcée et processus continu
-
Surveillance et détection
-
Gouvernance structurée
-
Gestion des risques
-
Chaîne d’approvisionnement sécurisée
-
Sensibilisation renforcée
Essentiel
Protection totale et gestion proactive des risques
-
Amélioration continue
-
Automatisation et détection avancées
-
Réponse aux incidents et récupération
-
Sécurité proactive
-
Gouvernance complète
-
Résilience organisationnelle