Lors d’un entretien téléphonique gratuit et sans engagement avec un spécialiste Trustlinks local, nous examinerons si la directive européenne NIS2 est susceptible de s’appliquer à votre organisation et ce qu’implique généralement la mise en conformité. Cet entretien est purement informatif et ne constitue en aucun cas un avis juridique.
Spécialiste en conformité, Trustlinks
La directive NIS2 (UE) 2022/2555 constitue la nouvelle législation de l’Union européenne en matière de cybersécurité. Elle élargit considérablement le champ d’application de la directive NIS initiale, en couvrant un nombre bien plus important de secteurs et d’entreprises de toutes tailles, et renforce les exigences en matière de gestion des risques, de signalement des incidents, de sécurité de la chaîne d’approvisionnement et de responsabilité de la direction. Les États membres de l’UE étaient tenus de transposer la directive NIS2 dans leur législation nationale avant le 17 octobre 2024, et les autorités nationales veillent désormais activement à son application.
La directive NIS2 classe les organisations concernées en deux catégories : les entités « essentielles » et les entités « importantes », qui regroupent généralement les moyennes et grandes entreprises (50 salariés ou plus, ou un chiffre d’affaires supérieur à 10 millions d’euros) dans les secteurs ci-dessous. Certains prestataires critiques sont concernés, quelle que soit leur taille.
L’article 21 de la directive définit les mesures minimales de gestion des risques que chaque organisme concerné doit mettre en œuvre, en fonction de sa taille, de son exposition aux risques et de la probabilité d’incidents.
Politiques relatives à l’analyse des risques, à la sécurité des systèmes, à la cryptographie, au contrôle d’accès, à l’authentification multifactorielle (MFA) et au développement sécurisé — adaptées aux risques encourus.
Une alerte précoce dans les 24 heures, une notification complète de l’incident dans les 72 heures et un rapport final dans un délai d’un mois à l’adresse de votre CSIRT national.
Évaluez et gérez les risques liés à la cybersécurité chez vos fournisseurs directs et prestataires de services, et pas uniquement au sein de votre propre périmètre.
Les instances de direction doivent approuver les mesures de cybersécurité, superviser leur mise en œuvre et suivre régulièrement des formations. Elles engagent leur responsabilité personnelle.
La gestion des sauvegardes, la reprise après sinistre et les procédures de gestion de crise, toutes testées régulièrement.
Des processus coordonnés pour la réception, le tri et la correction des vulnérabilités de vos produits et services.
La directive NIS2 instaure certaines des sanctions les plus sévères de l’Union européenne en matière de cybersécurité, ainsi qu’une responsabilité personnelle pour les cadres supérieurs.
soit 2 % du chiffre d’affaires annuel mondial
soit 1,4 % du chiffre d’affaires annuel mondial
Les instances dirigeantes peuvent être tenues personnellement responsables en cas d’infractions, ce qui peut aller jusqu’à une interdiction temporaire d’exercer des fonctions de direction dans les cas graves.
Trustlinks associe une plateforme de conformité continue à une expertise et un accompagnement locaux, afin que vous puissiez vous mettre en conformité avec la directive NIS 2 plus rapidement et maintenir cette conformité au fur et à mesure que votre entreprise évolue.
Évaluez votre situation actuelle au regard de chaque article de la directive NIS2 en quelques jours, et non en plusieurs mois. Un plan de mise en conformité clair et hiérarchisé.
La plateforme Trustlinks automatise la collecte de données, le suivi des contrôles et la génération de rapports à tous les niveaux de votre infrastructure.
Faites appel à des consultants qui connaissent la législation nationale transposant la directive et l’autorité de régulation de votre secteur.
Générez la documentation que les auditeurs et les autorités demandent réellement — sans avoir à refaire des tableaux Excel chaque trimestre.
Si votre organisation exerce ses activités dans l’un des secteurs essentiels ou importants répertoriés et compte au moins 50 salariés ou réalise un chiffre d’affaires d’au moins 10 millions d’euros, la directive NIS2 est susceptible de s’appliquer à elle — et le seuil de taille n’est pas pris en compte pour certains prestataires critiques (par exemple, les services DNS, les registres de domaines de premier niveau, l’administration publique). Un entretien téléphonique de 15 minutes constitue un bon moyen d’en discuter, mais une décision définitive doit être prise en consultation avec un conseiller juridique qualifié.
La directive NIS 2 couvre un nombre bien plus important de secteurs (environ 15 contre 7), supprime la marge d’appréciation dont disposaient les États membres et qui conduisait à des divergences dans la définition du champ d’application de la directive NIS, instaure des délais plus stricts pour le signalement des incidents, impose la gestion des risques liés à la chaîne d’approvisionnement et prévoit une responsabilité personnelle des dirigeants, assortie d’amendes nettement plus élevées.
Une alerte précoce adressée à votre CSIRT national dans les 24 heures suivant la prise de connaissance d’un incident majeur, une notification d’incident dans les 72 heures (comprenant une première évaluation) et un rapport final dans un délai d’un mois.
Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % pour les entités importantes. Les dirigeants peuvent également faire l’objet de sanctions à titre personnel, notamment des interdictions temporaires d’exercer des fonctions de direction.
La directive NIS2 est entrée en vigueur le 16 janvier 2023, et les États membres de l’UE étaient tenus de la transposer dans leur législation nationale avant le 17 octobre 2024. Sa mise en œuvre au niveau national est désormais effective dans toute l’UE.
La directive NIS2 n’impose pas de référentiel spécifique, mais la certification ISO 27001 (et ses équivalents) couvre la majorité des exigences de la directive NIS2 en matière de gestion des risques et facilite considérablement la démonstration de la conformité. Trustlinks établit pour vous une correspondance entre vos contrôles existants et les articles de la directive NIS2.
La mise en place initiale de la conformité prend généralement plusieurs mois, en fonction de la taille et du degré de maturité de votre organisation. L’évaluation des écarts prend entre 2 et 4 semaines ; la mise en conformité et la collecte des preuves constituent l’investissement le plus important. Mais la conformité à la directive NIS2 n’est pas une simple formalité ponctuelle : il s’agit d’un travail continu, intégré aux opérations de votre organisation. Trustlinks centralise l’ensemble des processus, de l’évaluation des écarts et de l’analyse des risques à la gestion des fournisseurs et à la collecte des preuves, au sein d’une seule et même plateforme, afin que vous gardiez le contrôle à chaque étape.
Nous examinons si la directive NIS2 est susceptible de s’appliquer à votre organisation, nous discutons du niveau d’entité susceptible de s’appliquer, nous identifions les lacunes courantes et nous vous présentons les grandes lignes d’une feuille de route réaliste en matière de conformité. Il s’agit d’un entretien d’information — et non d’un conseil juridique — et vous ne subirez aucune pression commerciale. Pour obtenir une évaluation définitive de vos obligations, nous vous recommandons de consulter un conseiller juridique qualifié.
Discutez avec un spécialiste Trustlinks local. Aucune préparation n’est nécessaire : venez avec vos questions et nous ferons le point sur votre situation et sur les étapes suivantes habituelles. À titre informatif uniquement ; ne constitue pas un conseil juridique.
Cette consultation est fournie à titre informatif et ne constitue pas un conseil juridique ni n’établit de relation client. Pour obtenir une évaluation faisant autorité concernant vos obligations, veuillez consulter un conseiller juridique qualifié.
Spécialiste en conformité, Trustlinks
Vous avez des questions sur les tarifs, les cadres ou la manière dont Trustlinks peut s’adapter à votre organisation ? Notre équipe est là pour vous aider à trouver la solution qui vous convient.
→ Ou consultez notre foire aux questions
Vous avez besoin d’aide pour utiliser la plateforme ou vous rencontrez un problème ? Notre équipe d’assistance est prête à vous aider.
Trustlinks protège tes données personnelles. On te contactera seulement pour te parler de nos solutions.