La conformité à la directive NIS2, expliquée en 15 minutes

Consultation gratuite de 15 minutes

Lors d’un entretien téléphonique gratuit et sans engagement avec un spécialiste Trustlinks local, nous examinerons si la directive européenne NIS2 est susceptible de s’appliquer à votre organisation et ce qu’implique généralement la mise en conformité. Cet entretien est purement informatif et ne constitue en aucun cas un avis juridique.

LA DIRECTIVE NIS2 EN BREF

Qu'est-ce que la directive NIS2 ?

La directive NIS2 (UE) 2022/2555 constitue la nouvelle législation de l’Union européenne en matière de cybersécurité. Elle élargit considérablement le champ d’application de la directive NIS initiale, en couvrant un nombre bien plus important de secteurs et d’entreprises de toutes tailles, et renforce les exigences en matière de gestion des risques, de signalement des incidents, de sécurité de la chaîne d’approvisionnement et de responsabilité de la direction. Les États membres de l’UE étaient tenus de transposer la directive NIS2 dans leur législation nationale avant le 17 octobre 2024, et les autorités nationales veillent désormais activement à son application.

QUI EST CONCERNÉ ?

La directive NIS2 s'applique-t-elle à votre organisation ?

La directive NIS2 classe les organisations concernées en deux catégories : les entités « essentielles » et les entités « importantes », qui regroupent généralement les moyennes et grandes entreprises (50 salariés ou plus, ou un chiffre d’affaires supérieur à 10 millions d’euros) dans les secteurs ci-dessous. Certains prestataires critiques sont concernés, quelle que soit leur taille.

Entités essentielles Une surveillance maximale et des amendes très sévères
Entités importantes Surveillance fondée sur les risques, mesures coercitives après incident
CE QUE PRÉVOIT LA DIRECTIVE NIS2

Les six piliers de la conformité à la directive NIS2

L’article 21 de la directive définit les mesures minimales de gestion des risques que chaque organisme concerné doit mettre en œuvre, en fonction de sa taille, de son exposition aux risques et de la probabilité d’incidents.

Mesures de gestion des risques

Politiques relatives à l’analyse des risques, à la sécurité des systèmes, à la cryptographie, au contrôle d’accès, à l’authentification multifactorielle (MFA) et au développement sécurisé — adaptées aux risques encourus.

Déclaration des incidents (24 h / 72 h / 1 mois)

Une alerte précoce dans les 24 heures, une notification complète de l’incident dans les 72 heures et un rapport final dans un délai d’un mois à l’adresse de votre CSIRT national.

Sécurité de la chaîne d'approvisionnement

Évaluez et gérez les risques liés à la cybersécurité chez vos fournisseurs directs et prestataires de services, et pas uniquement au sein de votre propre périmètre.

Gouvernance et responsabilité

Les instances de direction doivent approuver les mesures de cybersécurité, superviser leur mise en œuvre et suivre régulièrement des formations. Elles engagent leur responsabilité personnelle.

Continuité des activités

La gestion des sauvegardes, la reprise après sinistre et les procédures de gestion de crise, toutes testées régulièrement.

Gestion et divulgation des vulnérabilités

Des processus coordonnés pour la réception, le tri et la correction des vulnérabilités de vos produits et services.

LE COÛT DE L'INACTION

Sanctions en cas de non-respect

La directive NIS2 instaure certaines des sanctions les plus sévères de l’Union européenne en matière de cybersécurité, ainsi qu’une responsabilité personnelle pour les cadres supérieurs.

Entités essentiellesJusqu'à 10 000 000 €

soit 2 % du chiffre d’affaires annuel mondial

Entités importantesJusqu'à 7 000 000 €

soit 1,4 % du chiffre d’affaires annuel mondial

Les instances dirigeantes peuvent être tenues personnellement responsables en cas d’infractions, ce qui peut aller jusqu’à une interdiction temporaire d’exercer des fonctions de direction dans les cas graves.

FOIRE AUX QUESTIONS

Questions sur le NIS2 : réponses

La directive NIS2 s'applique-t-elle à mon entreprise ?

Si votre organisation exerce ses activités dans l’un des secteurs essentiels ou importants répertoriés et compte au moins 50 salariés ou réalise un chiffre d’affaires d’au moins 10 millions d’euros, la directive NIS2 est susceptible de s’appliquer à elle — et le seuil de taille n’est pas pris en compte pour certains prestataires critiques (par exemple, les services DNS, les registres de domaines de premier niveau, l’administration publique). Un entretien téléphonique de 15 minutes constitue un bon moyen d’en discuter, mais une décision définitive doit être prise en consultation avec un conseiller juridique qualifié.

La directive NIS 2 couvre un nombre bien plus important de secteurs (environ 15 contre 7), supprime la marge d’appréciation dont disposaient les États membres et qui conduisait à des divergences dans la définition du champ d’application de la directive NIS, instaure des délais plus stricts pour le signalement des incidents, impose la gestion des risques liés à la chaîne d’approvisionnement et prévoit une responsabilité personnelle des dirigeants, assortie d’amendes nettement plus élevées.

Une alerte précoce adressée à votre CSIRT national dans les 24 heures suivant la prise de connaissance d’un incident majeur, une notification d’incident dans les 72 heures (comprenant une première évaluation) et un rapport final dans un délai d’un mois.

Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % pour les entités importantes. Les dirigeants peuvent également faire l’objet de sanctions à titre personnel, notamment des interdictions temporaires d’exercer des fonctions de direction.

La directive NIS2 est entrée en vigueur le 16 janvier 2023, et les États membres de l’UE étaient tenus de la transposer dans leur législation nationale avant le 17 octobre 2024. Sa mise en œuvre au niveau national est désormais effective dans toute l’UE.

La directive NIS2 n’impose pas de référentiel spécifique, mais la certification ISO 27001 (et ses équivalents) couvre la majorité des exigences de la directive NIS2 en matière de gestion des risques et facilite considérablement la démonstration de la conformité. Trustlinks établit pour vous une correspondance entre vos contrôles existants et les articles de la directive NIS2.

La mise en place initiale de la conformité prend généralement plusieurs mois, en fonction de la taille et du degré de maturité de votre organisation. L’évaluation des écarts prend entre 2 et 4 semaines ; la mise en conformité et la collecte des preuves constituent l’investissement le plus important. Mais la conformité à la directive NIS2 n’est pas une simple formalité ponctuelle : il s’agit d’un travail continu, intégré aux opérations de votre organisation. Trustlinks centralise l’ensemble des processus, de l’évaluation des écarts et de l’analyse des risques à la gestion des fournisseurs et à la collecte des preuves, au sein d’une seule et même plateforme, afin que vous gardiez le contrôle à chaque étape.

Nous examinons si la directive NIS2 est susceptible de s’appliquer à votre organisation, nous discutons du niveau d’entité susceptible de s’appliquer, nous identifions les lacunes courantes et nous vous présentons les grandes lignes d’une feuille de route réaliste en matière de conformité. Il s’agit d’un entretien d’information — et non d’un conseil juridique — et vous ne subirez aucune pression commerciale. Pour obtenir une évaluation définitive de vos obligations, nous vous recommandons de consulter un conseiller juridique qualifié.

PRÊT LORSQUE VOUS L'ÊTES

Découvrez tout ce qu'il faut savoir sur la NIS2 en 15 minutes, gratuitement.

Discutez avec un spécialiste Trustlinks local. Aucune préparation n’est nécessaire : venez avec vos questions et nous ferons le point sur votre situation et sur les étapes suivantes habituelles. À titre informatif uniquement ; ne constitue pas un conseil juridique.

Cette consultation est fournie à titre informatif et ne constitue pas un conseil juridique ni n’établit de relation client. Pour obtenir une évaluation faisant autorité concernant vos obligations, veuillez consulter un conseiller juridique qualifié.

Logo Trustlinks blanc.

Contactez notre service commercial

Vous avez des questions sur les tarifs, les cadres ou la manière dont Trustlinks peut s’adapter à votre organisation ? Notre équipe est là pour vous aider à trouver la solution qui vous convient.

→ Ou consultez notre foire aux questions

Obtenir assistance produit

Vous avez besoin d’aide pour utiliser la plateforme ou vous rencontrez un problème ? Notre équipe d’assistance est prête à vous aider.

Contactez nous

Réservez une démo

Envoyez-nous un message et notre équipe vous répondra dans les plus brefs délais.