Directive NIS2 : comprendre et anticiper la nouvelle reglementation cybersecurite europeenne
Adoptee en decembre 2022, la directive NIS2 (UE 2022/2555) impose des obligations renforcees a plus de 10 000 entreprises francaises reparties sur 18 secteurs critiques. Decouvrez si vous etes concerne, ce que vous devez mettre en place et les sanctions encourues.
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (Network and Information Security 2) est le texte europeen le plus structurant en matiere de cybersecurite depuis le RGPD. Elle remplace la directive NIS1 de 2016 jugee insuffisante face a la montee des cybermenaces.
Publiee au Journal officiel de l'Union europeenne le 27 decembre 2022, la directive NIS2 etend considerablement le perimetre des entites soumises a des obligations de cybersecurite. La ou elle visait environ 500 operateurs en France sous NIS1, NIS2 concernera entre 10 000 et 15 000 entites francaises selon les estimations de l'ANSSI.
Le texte repose sur une logique de gestion des risques cyber, de gouvernance impliquant directement les dirigeants, de notification obligatoire des incidents et de sanctions dissuasives alignees sur le modele du RGPD. Pour comprendre en detail le perimetre, les obligations et les sanctions, consultez notre guide complet de la directive NIS2.
Etes-vous concerne par NIS2 ?
La directive couvre 18 secteurs repartis entre entites essentielles (Annexe I) et entites importantes (Annexe II). Les criteres combinent le secteur d'activite et la taille de l'entreprise.
Les 4 piliers de la directive NIS2
NIS2 articule la conformite cyber autour de quatre axes structurants que toute entite concernee doit maitriser.
1. Gouvernance
Les organes de direction sont personnellement responsables de la gestion des risques cyber. Formation obligatoire des dirigeants.
Voir les obligations →2. Gestion des risques
10 mesures techniques et organisationnelles minimales (article 21) couvrant analyse des risques, chiffrement, continuite d'activite.
Detail des mesures →3. Notification d'incidents
Alerte initiale en 24h, notification detaillee en 72h, rapport final sous 1 mois aupres du CSIRT national.
Procedure complete →4. Sanctions
Jusqu'a 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial. Responsabilite personnelle des dirigeants.
Bareme complet →Calendrier de transposition
De l'adoption europeenne a l'application en France, voici les dates a retenir.
Vote final du texte (UE) 2022/2555 a Strasbourg.
Echeance fixee aux Etats membres pour integrer la directive dans leur droit interne.
Enregistrement des entites aupres de l'ANSSI, premiers controles, mise en oeuvre des mesures.
Questions frequentes sur NIS2
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (UE 2022/2555) est la nouvelle reglementation europeenne sur la cybersecurite, adoptee le 14 decembre 2022. Elle remplace la directive NIS1 et impose des obligations renforcees a 18 secteurs critiques.
Mon entreprise est-elle concernee ?
Sont concernees les entites moyennes et grandes (plus de 50 salaries ou plus de 10 millions d'euros de CA) operant dans l'un des 18 secteurs critiques. Voir notre page qui est concerne pour le detail.
Quelles sont les sanctions encourues ?
Jusqu'a 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial pour les entites essentielles. Le bareme complet est detaille sur notre page sanctions NIS2.
Quel est le delai de notification d'un incident ?
Alerte precoce dans les 24 heures, notification detaillee dans les 72 heures et rapport final sous 1 mois aupres du CSIRT national.
Besoin d'accompagnement pour votre conformite NIS2 ?
Diagnostic d'eligibilite, analyse d'ecart, plan de remediation : nos partenaires experts vous accompagnent a chaque etape de votre mise en conformite NIS2.
Demander un diagnostic