10 questions essentielles

Questions frequentes sur la directive NIS2

Q: Qu est-ce que la directive NIS2 ?

La directive NIS2 (UE 2022/2555) est la nouvelle reglementation europeenne sur la cybersecurite, adoptee en decembre 2022.

Q: Mon entreprise est-elle concernee par NIS2 ?

Sont concernees les entites moyennes et grandes operant dans 18 secteurs critiques.

Q: Quelle est la date limite de conformite NIS2 ?

Entree en vigueur le 16 janvier 2023. Transposition au 17 octobre 2024.

Q: Quelles sont les sanctions NIS2 ?

Jusqu a 10 millions d euros ou 2 pourcent du CA mondial pour les entites essentielles.

Q: Quelle difference entre NIS1 et NIS2 ?

NIS2 elargit le perimetre, introduit la responsabilite des dirigeants et harmonise les sanctions.

Q: Quel est le role de l ANSSI dans NIS2 ?

L ANSSI est l autorite nationale unique pour l application de NIS2 en France.

Q: Les PME sont-elles concernees par NIS2 ?

En principe les micro et petites entreprises sont exclues, sauf exceptions.

Q: Comment se mettre en conformite NIS2 ?

Demarche en 5 etapes : eligibilite, gap analysis, plan, mise en oeuvre, audit.

Q: NIS2 remplace-t-elle le RGPD ?

Non, les deux textes sont complementaires et peuvent s appliquer simultanement.

Q: Que faire en cas d incident cyber sous NIS2 ?

Notification au CSIRT : 24h alerte, 72h notification, 1 mois rapport final.

Toutes les reponses aux questions les plus posees sur la directive NIS2 : perimetre, obligations, sanctions, calendrier, ANSSI, mise en conformite. Pour aller plus loin, consultez notre guide complet.

1. Qu est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security 2), reference UE 2022/2555, est la nouvelle reglementation europeenne sur la cybersecurite, adoptee le 14 decembre 2022. Elle remplace la directive NIS1 de 2016 et impose des obligations renforcees a 18 secteurs critiques. Son objectif est d etablir un niveau eleve commun de cybersecurite dans toute l Union europeenne, avec des sanctions harmonisees pouvant atteindre 10 millions d euros ou 2 pourcent du chiffre d affaires mondial.

2. Mon entreprise est-elle concernee par NIS2 ?

Sont concernees les entites moyennes et grandes (au moins 50 salaries ou 10 millions d euros de CA) operant dans l un des 18 secteurs listes par la directive. Certaines entites sont concernees independamment de leur taille (services DNS, registres, services de confiance qualifies, administration centrale). Pour valider votre eligibilite, consultez notre page qui est concerne et le detail des 18 secteurs.

3. Quelle est la date limite de conformite NIS2 ?

La directive est entree en vigueur le 16 janvier 2023. Les Etats membres avaient jusqu au 17 octobre 2024 pour la transposer dans leur droit national. En France, la loi de transposition est en cours d examen et l application effective est attendue courant 2025. Les entites concernees doivent deja avoir engage leur demarche de mise en conformite. Voir notre calendrier complet.

4. Quelles sont les sanctions NIS2 ?

Pour les entites essentielles : amendes jusqu a 10 millions d euros ou 2 pourcent du CA mondial (le montant le plus eleve). Pour les entites importantes : 7 millions d euros ou 1,4 pourcent du CA. La directive prevoit egalement la responsabilite personnelle des dirigeants. Le bareme complet est sur notre page sanctions NIS2.

5. Quelle difference entre NIS1 et NIS2 ?

NIS2 elargit considerablement le perimetre (18 secteurs contre 7), introduit la responsabilite personnelle des dirigeants, harmonise les sanctions, impose 10 mesures techniques minimales (article 21), formalise un schema de notification 24h/72h/1 mois, et integre la securite supply chain. Le comparatif detaille est sur NIS2 vs NIS1.

6. Quel est le role de l ANSSI dans NIS2 ?

L ANSSI est designee comme l autorite nationale unique pour l application de NIS2 en France. Elle tient le registre des entites, supervise leur conformite, recoit les notifications d incidents via le CERT-FR, et peut prononcer des sanctions. Voir notre page ANSSI et NIS2.

7. Les PME sont-elles concernees par NIS2 ?

En principe, les micro-entreprises et petites entreprises sont exclues. Les moyennes entreprises (a partir de 50 salaries ou 10 millions d euros de CA) sont concernees si elles operent dans un secteur liste. Des exceptions existent : les fournisseurs de services DNS, les registres et les services de confiance qualifies sont concernes quelle que soit leur taille.

8. Comment se mettre en conformite NIS2 ?

La demarche se decompose en 5 etapes : evaluation d eligibilite, analyse d ecart, plan de remediation, mise en oeuvre des mesures, audit et amelioration continue. Le delai realiste est de 12 a 24 mois selon le point de depart. Voir notre methodologie complete sur mise en conformite NIS2.

9. NIS2 remplace-t-elle le RGPD ?

Non. NIS2 et le RGPD sont deux textes complementaires. Le RGPD protege les donnees personnelles des personnes physiques. NIS2 protege les systemes d information et la continuite des services essentiels. Une entite peut etre soumise aux deux simultanement.

10. Que faire en cas d incident cyber sous NIS2 ?

NIS2 impose une notification au CSIRT national (en France, le CERT-FR de l ANSSI) en trois temps : alerte precoce dans les 24 heures, notification detaillee dans les 72 heures, rapport final dans les 1 mois. Le seuil declenchant l obligation est l incident significatif. Voir le detail sur obligations NIS2.

Vous avez d autres questions ?

Notre equipe peut vous aider a clarifier votre situation et a definir une strategie de mise en conformite adaptee. Utilisez notre formulaire de contact pour nous transmettre votre demande.