Qu'est-ce que la NIS2 et qui est concerné ?
Guide complet pour 2025
10 min de lecture
Si vous êtes responsable informatique ou dirigeant d'une entreprise de taille moyenne, vous avez probablement entendu parler de la NIS2. Peut-être avez-vous reçu un e-mail d'un avocat ou vu un article. Mais qu'est-ce que c'est et cela s'applique-t-il à votre entreprise ?
Qu'est-ce que la NIS2 ?
La NIS2 (Network and Information Security Directive 2) est une directive européenne sur la cybersécurité. C'est essentiellement une « loi NIS2 » au niveau de l'UE que les États membres doivent transposer dans leur législation nationale.
En clair : l'UE dit aux entreprises des secteurs critiques : « Vous devez vous protéger contre les cyberattaques et, si quelque chose se produit, vous devez le signaler. »
Pourquoi a-t-elle été créée ?
Les attaques par ransomware ont augmenté de 300 %
Le coût moyen d'une violation de données a atteint 4,5 M€
Les attaques sur la chaîne d'approvisionnement ont révélé des risques systémiques
Quand est-elle entrée en vigueur ?
| Adoption de la directive | Janvier 2023 |
| Date limite de transposition | 17 octobre 2024 |
| Application complète | À partir d'octobre 2024 |
À partir d'octobre 2024, les autorités de régulation (NBÚ en Slovaquie, NÚKIB en Tchéquie) peuvent effectuer des contrôles et infliger des amendes.
Qui est concerné par la NIS2 ?
La NIS2 étend le champ d'application à bien plus d'entreprises que la directive précédente.
Secteurs de haute criticité
- Énergie (électricité, gaz, pétrole, chaleur, hydrogène)
- Transports (aérien, ferroviaire, maritime, routier)
- Banque et marchés financiers
- Santé
- Eau potable et eaux usées
- Infrastructure numérique (DNS, cloud, centres de données, CDN)
- Administration publique
Autres secteurs critiques
- Services postaux et de courrier
- Gestion des déchets
- Industrie chimique
- Industrie alimentaire
- Fabrication (dispositifs médicaux, ordinateurs, électronique, machines, véhicules)
- Services numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
- Recherche
Critère de taille
Être dans un secteur régulé ne suffit pas. Vous devez aussi répondre aux critères de taille :
Entreprise moyenne : 50-249 employés OU 10-50 M€ de chiffre d'affaires
Grande entreprise : 250+ employés OU 50 M€+ de chiffre d'affaires
Exemple : une entreprise industrielle avec 80 employés et 15 M€ de chiffre d'affaires relève de la NIS2.
Qu'exige la NIS2 ?
La directive définit des mesures minimales à mettre en place :
Gestion des risques
Identification et évaluation des risques, mise en œuvre de mesures appropriées
Gestion des incidents
Plan de réponse aux incidents, mécanismes de détection, procédures de rétablissement
Continuité d'activité
Sauvegardes, reprise après sinistre, gestion de crise
Sécurité de la chaîne d'approvisionnement
Évaluation des risques fournisseurs, exigences de sécurité dans les contrats
Hygiène cyber et formation
Sensibilisation à la sécurité, formation des employés
Cryptographie et contrôle d'accès
Chiffrement des données, authentification multi-facteurs
Déclaration des incidents
L'une des obligations les plus importantes est la déclaration des incidents de sécurité :
24 heures
Alerte précoce
72 heures
Notification
1 mois
Rapport final
Que se passe-t-il si vous ne vous conformez pas ?
Entités essentielles : 10 000 000 € ou 2 % du chiffre d'affaires mondial
Entités importantes : 7 000 000 € ou 1,4 % du chiffre d'affaires mondial
Responsabilité personnelle : les membres de la direction peuvent être tenus personnellement responsables de la non-conformité.
Par où commencer ?
Vérifiez
Vérifiez les critères - secteur et taille.
Faites une évaluation
Évaluez l'état actuel de votre cybersécurité.
Priorisez
Commencez par les domaines les plus critiques - réponse aux incidents, contrôle d'accès, sauvegardes.
Documentez
La NIS2 exige une documentation. Politiques, procédures, enregistrements.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique.