Directive NIS2 : obligations, secteurs, sanctions et plan d’action

  • décembre 2, 2025
  • -Blog

Accueil Ressources Directive NIS2

Directive NIS2 : obligations, secteurs concernés, notifications et sanctions

NIS2 élargit le périmètre de la cybersécurité en Europe et renforce les exigences en gouvernance, gestion des risques, journalisation et notification des incidents. Ce guide vous aide à comprendre qui est concerné, ce qu’il faut mettre en place et comment IP-Label / Ekara peut contribuer à la détection, la preuve et l’industrialisation de vos processus.

MAJ : 10–12 min de lecture Neutre • Sans sponsor
Suis-je concerné ? Plan d’action 90 jours
  • Périmètre

    Essentielles & Importantes

    La plupart des entités moyennes/grandes dans des secteurs clés sont incluses, avec extensions possibles pour risques élevés.

    • Critères taille + secteur
    • Inclusions ciblées par l’État
  • Notifications

    Délais structurés

    Alerte rapide, rapport initial, puis rapport final : cadrez vos procédures et preuves dès maintenant.

    • Alerte précoce
    • Rapport intermédiaire
    • Rapport final
  • Sanctions

    Amendes significatives

    Des barèmes dissuasifs et une supervision renforcée exigent une gouvernance claire et des registres probants.

    • Supervision ex-ante/ex-post
    • Responsabilité du management
  • Mesures

    Art. 21 — Hygiène & preuve

    Journalisation, gestion d’incident, tests, continuité, supply-chain, MFA/cryptographie, formation.

    • Runbooks & exercices
    • Tableaux de bord & SLOs
Note : ce contenu est informatif, non juridique. IP-Label n’est pas un cabinet d’avocats ; nos solutions aident à détecter, corréler et documenter les incidents (APM, RUM, Synthétique) pour accélérer votre mise en conformité opérationnelle.

Suis-je concerné par la directive NIS2 ?

NIS2 s’applique aux entités essentielles et importantes dans des secteurs critiques. L’inclusion dépend du secteur, de la taille (au sens UE) et de critères de risque définis par chaque État membre.

Catégories NIS2

Entités essentielles

Supervision renforcée

  • Secteurs à impact systémique
  • Exigences et contrôles plus stricts
  • Sanctions potentiellement plus élevées
Entités importantes

Supervision a posteriori

  • Chaînes de valeur critiques
  • Obligations NIS2 complètes
  • Contrôles ciblés par les autorités

Les micro et petites entreprises peuvent être incluses si elles présentent un profil de risque élevé (importance sociétale/économique, dépendance nationale, effets systémiques).

Critères d’inclusion (synthèse)

  • Taille (UE)

    Cible prioritaire : moyennes et grandes entreprises (au sens UE). Des dérogations existent pour inclure des acteurs plus petits si critique.

  • Secteur

    Appartenance à un secteur NIS2 (voir liste). Les sous-secteurs et services numériques gérés (MSP, cloud) sont particulièrement visés.

  • Risque national

    Inclusion par l’État membre en cas d’importance sociétale/économique, d’effets en cascade ou d’exposition accrue.

Secteurs & sous-secteurs couverts (vue opérationnelle)

Infrastructures & services critiques
Énergie (élec, gaz, pétrole) Transport (air, rail, route, mer) Eau potable & eaux usées Santé (hôpitaux, e-santé) Finance & marchés Administrations publiques Espace (opérateurs spécifiques)
Numérique & écosystème
Infrastructures numériques (IXP, DNS, TLD) Datacenters Cloud & SaaS Fournisseurs de services managés (MSP/MSSP) Réseaux & télécoms
Industrie & supply-chain
Industries manufacturières critiques Alimentaire (transformation) Gestion des déchets Produits chimiques Poste & messagerie

Le périmètre exact est précisé par les textes nationaux de transposition. Vérifiez votre code NAF/activité et votre rôle dans la chaîne de valeur.

Cas particuliers & clarifications

  • Prestataires IT/Cloud/MSP : souvent inclus même sans service « critique » final, car effets systémiques.
  • Filière santé : au-delà des hôpitaux, inclut certains services numériques et opérateurs supports.
  • Groupes & filiales : l’évaluation s’effectue à l’échelle pertinente (entité/activité), avec responsabilités partagées.
  • PME sous-traitantes : peuvent être incluses si elles opèrent des composants critiques ou supportent des services essentiels.

Mini-check d’éligibilité (rapide)

Si plusieurs cases sont cochées, considérez-vous comme probablement concerné et engagez un cadrage NIS2.

Voir les obligations NIS2 Plan d’action 90 jours

Périmètre NIS2 : Secteurs & entités visées

La directive NIS2 s’applique aux entités essentielles (EE) et entités importantes (EI) dans des secteurs critiques. La majorité des organisations sont concernées dès lors qu’elles dépassent le seuil 50 employés et 10 M€ de CA/bilan, avec des exceptions pour certaines activités critiques (intra-UE). Utilisez le tableau ci-dessous pour situer votre organisation.

Secteur Exemples d’entités Catégorie NIS2 Notes clés
Énergie Production/transport/distribution électricité, gaz, pétrole EE Opérateurs d’infrastructures critiques ; exigences renforcées (gestion risque, incidents majeurs)
Transport Aérien (aéroports/ATC), rail (gestionnaires d’infra), maritime/portuaire, routier (opérateurs) EE / EI Catégorie selon rôle (infrastructure vs opérateur) et taille
Banque & marchés Établissements de crédit, infrastructures de marché (CCP, dépôts centraux) EE Supervision forte ; dépendances tierces à cartographier
Santé Hôpitaux, cliniques, laboratoires, e-santé ; fabricants critiques (médicaments/DM) EE / EI EE pour prestataires de soins ; EI pour certains fabricants amont
Eau Eau potable (production/distribution), assainissement EE Risque opérationnel et sanitaire majeur
Infrastructures numériques DNS/TLD, IXP, data centers, CDN, opérateurs de réseaux EE Nombreuses activités classées essentielles par défaut
Cloud & hébergement Fournisseurs Cloud, IaaS/PaaS/SaaS, hébergeurs managés EE Obligations fortes de sécurité, continuité, notification
Fournisseurs de services gérés MSP/MSSP, SOC, services de sécurité managés EE / EI MSSP souvent EE ; MSP selon portée/clients
Administration publique Autorités centrales/régionales ; opérateurs publics critiques EE / EI Catégorie selon niveau et mission régalienne
Spatial Opérateurs d’infrastructures au sol, services satellitaires critiques EE Dépendances fortes aux communications et au timing
Postal & courrier Services postaux/universels, messagerie EI Exposition logistique & données clients
Gestion des déchets Exploitants de collecte, traitement, élimination EI Impact environnemental et santé publique
Agro-alimentaire Transformation/distribution alimentaire critiques EI Chaîne d’approvisionnement, traçabilité, froid
Industries critiques Chimie, fabrication équipements, électronique EI Process industriels, OT/ICS à sécuriser

Légende & remarques

  • EE = Entité Essentielle  •  EI = Entité Importante
  • Le classement dépend de l’activité, de la taille et parfois de la criticité par défaut (p. ex. DNS/TLD, cloud).
  • La transposition nationale précise la portée exacte et les autorités compétentes. Vérifiez votre statut avec votre juridique/RSSI.

NIS2 : Contrôles essentiels & Délais de notification

Un aperçu clair des chantiers prioritaires et des délais réglementaires. À gauche, la frise des notifications ; à droite, les contrôles à valider.

Gouvernance & gestion des risques

Priorité
  • Politique sécurité validée par la direction
  • Cartographie du SI & dépendances (cloud, fournisseurs)
  • Analyse de risques & plan de traitement (revues périodiques)

Surveillance & détection (APM • RUM • Synthetic)

Ops
  • Journalisation centralisée & corrélation
  • Télémétrie applicative (latence, erreurs, dépendances)
  • SLO/alertes fiables (p95, taux d’erreur, disponibilité)

Gestion des incidents & continuité

Résilience
  • Playbooks, cellules de crise, exercices réguliers
  • RTO/RPO, PRA/PCA testés
  • Astreintes & chaîne d’escalade

Identités, accès & sécurité des données

Contrôles
  • MFA, moindres privilèges, revue périodique des accès
  • Chiffrement en transit/au repos, rotation des secrets
  • Masquage/minimisation PII, alignement RGPD

Chaîne d’approvisionnement & prestataires

Fournisseurs
  • Due diligence & clauses cybersécurité
  • Suivi des MSP/MSSP et cloud critiques
  • Scénarios de défaillance & continuité

Patch, vulnérabilités & durcissement

Hygiène
  • SLA de patch, gestion des CVE & inventaire
  • Durcissement postes/serveurs, segmentation réseau
  • Tests de restauration & sauvegardes immuables
Audit d’écart NIS2 Voir la checklist complète

NIS2 : suis-je concerné ? (assistant en 3 étapes)

Répondez à 3 questions. Le résultat est indicatif et doit être confirmé par la transposition nationale et votre secteur précis.

  1. 1) Votre catégorie présumée

    Si vous hésitez, choisissez « Je ne sais pas ».

  2. 2) Taille de l’organisation

    Basé sur les seuils UE (effectifs).

  3. 3) Facteurs de criticité

    Cochez ce qui s’applique.

Note : La directive (UE) 2022/2555 s’applique via la transposition nationale ; des exceptions ciblées peuvent inclure des petites entités jugées critiques.

Incidents NIS2 : délais & reporting

Respectez les jalons clés (24h • 72h • 1 mois) et préparez un dossier complet pour l’autorité nationale compétente (p. ex. ANSSI en France) et le CSIRT.

  1. Alerte précoce (≤ 24h)

    Signalement initial d’un incident significatif suspecté : ampleur présumée, systèmes touchés, première évaluation d’impact.

    • Ouvrir le ticket d’incident & activer l’astreinte
    • Geler/collecter les artefacts (journaux, traces, IOC)
    • Informer gouvernance & DPO si données personnelles

  2. Notification (≤ 72h)

    Notification formelle avec faits corroborés : cause probable, vecteur, impact confirmé, mesures d’atténuation en cours.

    • Partager indicateurs de compromission (hash, IP, domaines)
    • Fournir chronologie initiale & périmètre affecté
    • Décrire mesures temporaires (containment, contournements)

  3. Rapport final (≤ 1 mois)

    Compte-rendu détaillé : RCA, impacts opérationnels & clients, preuves, actions correctives & leçons apprises.

    • Analyses techniques & forensiques clés
    • Évaluation des obligations de communication externe
    • Plan de remédiation et vérifications de retour à la normale

NIS2 : contrôles essentiels à mettre en place

Une vue actionnable et non redondante des priorités NIS2. Suis la ligne : PrévenirDétecterRéagirRésilience. Chaque carte indique le résultat attendu et les mappings utiles (ISO, NIST, RGPD).

  1. Prévenir

    Priorité haute

    Réduire la surface d’attaque et empêcher les élévations de privilèges.

    • Identités & MFA : SSO/SAML, RBAC (PoLP), PAM, rotation des secrets
    • Inventaire & SBOM : découverte auto, CMDB, politique EOL/EOS
    • Patch & vulnérabilités : SLA par criticité, CVSS/EPSS, exceptions gouvernées
    • Segmentation & durcissement : Zero Trust, micro-segmentation, baselines CIS
    Voir plus
    • Revue périodique des accès & comptes orphelins
    • Hardening DB/middlewares + chiffrement des secrets
    ISO 27001/27002NIST PR.ACRGPD (minimisation)

  2. Détecter

    Continu

    Rendre visibles les signaux faibles et accélérer la corrélation.

    • Journalisation centralisée : horodatage, intégrité, rétention adaptée
    • APM / RUM / Synthetic : latence p95, erreurs, parcours critiques 24/7
    • Détection de menaces : EDR/NDR, SIEM, use-cases MITRE ATT&CK
    Voir plus
    • Corrélation traces ↔ logs ↔ métriques (déploiements, flags)
    • Leurres/honeypots sur périmètre sensible
    ISO 27002 8.15/8.16NIST DE.CMNIS2 art. 21

  3. Réagir

    24h / 72h / 1 mois

    Structurer la réponse incident et respecter les délais de notification NIS2.

    • Playbooks & astreinte : war-room, communication de crise
    • Forensique & conservation de preuve
    • Gestion des tiers : clauses sécu, surveillance continue, réversibilité
    Voir plus
    • Chaîne d’escalade claire (tech, juridique, PR, direction)
    • Registre incidents & retours d’expérience (Rex)
    ISO 27035ISO 27036NIST RS.MI

  4. Résilience

    Critique

    Assurer la continuité et limiter l’impact (ransomware, panne, supply-chain).

    • Backups immuables/isolés, tests de restauration réguliers
    • PCA/PRA : RPO/RTO par service, exercices table-top & techniques
    • Sensibilisation & formation ciblées (dev, ops, dirigeants)
    Voir plus
    • Plan 3-2-1-1-0 anti-ransomware
    • Cartographie des dépendances critiques (IT/OT/tiers)
    ISO 22301ISO 27002 8.13NIST PR.IP
Lancer un gap assessment NIS2 Voir la feuille de route 90 jours

Feuille de route NIS2 en 90 jours

Trois étapes claires pour atteindre un socle conforme : stabiliser, gouverner, prouver. Aucune carte ne se chevauche : lecture linéaire, responsive et accessible.

  • Alerte initiale 24h
  • Mise à jour 72h
  • Rapport final 1 mois
  1. Jours 0–30

    Quick wins • Socle opérationnel

    Inventaire, accès, journaux, détection et procédure d’alerte NIS2.

    Actions clés

    • Mise en place MFA + SSO, RBAC (PoLP), purge des comptes orphelins
    • Inventaire des actifs & dépendances (CMDB/SBOM), criticité
    • Centralisation logs (horodatage, intégrité, rétention)
    • Déploiement APM + RUM + Synthetic sur parcours vitaux
    • Runbook de notification 24h/72h/1 mois

    Livrables

    • Politique MFA/SSO/RBAC
    • CMDB/SBOM de référence
    • Runbook d’alerte NIS2
    • Dashboard p95/erreurs
  2. Jours 30–60

    Gouvernance & détection

    Renforcer la détection, formaliser les rôles et cadrer les fournisseurs.

    Actions clés

    • Use-cases SIEM/EDR alignés MITRE ATT&CK
    • Playbooks incident (tech/juridique/PR), astreintes
    • Clauses sécurité & réversibilité pour tiers critiques
    • Politiques patching & gestion vulnérabilités (SLA CVSS/EPSS)
    • Tests de rétention et traçabilité des accès sensibles

    Livrables

    • RACI NIS2 (direction→ops)
    • Playbooks & contacts
    • Addenda contrats tiers
    • Politique patch/vuln
  3. Jours 60–90

    Résilience & preuves

    Démontrer l’efficacité via exercices, sauvegardes immuables et KPI.

    Actions clés

    • Exercices table-top & restauration (RPO/RTO)
    • Backups immuables/isolés + tests de restauration
    • Revue périodique des comptes à privilèges
    • Tableau de bord MTTR, SLO, coûts télémétrie (sampling)
    • Plan d’amélioration continue & registre d’incidents

    Livrables

    • Rapport d’exercice
    • Plan PRA/PCA
    • Registre incidents/REX
    • KPI SLO & MTTR
Démarrer le gap assessment Voir nos quick picks outils

Notifications NIS2 : 24h · 72h · 1 mois

Cadence de déclaration des incidents importants : premier signalement en 24 h, rapport d’état en 72 h, rapport final sous 1 mois. Anticipez les contenus attendus, les rôles, et les preuves à fournir.

  1. T 0 + 24h

    Notification initiale

    Signalement préliminaire de l’incident à l’autorité compétente (CSIRT/ANSSI selon pays).

    • Contenu : description sommaire, périmètre impacté, effets constatés, mesures immédiates.
    • Qui : Responsable sécurité / DPO / cellule de gestion de crise.
    • Preuves : horodatage, journaux d’accès/erreurs, identifiants d’incident.
  2. T 0 + 72h

    Rapport d’état

    Mise à jour documentée : analyse d’impact, progrès, risques résiduels, coordination tiers.

    • Contenu : cause probable, services affectés, données impliquées, mesures d’atténuation.
    • Qui : RACI de crise validé par direction.
    • Preuves : timelines, corrélations traces↔logs↔metrics, tickets & décisions.
  3. ≤ 1 mois

    Rapport final

    Analyse complète, enseignements et plan d’amélioration avec échéances.

    • Contenu : RCA, impacts business/juridiques, communication clients/partenaires.
    • Qui : sécurité + juridique + direction produit/ops.
    • Preuves : REX, KPI (MTTR, SLO), correctifs déployés, contrôles compensatoires.

À prévoir dès maintenant

  • Runbook de notification (modèles 24h/72h/1 mois)
  • Contacts & astreintes (CSIRT, autorités, clients clés)
  • Traçabilité fiable (horodatage, intégrité des logs)
  • Tableau de bord incident (p95, erreurs, disponibilité)

Pièges fréquents

  • Délais non tenus faute de RACI
  • Journalisation incomplète ou illisible
  • Sous-estimation des tiers/sous-traitants
  • Absence de preuves sur les actions menées
Demander un modèle de notification Voir nos quick picks outils

Sous-traitants & chaîne d’approvisionnement : Clauses NIS2 essentielles

NIS2 impose une gestion du risque tiers : exigences de sécurité, obligation de notifier les incidents, droit d’audit et preuves de conformité. Adaptez la profondeur des contrôles au niveau de criticité du fournisseur.

  • Tier 1 • Critique
    • Clauses notification 24h/72h/1 mois (alignées incident majeur)
    • RBAC, MFA, journalisation immuable, rétention définie
    • Tests de sécurité réguliers (pentest, revues de code, SLO)
    • Droit d’audit / preuves trimestrielles (rapports, KPIs, REX)
    • Plan de continuité & RACI de crise partagé
  • Tier 2 • Important
    • Notification rapide & documentée des incidents (modèle allégé)
    • Contrôles d’accès, chiffrement en transit/au repos
    • Journalisation essentielle (accès, erreurs, admin)
    • Revue sécurité annuelle avec plan d’actions
  • Tier 3 • Standard
    • Clauses de base (confidentialité, disponibilité, intégrité)
    • Processus de patch management & vulnérabilités
    • Engagement RGPD si données personnelles

Exemple de clauses contractuelles NIS2 (extrait)

À adapter avec le juridique. Couvre notification, preuves, audit, sous-traitance et fin de contrat.

1) Notification d’incident : le Prestataire notifie le Client sans délai indû et au plus tard sous 24h tout incident
susceptible d’affecter la disponibilité, l’intégrité ou la confidentialité des services ou données ; un rapport d’état
est fourni sous 72h, puis un rapport final dans le mois, incluant causes, impacts, mesures et preuves.

2) Preuves & journalisation : le Prestataire conserve et met à disposition, sur demande, les journaux horodatés,
les indicateurs-clés (p95 latence, taux d’erreurs, disponibilité) et la timeline des actions, dans le respect du RGPD.

3) Audit & évaluation : le Client dispose d’un droit d’audit raisonnable (préavis, confidentialité). Les écarts
font l’objet d’un plan d’actions avec échéances.

4) Sous-traitance : toute sous-traitance est pré-autorisée par écrit ; le Prestataire impose des obligations
équivalentes NIS2 à ses sous-traitants et demeure responsable.

5) Réversibilité & sortie : à l’échéance ou résiliation, le Prestataire assure la réversibilité (export des données,
effacement sécurisé, transfert des journaux et rapports).

Due diligence express (5 points)

  • Journalisation horodatée
  • RBAC & MFA
  • Processus de patch
  • Plan d’alerte 24h/72h
  • Droit d’audit
Obtenir le kit “fournisseurs NIS2” Revoir la cadence 24h/72h/1 mois

Matrice de maturité NIS2 : où vous situez-vous ?

Quatre niveaux de maturité pour piloter votre feuille de route : de Niveau 0 (Non conforme) à Niveau 3 (Maîtrisé). Chaque carte synthétise les contrôles clés et les preuves attendues.

  • Niveau 0 • Non conforme

    Ad-hoc, pas de responsabilité formalisée

    ~12%
    • Aucune gouvernance officielle (pas de RACI, pas de sponsor)
    • Absence de journalisation et de procédure d’alerte
    • Pas de cartographie des actifs/services essentiels
    Désignation d’un responsable Politique sécurité (v1) Liste des services essentiels
  • Niveau 1 • Initial

    Contrôles de base en place, partiels

    ~38%
    • Journalisation minimale (accès, admin), sauvegardes
    • Début de gestion des risques (registre initial)
    • Processus de notification esquissé (24h/72h/1 mois)
    Registre des risques (v1) Modèle de notification Plan de sauvegarde testé
  • Niveau 2 • Déployé

    Procédures déployées & suivies

    ~68%
    • RACI validé, revues de sécurité trimestrielles
    • APM/Observabilité + journalisation horodatée
    • Chaîne d’approvisionnement : clauses & droit d’audit
    Rapports trimestriels KPIs p95 / taux d’erreurs Clauses NIS2 fournisseurs
  • Niveau 3 • Maîtrisé

    Mesuré, auditable, amélioration continue

    ~92%
    • SLO/SLA formalisés, alerting éprouvé, exercices de crise
    • Plans d’amélioration & tableaux de bord coûts/risques
    • Tests réguliers (pentest), preuves consolidées & traçabilité
    SLO + erreurs budgétaires Rapports d’audit Preuves horodatées
Interprétation : atteignez le niveau 2 pour la conformité opérationnelle, puis visez le niveau 3 pour la résilience prouvée et la réduction du risque résiduel.
Passer au plan d’action 90 jours Télécharger le kit “preuves & modèles”

Comment IP-Label / Ekara peut aider — sans “compliance-washing”

Nous apportons des preuves exploitables (mesures, journaux, traces), des contrôles de gouvernance concrets (résidence des données, RBAC, masquage PII) et un plan d’exécution cadré dans le temps — pas des promesses vagues.

  • Indicateurs vérifiables (p95 latence, taux d’erreur, disponibilité) et exportables
  • Gouvernance EU-first : résidences, SSO/RBAC, masquage au plus près de la source
  • Coûts maîtrisés : échantillonnage, rétention par dataset, filtres d’ingestion
  • Observabilité utile

    APM + RUM + Synthetic

    Corrélez traces, logs et metrics avec l’impact UX réel (INP/LCP/CLS) et des parcours scriptés 24/7.

    • Cartes de services, flame graphs, RCA plus rapide
    • Parcours critiques monitorés multi-régions
  • Gouvernance

    Résidence UE & contrôle d’accès

    Hébergement régional, SSO/RBAC, masquage PII, journaux d’audit, export des données.

    • Masquage au SDK/collector (source)
    • Scopes par service/env/projet
  • Preuve

    Kit d’audit & traçabilité

    “Evidence pack” : captures, exports, runbooks, et rapport de couverture des agents/instruments.

    • Exports OTLP/OTel, CSV/JSON
    • Check-list de conformité technique
  • Coûts

    Garde-fous budgétaires

    Échantillonnage tête/queue, rétention différenciée, filtres d’ingestion, routage des logs bruyants.

    • Tableaux de coûts par équipe/service
    • Règles de drop haute cardinalité
  • Adoption

    Onboarding & runbooks

    Playbooks d’investigation, modèles d’alertes, deploy markers et notes de version corrélées.

  • Ouverture

    OpenTelemetry partout

    SDKs, Collector et export OTLP vers Ekara ou la solution de ton choix, pour éviter le verrouillage.

Qui gagne quoi ?

  • SRE / Plateforme

    RCA rapide SLO/Alertes Runbooks

    Service map unifiée, budgets d’erreur, deploy markers, MTTR réduit.

  • Sécurité / Conformité

    RBAC Masquage PII Traçabilité

    Journalisation d’accès, export de preuves, rétention par dataset.

  • Produit / Web Perf

    INP/LCP/CLS Parcours Conversion

    RUM par route/geo/device, corrélation UX ↔ changements backend.

FAQ NIS2 — Questions fréquentes

Des réponses claires et actionnables pour comprendre le champ d’application, les obligations et les échéances de la directive NIS2.

Qu’est-ce que la directive NIS2 ?

NIS2 (Directive (UE) 2022/2555) renforce la cybersécurité en Europe : gouvernance, gestion des risques, notification d’incidents et sanctions harmonisées pour les secteurs clés. Elle remplace NIS (2016) et élargit fortement le périmètre.

Qui est concerné (entités « essentielles » / « importantes ») ?

Par défaut, les entités moyennes et grandes opérant dans les secteurs listés par NIS2 sont incluses (règle de taille). Certaines petites entités peuvent aussi être visées selon la criticité (ex. fournisseurs de services gérés, cloud, opérateurs spécifiques). Les États désignent ensuite les acteurs au niveau national.

Quelles sont les principales échéances ?

La directive devait être transposée par les États membres au 17 octobre 2024. Les obligations s’appliquent ensuite via les textes nationaux (décrets/arrêtés, listes d’entités) et les actes d’exécution/implémentation de la Commission.

Quelles obligations techniques et organisationnelles majeures ?
  • Gestion des risques & politique de sécurité, tests réguliers.
  • Traitement des incidents, continuité d’activité & reprise.
  • Sécurité de la chaîne d’approvisionnement & des prestataires.
  • Sécurisation du développement/maintenance (vulnérabilités, VDP).
  • Contrôles d’accès forts (MFA), chiffrement, journalisation.
  • Formation, hygiène cyber, audits & mesures d’efficacité.

Quels délais pour notifier un incident ?

Pour un incident significatif : alerte précoce sous 24 h, notification sous 72 h avec évaluation initiale, puis rapport final sous 1 mois. Des rapports intermédiaires peuvent être requis selon l’autorité compétente/CSIRT.

Quelles sanctions en cas de non-conformité ?

Plafonds harmonisés : jusqu’à 10 M€ ou 2 % du CA mondial pour les entités essentielles, et 7 M€ ou 1,4 % pour les entités importantes (le montant le plus élevé s’applique). Des mesures de remédiation et injonctions peuvent s’ajouter.

Les fournisseurs cloud/MSP/MSSP sont-ils dans le périmètre ?

Oui. Les services gérés (IT/ sécurité), cloud, DNS/TLD, centres de données, etc., font partie des secteurs/digital providers visés, avec des exigences renforcées sur la chaîne d’approvisionnement.

SME < 50 salariés : suis-je exempté ?

La règle de taille exclut en principe les micro/petites entités, mais des exceptions existent (criticité, rôle systémique, services gérés). Vérifie le texte national et ta chaîne de valeur (clients régulés).

NIS2 vs DORA / CER / RGPD : comment ça s’articule ?

NIS2 couvre la cybersécurité transverse. DORA cible le financier (opérateurs/tiers TIC). CER adresse la résilience des entités critiques. RGPD traite la protection des données. Les exigences se cumulent : aligne gouvernance, cartographie et gestion des tiers pour éviter les doublons.

Par où commencer pour se conformer rapidement ?
  1. Identifier le périmètre NIS2 (entité, services, dépendances).
  2. Faire une auto-évaluation (écarts vs. art. 21 NIS2).
  3. Lancer un plan 90 jours (incidents, MFA, sauvegardes, VDP, preuves).
  4. Outiller la détection & notification (playbooks, responsabilités, tests).
  5. Mettre en place un suivi trimestriel (KPI, audits, revues direction).

Un outil suffit-il pour « être conforme » ?

Non. Les outils (APM/RUM/Synthetic, SIEM, EDR…) fournissent des preuves (journalisation, détection, disponibilité) et accélèrent les remédiations, mais la conformité repose d’abord sur ta gouvernance, tes procédures et ton pilotage des risques.

Demander un audit flash NIS2 Voir une démo Ekara
Article précédent
Article suivant

Laisser un commentaire

Table of Contents

En savoir plus sur Ekara by ip-label

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture