Introduction
La directive NIS2 (Network and Information Security 2) représente une évolution majeure de la réglementation européenne en matière de cybersécurité. Entrée en vigueur en janvier 2023, elle doit être transposée dans le droit français et s'appliquera pleinement en 2025.
Qui est concerné ?
Contrairement à NIS1 qui ne concernait qu'environ 300 entités en France, NIS2 élargit considérablement le périmètre :
Secteurs hautement critiques
- Énergie (électricité, pétrole, gaz, hydrogène)
- Transports (aérien, ferroviaire, maritime, routier)
- Secteur bancaire et infrastructures des marchés financiers
- Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
- Eau potable et eaux usées
- Infrastructure numérique (DNS, IXP, cloud, datacenters)
- Administrations publiques
- Espace
Autres secteurs critiques
- Services postaux et de courrier
- Gestion des déchets
- Fabrication de produits chimiques
- Industrie agroalimentaire
- Fabrication (dispositifs médicaux, électronique, machines, véhicules)
- Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
- Recherche
Critères de taille
Votre entreprise est concernée si elle opère dans un secteur listé ET :
- Entité essentielle : >250 employés OU CA >50M€ OU bilan >43M€
- Entité importante : >50 employés OU CA >10M€ OU bilan >10M€
Nouvelles obligations
1. Gouvernance de la cybersécurité
- Le management doit être formé et impliqué
- Désignation d'un responsable cybersécurité
- Approbation des mesures de gestion des risques par la direction
2. Gestion des risques
Vous devez mettre en place des mesures proportionnées couvrant :
- Analyse des risques et politiques de sécurité
- Gestion des incidents
- Continuité d'activité et gestion de crise
- Sécurité de la chaîne d'approvisionnement
- Sécurité dans l'acquisition et le développement
- Évaluation de l'efficacité des mesures
- Hygiène cyber et formation
- Cryptographie et chiffrement
- Sécurité des ressources humaines
- Contrôle d'accès et gestion des actifs
3. Notification des incidents
- Alerte précoce : 24h après détection
- Notification d'incident : 72h avec évaluation initiale
- Rapport final : 1 mois avec analyse complète
Sanctions
Les sanctions sont significativement renforcées :
- Entités essentielles : jusqu'à 10M€ ou 2% du CA mondial
- Entités importantes : jusqu'à 7M€ ou 1,4% du CA mondial
Comment se préparer ?
Étape 1 : Évaluation
- Déterminez si vous êtes concerné (secteur + taille)
- Identifiez votre catégorie (essentielle ou importante)
- Réalisez un audit de votre posture actuelle
Étape 2 : Gap Analysis
- Comparez votre situation aux exigences NIS2
- Identifiez les écarts prioritaires
- Établissez une feuille de route
Étape 3 : Mise en conformité
- Implémentez les mesures techniques
- Formez vos équipes
- Documentez vos processus
- Testez vos procédures d'incident
Conclusion
NIS2 n'est pas qu'une contrainte réglementaire : c'est une opportunité de renforcer votre résilience cyber. Les entreprises qui s'y préparent dès maintenant auront un avantage compétitif.
Besoin d'accompagnement ? RedSentinel vous aide à évaluer votre conformité NIS2 et à mettre en place les mesures nécessaires.
Besoin d'aide sur ce sujet ?
Nos experts peuvent vous accompagner sur cette problematique.