10 questions essentielles

Questions frequentes sur la directive NIS2

Q: Qu est-ce que la directive NIS2 ?

La directive NIS2 (UE 2022/2555) est la nouvelle réglementation europeenne sur la cybersécurité, adoptee en decembre 2022.

Q: Mon entreprise est-elle concernee par NIS2 ?

Sont concernees les entités moyennes et grandes operant dans 18 secteurs critiques.

Q: Quelle est la date limite de conformité NIS2 ?

Entree en vigueur le 16 janvier 2023. Transposition au 17 octobre 2024.

Q: Quelles sont les sanctions NIS2 ?

Jusqu a 10 millions d'euros ou 2 pourcent du CA mondial pour les entités essentielles.

Q: Quelle difference entre NIS1 et NIS2 ?

NIS2 elargit le périmètre, introduit la responsabilité des dirigeants et harmonise les sanctions.

Q: Quel est le rôle de l'ANSSI dans NIS2 ?

L'ANSSI est l'autorite nationale unique pour l'application de NIS2 en France.

Q: Les PME sont-elles concernees par NIS2 ?

En principe les micro et petites entreprises sont exclues, sauf exceptions.

Q: Comment se mettre en conformité NIS2 ?

Démarche en 5 étapes : éligibilité, gap analysis, plan, mise en oeuvre, audit.

Q: NIS2 remplace-t-elle le RGPD ?

Non, les deux textes sont complémentaires et peuvent s'appliquer simultanement.

Q: Que faire en cas d'incident cyber sous NIS2 ?

Notification au CSIRT : 24h alerte, 72h notification, 1 mois rapport final.

Toutes les réponses aux questions les plus posees sur la directive NIS2 : périmètre, obligations, sanctions, calendrier, ANSSI, mise en conformité. Pour aller plus loin, consultez notre guide complet.

1. Qu est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security 2), référence UE 2022/2555, est la nouvelle réglementation europeenne sur la cybersécurité, adoptee le 14 decembre 2022. Elle remplace la directive NIS1 de 2016 et impose des obligations renforcees a 18 secteurs critiques. Son objectif est d'etablir un niveau élevé commun de cybersécurité dans toute l'Union europeenne, avec des sanctions harmonisees pouvant atteindre 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial.

2. Mon entreprise est-elle concernee par NIS2 ?

Sont concernees les entités moyennes et grandes (au moins 50 salariés ou 10 millions d'euros de CA) operant dans l'un des 18 secteurs listes par la directive. Certaines entités sont concernees independamment de leur taille (services DNS, registres, services de confiance qualifies, administration centrale). Pour valider votre éligibilité, consultez notre page qui est concerne et le detail des 18 secteurs.

3. Quelle est la date limite de conformité NIS2 ?

La directive est entree en vigueur le 16 janvier 2023. Les États membres avaient jusqu au 17 octobre 2024 pour la transposer dans leur droit national. En France, la loi de transposition est en cours d'examen et l'application effective est attendue courant 2025. Les entités concernees doivent déjà avoir engage leur démarche de mise en conformité. Voir notre calendrier complet.

4. Quelles sont les sanctions NIS2 ?

Pour les entités essentielles : amendes jusqu a 10 millions d'euros ou 2 pourcent du CA mondial (le montant le plus élevé). Pour les entités importantes : 7 millions d'euros ou 1,4 pourcent du CA. La directive prévoit egalement la responsabilité personnelle des dirigeants. Le bareme complet est sur notre page sanctions NIS2.

5. Quelle difference entre NIS1 et NIS2 ?

NIS2 elargit considerablement le périmètre (18 secteurs contre 7), introduit la responsabilité personnelle des dirigeants, harmonise les sanctions, impose 10 mesures techniques minimales (article 21), formalise un schema de notification 24h/72h/1 mois, et intégré la sécurité supply chain. Le comparatif détaillé est sur NIS2 vs NIS1.

6. Quel est le rôle de l'ANSSI dans NIS2 ?

L'ANSSI est désignée comme l'autorite nationale unique pour l'application de NIS2 en France. Elle tient le registre des entités, supervise leur conformité, reçoit les notifications d'incidents via le CERT-FR, et peut prononcer des sanctions. Voir notre page ANSSI et NIS2.

7. Les PME sont-elles concernees par NIS2 ?

En principe, les micro-entreprises et petites entreprises sont exclues. Les moyennes entreprises (a partir de 50 salariés ou 10 millions d'euros de CA) sont concernees si elles operent dans un secteur liste. Des exceptions existent : les fournisseurs de services DNS, les registres et les services de confiance qualifies sont concernes quelle que soit leur taille.

8. Comment se mettre en conformité NIS2 ?

La démarche se decompose en 5 étapes : évaluation d'éligibilité, analyse d'écart, plan de remediation, mise en oeuvre des mesures, audit et amelioration continue. Le délai realiste est de 12 a 24 mois selon le point de depart. Voir notre méthodologie complete sur mise en conformité NIS2.

9. NIS2 remplace-t-elle le RGPD ?

Non. NIS2 et le RGPD sont deux textes complémentaires. Le RGPD protege les donnees personnelles des personnes physiques. NIS2 protege les systèmes d'information et la continuite des services essentiels. Une entité peut être soumise aux deux simultanement.

10. Que faire en cas d'incident cyber sous NIS2 ?

NIS2 impose une notification au CSIRT national (en France, le CERT-FR de l'ANSSI) en trois temps : alerte precoce dans les 24 heures, notification détaillée dans les 72 heures, rapport final dans les 1 mois. Le seuil declenchant l'obligation est l'incident significatif. Voir le detail sur obligations NIS2.

Vous avez d'autres questions ?

Notre équipe peut vous aider a clarifier votre situation et a définir une strategie de mise en conformité adaptee. Utilisez notre formulaire de contact pour nous transmettre votre demande.