Nous accompagnons les entreprises et opérateurs soumis à la directive NIS2 dans leur mise en conformité – audit, structuration juridique, gestion des incidents et représentation devant l’ANSSI.
La directive NIS2 (Network and Information Security 2 — Directive (UE) 2022/2555) a été transposée en droit français et est entrée en vigueur en 2024. Elle remplace et élargit considérablement le champ d’application de la première directive NIS (2016), en étendant ses exigences à un nombre beaucoup plus important d’entités et en renforçant les sanctions applicables en cas de non-respect.
NIS2 impose aux entreprises et opérateurs concernés de mettre en place des mesures techniques et organisationnelles robustes pour gérer les risques en matière de cybersécurité, signaler les incidents significatifs aux autorités compétentes et s’assurer que leurs chaînes d’approvisionnement respectent également les standards de sécurité requis.
En France, c’est l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) qui est l’autorité compétente pour contrôler le respect de NIS2 et sanctionner les manquements. La transposition française a également prévu des mécanismes de responsabilisation des dirigeants, qui peuvent personnellement être mis en cause en cas de défaillance grave dans la gestion des risques cyber.
Pour les organisations concernées, NIS2 n’est pas un texte de conformité technique parmi d’autres : il s’agit d’une obligation juridique dont le non-respect expose à des amendes administratives importantes, à la responsabilité personnelle des dirigeants, et à des conséquences réputationnelles significatives en cas d’incident non géré conformément aux prescriptions de la directive.
Nous accompagnons régulièrement des entreprises dans leur mise en conformité à NIS2 et dans leurs relations avec l’ANSSI, notamment dans le cadre de missions de Responsable de la Sécurité des Systèmes d’Information (RSSI) externalisé. Nous intervenons aux côtés de sociétés de tailles variées – de PME en croissance à des structures comptant plusieurs centaines de collaborateurs – afin de structurer leur gouvernance cyber, sécuriser leurs systèmes et anticiper les risques réglementaires.
Mission de RSSI externalisé pour un opérateur de santé numérique
Intervention en qualité de conseil NIS2 externe auprès d’une société du secteur de la santé numérique comptant plus d’une centaine de collaborateurs, dans le cadre de la structuration complète de sa gouvernance cybersécurité. La mission a notamment porté sur la mise en place de la politique de sécurité des systèmes d’information (PSSI), la formalisation des procédures de notification d’incident à l’ANSSI, l’encadrement des relations avec les fournisseurs critiques et la formation des organes dirigeants à leurs obligations personnelles.
Accompagnement NIS2 dans le secteur industriel
Intervention auprès d’un acteur industriel opérant des systèmes de contrôle critiques afin de structurer son cadre de conformité NIS2. L’accompagnement a porté sur la cartographie des systèmes concernés, l’analyse des risques cyber, la rédaction des documents de conformité (PSSI, procédures internes, clauses fournisseurs) ainsi que la préparation aux contrôles de l’ANSSI.
Structuration NIS2 pour des sociétés en croissance
Accompagnement de plusieurs sociétés – de 20 à plus de 500 salariés – dans différents secteurs d’activité (technologie, santé, industrie, services numériques) dans la mise en place de leur programme de conformité NIS2. Les missions incluent notamment la réalisation d’audits de conformité, la qualification du statut d’entité essentielle ou importante, la structuration des procédures internes et l’accompagnement dans leurs interactions avec l’ANSSI.
La première étape consiste à déterminer précisément si votre organisation entre dans le champ d'application de NIS2 (entité essentielle ou importante), quels systèmes d'information sont concernés et quel niveau d'obligation s'applique. Cette analyse de périmètre conditionne l'ensemble de la démarche de conformité.
Nous réalisons un audit complet de votre maturité cyber au regard des dix domaines de mesures exigés par NIS2 : gouvernance, gestion des incidents, continuité d'activité, sécurité des fournisseurs, authentification, formation. Cet audit produit une cartographie des écarts et un plan d'action priorisé.
Nous rédigeons l'ensemble des documents juridiques nécessaires à votre conformité NIS2 : politique de sécurité des systèmes d'information (PSSI), procédures de notification d'incident, clauses fournisseurs, chartes de gouvernance cyber pour les organes dirigeants, accords de confidentialité renforcés.
Les entités essentielles font l'objet de contrôles proactifs de l'ANSSI. Nous vous préparons à ces contrôles : simulation d'audit, revue de la documentation réglementaire, formation des équipes sur les points de contrôle, accompagnement lors des interactions avec l'autorité.
NIS2 est un texte en cours de consolidation réglementaire, avec des actes d'exécution et des lignes directrices publiés progressivement par l'ENISA et les autorités nationales. Nous assurons une veille régulière et vous informons des évolutions qui affectent vos obligations.
Les entités essentielles non conformes s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires. Au-delà des sanctions financières, les dirigeants peuvent se voir interdire temporairement d’exercer des fonctions de direction.
Sans préparation juridique préalable, une attaque informatique peut rapidement se transformer en crise multi-dimensionnelle : violation des délais de notification ANSSI, défaut d’information des clients et partenaires, manquements contractuels chez les sous-traitants exposés. Notre cabinet vous aide à structurer votre réponse juridique avant et pendant un incident.
Les grandes entreprises intègrent de plus en plus des exigences NIS2 dans leurs contrats avec leurs fournisseurs et sous-traitants. Sans conformité démontrée, vous risquez de perdre des contrats ou de vous exposer à des réclamations contractuelles en cas d’incident touchant votre donneur d’ordre via votre chaîne d’approvisionnement.
Un incident cyber mal géré, notamment s’il s’accompagne d’un défaut de notification ou d’une communication inadéquate, peut causer des dommages réputationnels durables qui dépassent largement le coût de la mise en conformité initiale. La conformité NIS2 est aussi un signal de fiabilité envoyé à vos clients, investisseurs et partenaires.
Dans un contexte où les cyberattaques se multiplient et gagnent en sophistication, les dirigeants d’entreprise
La sous-traitance IT est devenue une composante incontournable des stratégies d’entreprise, offrant flexibilité et optimisation
Dans un contexte où les cyberattaques se multiplient et gagnent en sophistication, la question n’est
Abonnez-vous à notre newsletter
La qualification dépend de votre secteur d’activité, de la taille de votre entreprise (nombre de salariés, chiffre d’affaires, total de bilan) et de la nature de vos activités. La directive NIS2 prévoit un mécanisme d’auto-identification : les entités concernées sont tenues de se déclarer auprès de l’ANSSI. En cas de doute, un avocat spécialisé NIS2 peut vous aider à qualifier votre situation en quelques jours.
NIS2 porte sur la sécurité des réseaux et des systèmes d’information (cybersécurité), tandis que le RGPD porte sur la protection des données personnelles. Les deux textes se recoupent partiellement — une violation de données personnelle résultant d’un incident cyber peut déclencher à la fois des obligations NIS2 (notification ANSSI) et des obligations RGPD (notification CNIL). Un avocat numérique maîtrisant les deux cadres est indispensable pour coordonner la réponse.
En cas d’incident significatif affectant vos réseaux ou systèmes, vous devez notifier l’ANSSI : alerte initiale dans les 24 heures, notification intermédiaire dans les 72 heures, rapport final dans le mois. Un incident est considéré comme significatif s’il cause ou pourrait causer une perturbation opérationnelle grave ou des pertes financières importantes. La définition du seuil de significativité est un point clé que nos avocats vous aident à calibrer.
Pas directement dans tous les cas. Cependant, les entités soumises à NIS2 ont l’obligation de s’assurer que leurs fournisseurs et sous-traitants respectent des standards de sécurité adéquats. En pratique, cela revient pour les sous-traitants critiques à devoir démontrer un niveau de conformité NIS2, sous peine de perdre leurs contrats avec les entités essentielles ou importantes.
La directive NIS2, telle que transposée en droit français, prévoit que les organes de direction des entités concernées peuvent être tenus personnellement responsables des manquements aux obligations de gestion des risques cyber. En cas de manquement grave, une interdiction temporaire d’exercer des fonctions de direction peut être prononcée. Cette responsabilité personnelle rend indispensable la formation et la sensibilisation des dirigeants.
Pour une PME, la mise en conformité NIS2 doit être proportionnée à ses moyens et à son niveau de risque. Nous proposons des missions adaptées aux PME : diagnostic NIS2 rapide pour qualifier le périmètre, mise en place des mesures prioritaires, rédaction des documents essentiels (PSSI, procédure de notification), formation des dirigeants et accompagnement en cas d’incident. L’objectif est de vous mettre en conformité de manière pragmatique et efficiente.
Notre cabinet commence par une analyse approfondie de votre situation au regard de la directive NIS2. Nous déterminons votre statut (entité essentielle ou importante), identifions les systèmes d'information concernés et évaluons votre niveau d'exposition réglementaire. Cette étape cruciale permet d'identifier précisément vos obligations et de prioriser les actions à mener.
Nous prenons en charge l'ensemble de la documentation juridique nécessaire à votre conformité NIS2. Cela inclut la rédaction et la mise à jour de votre PSSI, les procédures de notification d'incident à l'ANSSI, les clauses de sécurité dans vos contrats fournisseurs et les chartes de gouvernance cyber pour vos organes dirigeants.
En cas d'incident cyber ou de contrôle par l'ANSSI, notre cabinet vous accompagne pour gérer la situation et identifier les actions correctives à mettre en œuvre. Nous intervenons pour vous représenter et défendre vos intérêts, tout en minimisant les impacts juridiques, financiers et réputationnels.
Notre cabinet propose des missions d'audit spécifiques pour évaluer votre conformité aux dix domaines de mesures exigés par NIS2. Nous effectuons des analyses détaillées de votre gouvernance cyber, de vos procédures de gestion des incidents, de votre continuité d'activité et de la sécurité de votre chaîne d'approvisionnement.
À l'issue de chaque mission d'audit, nous fournissons un rapport détaillé présentant les résultats de notre analyse. Ce rapport inclut des préconisations concrètes pour corriger les non-conformités et améliorer votre niveau de sécurité. Nous organisons des séances de restitution pour discuter des conclusions et des actions à mettre en œuvre.
L'une des principales obligations de NIS2 est la sécurisation de la chaîne d'approvisionnement. Notre cabinet vous aide à identifier vos fournisseurs critiques, à évaluer les risques cyber qu'ils représentent et à mettre en place des procédures d'audit et de qualification adaptées.
Nous rédigeons et négocions les clauses de sécurité à insérer dans vos contrats fournisseurs, adaptées selon les niveaux de criticité. Ces clauses définissent les exigences minimales de sécurité, les obligations de notification en cas d'incident et les droits d'audit que vous devez vous réserver contractuellement.
La conformité NIS2 est une exigence incontournable pour toute organisation entrant dans son champ d'application. En vous appuyant sur notre expertise, vous assurez une gestion sécurisée et conforme de vos systèmes d'information, minimisant ainsi les risques juridiques et renforçant la confiance de vos partenaires, clients et investisseurs. Nous nous engageons à vous accompagner tout au long de ce processus, en vous proposant des solutions personnalisées et adaptées à vos besoins spécifiques. Notre objectif est de vous aider à transformer les contraintes réglementaires en véritables opportunités de différenciation et de performance.
On s'écrit ? Parlez-moi de vos projets.
Links
