Numerique
Vous êtes concerné par la directive NIS2 ? Identifiez vos obligations, structurez votre gouvernance cyber et sécurisez votre chaîne de sous-traitance avant les échéances.
Contexte
La directive NIS2 étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Là où la première directive NIS visait un nombre limité d'opérateurs, NIS2 touche des milliers d'entités qualifiées d'essentielles ou d'importantes, dans de très nombreux secteurs : énergie, santé, transports, numérique, agroalimentaire, et bien d'autres.
Les entités concernées doivent mettre en œuvre des mesures de gestion des risques, notifier les incidents significatifs et impliquer leur direction dans la gouvernance cyber. La transposition en droit français précise les contours de ces obligations, dont le non-respect expose à des sanctions et à la responsabilité des dirigeants.
Problematique
Le premier défi de NIS2 est de savoir si l'on est concerné. De nombreuses entreprises ignorent qu'elles entrent dans le champ élargi de la directive, faute d'analyser précisément leur secteur et leur taille. D'autres découvrent leurs obligations tardivement, alors que la mise en conformité demande du temps et l'implication de la direction.
Le risque est réel : sanctions, responsabilité des dirigeants, et exposition accrue en cas d'incident. S'y ajoute la pression de la chaîne de sous-traitance, où des entreprises non directement soumises sont sollicitées par leurs clients assujettis pour démontrer leur niveau de sécurité. Naviguer ces obligations sans accompagnement expose à des erreurs de qualification et à une conformité incomplète.
Solutions
Je vous accompagne dans la mise en conformité à NIS2, de la qualification de votre situation au suivi opérationnel.
Je détermine d'abord si vous êtes concerné et à quel titre, entité essentielle ou importante, en analysant votre secteur et votre taille. Je réalise ensuite un état des lieux de votre niveau de sécurité et de gouvernance, et j'identifie les écarts à combler.
Je vous aide à déployer les mesures requises : gestion des risques, procédures de notification d'incidents, gouvernance impliquant la direction, sécurisation de la chaîne de sous-traitance. J'assure enfin le suivi dans la durée, pour maintenir votre conformité et vous accompagner en cas d'incident à notifier.
Je détermine si votre entreprise entre dans le champ de NIS2 et à quel titre, entité essentielle ou importante, selon votre secteur et votre taille. Cette qualification conditionne l'étendue exacte de vos obligations et l'autorité compétente.
Je réalise un état des lieux de votre niveau de sécurité et de gouvernance au regard des exigences NIS2. Cet écart entre l'existant et le requis hiérarchise les chantiers à mener pour atteindre la conformité.
Je vous accompagne dans le déploiement : mesures de gestion des risques, procédures de notification d'incidents, gouvernance impliquant la direction, sécurisation contractuelle de votre chaîne de sous-traitance. Chaque obligation est traduite en actions concrètes et documentées.
J'assure le suivi dans la durée : maintien de la documentation, accompagnement en cas d'incident à notifier, adaptation aux précisions réglementaires. Votre conformité NIS2 reste opérationnelle et à jour face aux évolutions.
FAQ
NIS2 est la directive européenne sur la sécurité des réseaux et des systèmes d'information, qui succède à la première directive NIS. Elle vise à relever le niveau de cybersécurité dans l'Union en imposant aux entités concernées des mesures de gestion des risques, des obligations de notification d'incidents et une implication de leurs dirigeants. Elle élargit fortement le nombre de secteurs et d'entreprises soumis à ces obligations.
NIS2 distingue les entités essentielles et les entités importantes, selon leur secteur et leur taille. De très nombreux secteurs sont visés : énergie, transports, santé, eau, infrastructures numériques, services TIC, administration, espace, mais aussi agroalimentaire, fabrication, gestion des déchets et autres. Une analyse précise de votre activité et de votre taille est nécessaire pour déterminer si vous êtes concerné et à quel titre.
Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles de gestion des risques (analyse de risques, sécurité des systèmes, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement), notifier les incidents significatifs dans des délais courts, et impliquer leur organe de direction, qui doit valider les mesures et peut voir sa responsabilité engagée.
NIS2 prévoit des sanctions significatives, avec des plafonds différenciés selon que l'entité est essentielle ou importante. Au-delà des amendes, les autorités disposent de pouvoirs d'injonction et de contrôle, et la responsabilité des dirigeants peut être engagée. La conformité n'est donc pas optionnelle : elle doit être pilotée au plus haut niveau de l'entreprise.
La démarche commence par déterminer si vous êtes concerné et à quel titre, puis par un état des lieux de votre niveau de sécurité au regard des exigences. Vient ensuite un plan d'actions : mesures techniques et organisationnelles, procédures de notification, gouvernance, sécurisation de la chaîne de sous-traitance. La documentation et l'implication de la direction sont des éléments clés de la conformité.
Oui. La sécurité de la chaîne d'approvisionnement est un volet important de NIS2 : les entités concernées doivent prendre en compte les risques liés à leurs fournisseurs et prestataires. Cela suppose d'évaluer ces risques et d'encadrer contractuellement les exigences de sécurité avec les sous-traitants. Même des entreprises non directement soumises peuvent être sollicitées par leurs clients assujettis.
NIS2 et le RGPD sont complémentaires mais distincts. Le RGPD protège les données personnelles et impose déjà une obligation de sécurité et de notification des violations à la CNIL. NIS2 vise plus largement la sécurité des réseaux et systèmes d'information, avec ses propres obligations et autorités. Une entreprise peut être soumise aux deux, ce qui appelle une approche coordonnée de la conformité et de la gestion des incidents.
Dès maintenant. La mise en conformité demande du temps : qualification de votre situation, état des lieux, déploiement des mesures, structuration de la gouvernance et de la documentation. Les entreprises qui anticipent évitent de subir l'échéance dans l'urgence et transforment la contrainte en atout de sécurité et de crédibilité vis-à-vis de leurs clients et partenaires.
Nous accompagnons les entreprises de la tech et du commerce avec une double compétence juridique et technique, de l'analyse à la mise en œuvre.

Ressources
Un contrat à sécuriser, une mise en conformité à mener, un litige à anticiper ? Le premier rendez-vous sert à comprendre votre besoin et à vous dire clairement comment nous pouvons vous aider.