Numerique

Avocat NIS2

Vous êtes concerné par la directive NIS2 ? Identifiez vos obligations, structurez votre gouvernance cyber et sécurisez votre chaîne de sous-traitance avant les échéances.

Organiser un échange

Contexte

NIS2, un changement d'échelle pour la sécurité numérique

La directive NIS2 étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Là où la première directive NIS visait un nombre limité d'opérateurs, NIS2 touche des milliers d'entités qualifiées d'essentielles ou d'importantes, dans de très nombreux secteurs : énergie, santé, transports, numérique, agroalimentaire, et bien d'autres.

Les entités concernées doivent mettre en œuvre des mesures de gestion des risques, notifier les incidents significatifs et impliquer leur direction dans la gouvernance cyber. La transposition en droit français précise les contours de ces obligations, dont le non-respect expose à des sanctions et à la responsabilité des dirigeants.

Problematique

Des milliers d'entreprises concernées, souvent sans le savoir

Le premier défi de NIS2 est de savoir si l'on est concerné. De nombreuses entreprises ignorent qu'elles entrent dans le champ élargi de la directive, faute d'analyser précisément leur secteur et leur taille. D'autres découvrent leurs obligations tardivement, alors que la mise en conformité demande du temps et l'implication de la direction.

Le risque est réel : sanctions, responsabilité des dirigeants, et exposition accrue en cas d'incident. S'y ajoute la pression de la chaîne de sous-traitance, où des entreprises non directement soumises sont sollicitées par leurs clients assujettis pour démontrer leur niveau de sécurité. Naviguer ces obligations sans accompagnement expose à des erreurs de qualification et à une conformité incomplète.

Solutions

Une trajectoire claire vers la conformité NIS2

Je vous accompagne dans la mise en conformité à NIS2, de la qualification de votre situation au suivi opérationnel.

Je détermine d'abord si vous êtes concerné et à quel titre, entité essentielle ou importante, en analysant votre secteur et votre taille. Je réalise ensuite un état des lieux de votre niveau de sécurité et de gouvernance, et j'identifie les écarts à combler.

Je vous aide à déployer les mesures requises : gestion des risques, procédures de notification d'incidents, gouvernance impliquant la direction, sécurisation de la chaîne de sous-traitance. J'assure enfin le suivi dans la durée, pour maintenir votre conformité et vous accompagner en cas d'incident à notifier.

Méthode

Notre méthode

Qualification de votre entité

Je détermine si votre entreprise entre dans le champ de NIS2 et à quel titre, entité essentielle ou importante, selon votre secteur et votre taille. Cette qualification conditionne l'étendue exacte de vos obligations et l'autorité compétente.

État des lieux et analyse d'écarts

Je réalise un état des lieux de votre niveau de sécurité et de gouvernance au regard des exigences NIS2. Cet écart entre l'existant et le requis hiérarchise les chantiers à mener pour atteindre la conformité.

Mise en conformité et gouvernance

Je vous accompagne dans le déploiement : mesures de gestion des risques, procédures de notification d'incidents, gouvernance impliquant la direction, sécurisation contractuelle de votre chaîne de sous-traitance. Chaque obligation est traduite en actions concrètes et documentées.

Suivi et gestion des incidents

J'assure le suivi dans la durée : maintien de la documentation, accompagnement en cas d'incident à notifier, adaptation aux précisions réglementaires. Votre conformité NIS2 reste opérationnelle et à jour face aux évolutions.

FAQ

Questions ?

Qu'est-ce que la directive NIS2 ?

NIS2 est la directive européenne sur la sécurité des réseaux et des systèmes d'information, qui succède à la première directive NIS. Elle vise à relever le niveau de cybersécurité dans l'Union en imposant aux entités concernées des mesures de gestion des risques, des obligations de notification d'incidents et une implication de leurs dirigeants. Elle élargit fortement le nombre de secteurs et d'entreprises soumis à ces obligations.

Mon entreprise est-elle concernée par NIS2 ?

NIS2 distingue les entités essentielles et les entités importantes, selon leur secteur et leur taille. De très nombreux secteurs sont visés : énergie, transports, santé, eau, infrastructures numériques, services TIC, administration, espace, mais aussi agroalimentaire, fabrication, gestion des déchets et autres. Une analyse précise de votre activité et de votre taille est nécessaire pour déterminer si vous êtes concerné et à quel titre.

Quelles obligations impose NIS2 ?

Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles de gestion des risques (analyse de risques, sécurité des systèmes, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement), notifier les incidents significatifs dans des délais courts, et impliquer leur organe de direction, qui doit valider les mesures et peut voir sa responsabilité engagée.

Quelles sanctions en cas de non-conformité à NIS2 ?

NIS2 prévoit des sanctions significatives, avec des plafonds différenciés selon que l'entité est essentielle ou importante. Au-delà des amendes, les autorités disposent de pouvoirs d'injonction et de contrôle, et la responsabilité des dirigeants peut être engagée. La conformité n'est donc pas optionnelle : elle doit être pilotée au plus haut niveau de l'entreprise.

Comment se mettre en conformité avec NIS2 ?

La démarche commence par déterminer si vous êtes concerné et à quel titre, puis par un état des lieux de votre niveau de sécurité au regard des exigences. Vient ensuite un plan d'actions : mesures techniques et organisationnelles, procédures de notification, gouvernance, sécurisation de la chaîne de sous-traitance. La documentation et l'implication de la direction sont des éléments clés de la conformité.

NIS2 concerne-t-elle la chaîne de sous-traitance ?

Oui. La sécurité de la chaîne d'approvisionnement est un volet important de NIS2 : les entités concernées doivent prendre en compte les risques liés à leurs fournisseurs et prestataires. Cela suppose d'évaluer ces risques et d'encadrer contractuellement les exigences de sécurité avec les sous-traitants. Même des entreprises non directement soumises peuvent être sollicitées par leurs clients assujettis.

Quel est le lien entre NIS2 et le RGPD ?

NIS2 et le RGPD sont complémentaires mais distincts. Le RGPD protège les données personnelles et impose déjà une obligation de sécurité et de notification des violations à la CNIL. NIS2 vise plus largement la sécurité des réseaux et systèmes d'information, avec ses propres obligations et autorités. Une entreprise peut être soumise aux deux, ce qui appelle une approche coordonnée de la conformité et de la gestion des incidents.

Quand faut-il se préparer à NIS2 ?

Dès maintenant. La mise en conformité demande du temps : qualification de votre situation, état des lieux, déploiement des mesures, structuration de la gouvernance et de la documentation. Les entreprises qui anticipent évitent de subir l'échéance dans l'urgence et transforment la contrainte en atout de sécurité et de crédibilité vis-à-vis de leurs clients et partenaires.

Vous êtes concerné par la directive NIS2 ? Identifiez vos obligations, structurez votre gouvernance cyber et sécurisez votre chaîne de sous-traitance avant les échéances.

Nous accompagnons les entreprises de la tech et du commerce avec une double compétence juridique et technique, de l'analyse à la mise en œuvre.

Homme en costume bleu foncé avec cravate et pochette blanche, bras croisés, regardant vers l'avant.

Ressources

Nos contenus & guides

00
article(s) affiché(s) sur
00

7 min

Rédiger une politique de confidentialité
Découvrez comment une politique de confidentialité robuste peut protéger vos informations personnelles, renforcer votre sécurité en ligne et garantir une navigation sereine : tout ce que vous devez savoir est ici !

15 min

CGV bilingues : comment sécuriser ses ventes à l'export en 2026 ?
Développer son activité à l'international ouvre des opportunités majeures pour les TPE, PME et e-commerçants français , mais expose aussi à des risques juridiques bien plus importants que sur le marché national. Différences de systèmes juridiques, barrière linguistique, complexité douanière, instabi

14 min

Contrat SaaS : clauses indispensables pour éditeurs et clients
Le Software as a Service (SaaS) s’est imposé comme le modèle dominant de distribution des logiciels professionnels. Pour autant, il reste un produit juridique hybride, mal cerné par les dirigeants qui le négocient quotidiennement. Un contrat SaaS n’est ni une vente de logiciel, ni une simple prestat

Parlons de votre projet

Un contrat à sécuriser, une mise en conformité à mener, un litige à anticiper ? Le premier rendez-vous sert à comprendre votre besoin et à vous dire clairement comment nous pouvons vous aider.

Prendre rendez-vous
Prendre rendez-vous
📞  Organiser un 1er échange