Ma PME est-elle concernée par NIS 2 ?

Directive NIS 2

Mon entreprise va-t-elle être régulée ?

Ma PME est-elle concernée ?

Réalisez une simulation pour déterminer si votre PME est régulée par la directive NIS 2 et à quelle catégorie elle appartient.

La Directive NIS 2 en synthèse

Renforcer la cybersécurité des entreprises de l'Union Européenne

La directive NIS 2 (en français : sécurité des réseaux et des systèmes d’Information) vise à renforcer le niveau de cybersécurité des entreprises et des administrations des pays membres de l’UE.

+ 10 000 entités concernés sur 18 secteurs d'activités

Plus de 10 000 PME et grandes entreprises, collectivités territoriales et administrations seront concernés par la directive NIS 2.

Les Entités Essentielles (EE) et les Entités Importantes (EI)

Deux catégories d’entités seront régulées pour assurer une proportionnalité de traitement : Les Entités Essentielles (Effectif > 250 ou CA > 50 M€) et les Entités Importantes (Effectif > 50 ou CA > 10 M€).

Quelles obligations pour les entités régulées ?

Partage d’information avec l’ANSSI, gestion des risques, mesures cyber et déclaration d’incidents seront obligatoires. En cas de manquement, des sanctions financières – jusqu’à 2 % du CA mondial – pourront être imposées et la responsabilité personnelle des dirigeants des entités concernées pourra être engagée.

Comment préparer ma PME à la Directive NIS 2 ?

Téléchargez la plaquette d'informations NIS 2

Téléchargez la plaquette d’informations NIS 2 mise en place par l’ANSSI et suivez les évolutions de la transposition de la Directive en le droit Français.

Votre PME est-elle concernée ?

Réalisez une simulation gratuite pour savoir si votre entreprise sera potentiellement régulée par NIS 2 ?

Réalisez un audit gratuit de maturité cyber

N’attendez pas la transposition de la Directive NIS 2 pour vous conformer. OFFMYDATA est aidant auprès de l’ANSSI dans le cadre du dispositif Mon Aide Cyber / CyberDépart. Réalisons ensemble un diagnostic gratuit de maturité cyber en 1h ⏱️.

Questions / Réponses sur la directive NIS 2

Où en sommes-nous de la mise en application de la directive NIS 2

La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit que chaque Etat membre transpose en droit national les différentes exigences réglementaires.

Sa transposition dans le droit Français se déroulera en deux temps :

La phase de préparation du projet de loi. Les 11 et 12 mars 2025, le Sénat a examiné puis adopté en séance publique le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
La phase de production des décrets et arrêtés qui aboutira à l’issue des consultations, afin de les soumettre à une validation interministérielle pour publication des textes dans les mois suivants la promulgation de la loi.

La directive NIS 2 rentrera en vigueur en France dès lors que l’ensemble des textes de transposition (loi, décrets, arrêtés) auront été promulgués.

Comment anticiper l'application de la directive NIS 2 ?

La directive NIS 2 définit dans son article 20 et dans son article 21 des mesures de gestion des risques en matière de cybersécurité minimales à mettre en œuvre par les futures entités essentielles et importantes.

Ces mesures peuvent-être regroupées en 3 piliers stratégiques : la gouvernance, la protection, la défense et la résilience.

La gouvernance
- Mise en place de politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
- Des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
- Les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
La sécurité des infrastructures, des postes, des utilisateurs et des tiers
- La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
- La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
- L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
- La sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
- Gestion des incidents
Réaction à une cyberattaque
- La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;

Comme prévu par le processus de transposition de la directive en droit national piloté par l’ANSSI, ces mesures seront précisées dans les textes législatifs et réglementaires, au travers notamment d’un référentiel d’exigences en matière de cybersécurité.

Date d'entrée en vigueur de la directive versus date d'application

La date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées.

Quelles sont les informations obligatoires qu’une entité régulée doit communiquer à l’ANSSI ?

La directive NIS 2 prévoit à l’article 3 qu’une entité, qu’elle soit entité essentielle, entité importante ou entité fournissant des services d’enregistrement de noms de domaine, fournisse lors de l’enregistrement a minima les informations suivantes :

Le nom de l’entité ;
Son adresse et ses coordonnées actualisées, y compris les adresses électroniques, les plages d’adresses IP exposées sur Internet et les numéros de téléphone ;
Le cas échéant, son secteur et son sous-secteur d’appartenance, visés à l’annexe I ou II de la directive NIS 2 ; et
Le cas échéant, une liste des États membres dans lesquels elle fournit des services relevant du champ d’application de la présente directive.

Les entités seront-elles informées individuellement par l'ANSSI qu’elles devront se conformer à NIS 2 ?

Il revient aux entités importantes ou essentielles de s’enregistrer elles-mêmes auprès de l’ANSSI. La directive prévoit qu’il appartient aux entités, qu’elles soient importantes ou essentielles, de s’identifier comme telles auprès de l’autorité compétente, en lui communiquant ses coordonnées, son ou ses secteur(s) et sous-secteur(s) de rattachement et la liste d’États membres dans lesquels elle fournit des services.

L’espace « Mon Espace NIS 2 » mis en place par l’ANSSI permettra de s’enregistrer directement auprès de l’agence nationale.

Les futures entités essentielles et importantes peuvent-elles choisir le prestataire de leur choix pour les accompagner ?

Les futures entités essentielles et importantes sont libres de recourir au prestataire de leur choix pour être accompagnées, dans la mise en œuvre des mesures leur permettant de respecter leurs obligations au titre de NIS 2.

OFFMYDATA peut vous accompagner dans votre mise en confirmité NIS 2.

Comment la directive NIS 2 s'articule-t-elle avec le règlement Digital Operational Resilience Act (DORA) ?

La directive NIS 2 et le règlement DORA ne partagent pas les mêmes objectifs. La directive NIS 2 vise à renforcer le niveau de cybersécurité global au sein de l’Union Européenne en visant les entités essentielles et les entités importantes de 18 secteurs, tandis que le règlement DORA vise à assurer l’intégrité et la disponibilité du secteur financier en adressant 21 types d’entités définies précisément dans le règlement.

Les 21 types d’entités du secteur financier concernées par DORA n’appliqueront pas les mesures de la directive concernant la gestion des risques de cybersécurité, les obligations d’information ainsi que la supervision (au sens du contrôle) et l’exécution mais celles du règlement DORA.

Existe-t-il des liens entre les exigences de la norme ISO 27001 et les futures règles de cybersécurité de NIS 2 ?

L’obtention d’une certification ISO 27001 ne permet pas, en elle-même, une conformité à NIS 2. Mais cette norme constitue un outil et une méthodologie pour accompagner le déploiement du référentiel de sécurité. Source.

Quelle est l'articulation entre NIS 2 et le Cyber Resilience Act (CRA) ?

De manière simplifiée, le CRA visera à sécuriser les produits numériques utilisés dans l’UE par les entreprises et le grand public alors que NIS 2 a pour objectif de sécuriser les moyens de production des entreprises et administrations de l’UE.

D’une certaine manière; le CRA est complémentaire de la directive NIS 2.

Crédits images ANSSI.

Directive NIS 2