NIS 2 : êtes-vous prêts ? - Advanced MedioMatrix

Votée en 2022 par le Parlement Européen, entrée en application en octobre 2024, la directive NIS 2 doit améliorer la résilience en cybersécurité des entreprises et organismes stratégiques de l’Union Européenne.

Le Sénat a adopté le texte le 12 mars 2025. Il doit maintenant être examiné à l’Assemblée Nationale.

Mais savez-vous réellement qui est concerné par NIS 2 et quelles sont les nouvelles obligations liées à son application ?

NIS 2 : définition

La directive NIS 2 impose une meilleure prise en compte de la cybersécurité dans la gestion de nos infrastructures informatiques sensibles. La sécurité n’est plus une option. Les mesures imposées par la directive européenne assurent un niveau élevé et commun de sécurité, afin de garantir la continuité des activités des organismes sensibles après une attaque. NIS 2 élargi le champ d’application de la directive NIS 1 et a pour ambition d’établir des standards en matière de cybersécurité dans les Etats membres. Elle prévoit également une plus grande coopération au sein de l’UE. La nouvelle version prévoit également des contrôles plus poussés et des sanctions plus sévères en cas de non-conformité.

NIS 2 : qui est concerné ?

C’est l’une des nouveautés importantes de la version 2 de la directive NIS : le champ d’application de la directive s’élargit considérablement. Alors qu’avec NIS 1, seules quelques entités sont concernées, NIS 2 s’appliquera à quelque 15 000 entités en France, dans 18 secteurs d’activités.

On distingue deux typologies d’entités : les Entités Essentielles et les Entités Importantes. La classification s’applique selon la taille, le chiffre d’affaires et le degré de sensibilité de l’entreprise ou de l’organisme.

Ces deux typologies d’entités n’ayant pas les mêmes enjeux, les objectifs ainsi que les obligations sont adaptés à chacune de ces catégories.

11 secteurs d’activité sont identifiés dans la catégorie « Entités Essentielles », et donc comme des secteurs hautement critiques : les administrations publiques, les services des eaux potables, les services des eaux usagées, le secteur des énergies, de l’espace, les organismes attachés à la gestion des services TIC (interentreprises), les infrastructures des marchés financiers, les infrastructures numériques, la santé, le secteur bancaire ainsi que celui des transports.

Les « Entités Importantes » sont réparties dans 7 secteurs d’activité : la fabrication, la production et la distribution de produits chimiques, les fournisseurs numériques, la gestion des déchets, l’industrie manufacturière, la production, transformation et distribution de denrées alimentaires, la recherche ainsi que les services postaux et d’expédition.

Vous pouvez également exercer une activité énoncée dans les Entités Importantes mais dépendre tout de même des Entités Essentielles : vous devez aussi regarder du côté du nombre de salariés de votre entreprise ainsi que de votre CA annuel.

NIS 2 : vos obligations

NIS 2 introduit de nouvelles obligations dans 3 domaines clés : la gestion des risques, la gouvernance d’entreprise, le signalement d’incident. Elles sont évoquées dans les articles 20 à 23 de la directive.

Gestion des risques

L’analyse des risques et la sécurité des systèmes d’information sont la base de la prévention des attaques cyber. Ces mesures techniques, organisationnelles et opérationnelles doivent notamment identifier les risques auxquels les entités sont exposées, sécuriser les chaînes d’approvisionnement numérique, organiser des règles d’hygiène informatique et des contrôles internes pour vérifier que les procédures en place sont efficaces et permettent la continuité des activités.

Gouvernance d’entreprise

NIS 2 met l’accent sur l’implication des organes de direction, mais aussi des collaborateurs des entités concernées. La directive prévoit ainsi une formation continue en cybersécurité, pour les salariés et les dirigeants.

Signalement d’incident

Tout incident cyber devra faire l’objet d’une alerte dans les 24h aux autorités compétentes (l’ANSSI en France), puis d’une déclaration d’incident plus complète dans le mois suivant l’attaque. Cette déclaration devra évaluer la gravité de l’incident, les sites visés et les impacts transfrontaliers le cas échéant, le type d’attaque subie ainsi que le détail des premières mesures appliquées.

Une tolérance prévue dans l’application de NIS 2, mais des sanctions revues à la hausse

Face aux défis financiers, humains et organisationnel que représente la mise en place de ces mesures dans les entreprises, il est prévu une tolérance de 3 ans une fois la loi transposée en France pour que les entités concernées puissent se mettre à niveau. Attention toutefois, cette tolérance pourrait ne pas s’appliquer aux exigences déjà prévues dans NIS 1, comme la mise en place d’un plan de gestion des incidents. Il s’agit donc de ne pas repousser l’échéance et de travailler à la mise en conformité rapidement.

En cas de non-respect des obligations, NIS 2 prévoit des sanctions à la fois financières et morales. Les montants dépendent du type d’entité, jusqu’à 1,4% du CA annuel mondial (ou 7 millions d’euros) dans le cas des entités importantes par exemple. Mais NIS 2 engage également la responsabilité des dirigeants et des cadres des entreprises concernées. Ils peuvent de fait être interdit d’exercice de fonctions de direction en cas de manquements à la nouvelle règlementation.

Hébergement en datacenter : un levier pour la conformité avec NIS 2

Choisir d’héberger vos données dans un datacenter certifié permet à votre entreprise de renforcer votre sécurité et de répondre à certaines exigences de la directive NIS 2.

Sécurisation de votre infrastructure grâce à une surveillance 24/7, un contrôle d’accès strict, une redondance énergétique assurée.

Les certifications, notamment ISO27001 ou HDS garantissent que les pratiques de sécurité répondent aux exigences réglementaires et incluent des tests réguliers pour éprouver la résilience du datacentre.

Construction de votre plan de continuité grâce à des sauvegardes et la redondance géographique de vos données.

NIS 2 encourage également à la professionnalisation de l’hébergement des données.

Hébergement de votre infrastructure en France, dans le respect des exigences de NIS 2 et du RGPD.

En hébergeant votre infrastructure informatique chez Advanced MedioMatrix, vous restez maîtres de vos données et vous choisissez qui peut y avoir accès.

La mise en place de NIS 2 ne bloquera pas les attaques, mais elle permettra à nos entreprises les plus sensibles de pouvoir s’en relever plus facilement. Si votre entreprise n’est pas listée dans les entités importantes ou essentielles, cela ne signifie pas que vous devez faire l’impasse sur la cybersécurité. N’hésitez pas à vous inspirer des obligations pour rendre votre structure plus résistante aux attaques et vous donner les outils pour que votre activité puisse continuer !

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	1 an	Ces cookies sont définis par le plugin WordPress GDPR Cookie Consent. Le cookie est utilisé pour mémoriser le consentement de l'utilisateur pour les cookies dans la catégorie «Analytics».
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie «Fonctionnel».

Cookie	Durée	Description
_pk_id.1.7de9	13 mois	Recueille des statistiques sur les visites du site web par l’utilisateur, telles que le nombre de visites, le temps moyen passé sur le site et quelles pages on été consultées.
_pk_ses.1.7de9	30 minutes	Utilisé par Piwik Analytics Platform pour suivre les demandes de page du visiteur au cours de la session

Cookie	Durée	Description
pll_language fr	1 an	Ce cookie est défini par le plugin Polylang pour la gestion des langues du site. Ce cookie stocke le code de langue de la dernière page consultée.
wp-ps-session	session	Ce cookie est utilisé par WordPress pour les fonctionnalités de base du site Web.