Aller au contenu principal
NIS2

Directive NIS2 : Securisez vos reseaux et systemes d'information

La directive europeenne NIS2 impose de nouvelles exigences de cybersecurite a des milliers d'organisations dans 18 secteurs. Conformitly vous accompagne dans votre mise en conformite.

Qu'est-ce que NIS2 ?

La directive NIS2 (UE 2022/2555) est le cadre reglementaire europeen en matiere de cybersecurite, remplacant la directive NIS1 de 2016. Elle elargit considerablement le perimetre des organisations concernees et renforce les obligations en matiere de gestion des risques, de signalement des incidents et de gouvernance. NIS2 cible les entites essentielles et importantes reparties dans 18 secteurs definis aux Annexes I et II, avec des exigences proportionnees selon la criticite de l'entite.

Qui est concerne par NIS2 ?

Entites essentielles (Annexe I) : energie, transports, secteur bancaire, infrastructures des marches financiers, sante, eau potable, eaux usees, infrastructures numeriques, gestion des services TIC, administration publique, espace
Entites importantes (Annexe II) : services postaux et d'expedition, gestion des dechets, fabrication, production et distribution de produits chimiques, production, transformation et distribution de denrees alimentaires, fournisseurs numeriques, recherche
Seuils d'application : organisations de 50 employes ou plus, ou dont le chiffre d'affaires annuel ou le bilan annuel depasse 10 millions d'euros
Certaines entites sont concernees independamment de leur taille : fournisseurs de services DNS, registres de noms de domaine de premier niveau, fournisseurs de services de confiance

Exigences cles de NIS2

1

Mesures de securite (Art. 21)

Mise en oeuvre de mesures techniques, operationnelles et organisationnelles appropriees et proportionnees : analyse des risques, gestion des incidents, continuite d'activite, securite de la chaine d'approvisionnement, securite des reseaux, gestion des acces, chiffrement, securite des ressources humaines, gestion des actifs et authentification multi-facteurs.

2

Notification d'incidents (Art. 23)

Obligation de signalement en trois etapes : alerte precoce dans les 24 heures suivant la detection d'un incident significatif, notification detaillee dans les 72 heures avec une evaluation initiale de la gravite, et rapport final dans un delai d'un mois comprenant la description detaillee, les causes profondes et les mesures d'attenuation appliquees.

3

Gouvernance et responsabilite de la direction

Les organes de direction doivent approuver les mesures de gestion des risques de cybersecurite, superviser leur mise en oeuvre et suivre une formation adaptee. La responsabilite personnelle des dirigeants peut etre engagee en cas de manquement.

4

Securite de la chaine d'approvisionnement

Les entites doivent evaluer et gerer les risques lies a leurs fournisseurs directs et prestataires de services, en tenant compte de la qualite globale des produits et des pratiques de cybersecurite de leurs fournisseurs, y compris les procedures de developpement securise.

5

Enregistrement et cooperation

Les entites concernees doivent s'enregistrer aupres des autorites nationales competentes. Les Etats membres doivent etablir des CSIRT nationaux et participer au reseau europeen EU-CyCLONe pour la gestion coordonnee des crises cyber a grande echelle.

Calendrier NIS2

2023-01-16

Entree en vigueur de la directive NIS2

2024-10-17

Date limite de transposition dans le droit national des Etats membres

2025-04-17

Date limite pour l'etablissement par les Etats membres des registres d'entites essentielles et importantes

Sanctions NIS2

Les entites essentielles s'exposent a des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus eleve etant retenu. Les entites importantes risquent des amendes allant jusqu'a 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Les dirigeants peuvent etre tenus personnellement responsables et faire l'objet de mesures d'interdiction temporaire d'exercer des fonctions de direction.

Comment Conformitly vous aide pour NIS2

Qualification NIS2 automatisee

Determinez en quelques minutes si votre organisation est une entite essentielle ou importante au sens de NIS2, grace a un questionnaire guide couvrant les criteres de secteur, de taille et de criticite.

22 controles pre-mappes

Beneficiez de 22 controles directement mappes sur les exigences de l'article 21 de NIS2, avec des descriptions detaillees, des preuves attendues et un suivi de progression automatique.

Signalement d'incidents avec minuteries

Gerez vos incidents de cybersecurite avec des minuteries automatiques pour respecter les delais reglementaires de 24 heures, 72 heures et 1 mois imposes par l'article 23, avec des modeles de rapport pre-remplis.

Analyse d'ecarts et plan d'action

Identifiez vos lacunes de conformite NIS2 grace a une analyse d'ecarts detaillee, et generez automatiquement un plan d'action priorise avec des taches assignables a vos equipes.

Lancez votre conformité en 30 minutes

Créez votre compte gratuitement et commencez votre mise en conformité dès aujourd'hui.

Commencer gratuitement Demander une démo