NIS2 : ce que la directive change concrètement pour votre DSI

La directive NIS2 (Network and Information Security 2) est entrée en vigueur en octobre 2024. Elle remplace et élargit considérablement la directive NIS1 de 2016, et concerne désormais des milliers d'entités françaises supplémentaires.

Qui est concerné ?

NIS2 introduit deux catégories d'entités :

• Entités essentielles : énergie, transports, santé, eau, infrastructures numériques, administrations — soumises aux contrôles les plus stricts
• Entités importantes : services postaux, gestion des déchets, industrie manufacturière, alimentaire, fournisseurs numériques — obligations allégées mais réelles

En France, l'ANSSI estime que 15 000 à 20 000 entités entrent dans le périmètre NIS2, contre 500 sous NIS1.

Ce qui change concrètement

Gouvernance - La direction générale est **personnellement responsable** du respect des obligations NIS2 - Des formations obligatoires pour les dirigeants et le personnel cyber

Gestion des risques - Mise en place d'une **politique de gestion des risques** formalisée - Sécurisation de la **chaîne d'approvisionnement** (vos sous-traitants sont dans le périmètre) - Plans de continuité et de reprise d'activité documentés et testés

Notification des incidents - **Alerte dans les 24h** à l'ANSSI en cas d'incident significatif - Rapport intermédiaire sous 72h, rapport final sous 1 mois

Sanctions - Jusqu'à **10 millions d'euros ou 2 % du CA mondial** pour les entités essentielles - Jusqu'à **7 millions d'euros ou 1,4 % du CA mondial** pour les entités importantes

Par où commencer ?

1. Déterminer si vous êtes concerné (secteur + taille)
2. Cartographier vos actifs critiques et vos risques
3. Auditer votre niveau de maturité actuel par rapport aux exigences
4. Définir un plan de mise en conformité priorisé

Teknosure propose un accompagnement NIS2 complet : diagnostic initial, feuille de route, mise en œuvre technique et documentation réglementaire.