## Directive NIS 2 : le nouveau cadre européen de cybersécurité qui change la donne

La directive européenne NIS 2 (Network and Information Security) marque un tournant majeur dans la réglementation de la cybersécurité en Europe. Transposée en droit français sous la supervision de l'ANSSI, elle élargit considérablement le périmètre des organisations concernées et renforce les obligations de sécurité. Voici ce que votre entreprise doit savoir.

### Qu'est-ce que la directive NIS 2 ?

Adoptée par le Parlement européen, NIS 2 remplace la première directive NIS de 2016. Elle vise à harmoniser et renforcer le niveau de cybersécurité à l'échelle de l'Union européenne en imposant des obligations plus strictes à un plus grand nombre d'organisations.

Les principaux changements par rapport à NIS 1 :

- Périmètre élargi : de quelques centaines d'opérateurs, on passe à plusieurs milliers d'entités concernées - Obligations renforcées : gestion des risques, sécurisation de la chaîne d'approvisionnement, notification des incidents - Sanctions alourdies : amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial - Responsabilité des dirigeants : les organes de direction peuvent être tenus personnellement responsables

### Qui est concerné ?

NIS 2 distingue deux catégories d'entités :

Entités essentielles : énergie, transports, santé, eau, infrastructure numérique, administration publique, espace, secteur bancaire.

Entités importantes : services postaux, gestion des déchets, industrie chimique, agroalimentaire, fabrication de dispositifs médicaux, services numériques (marketplaces, moteurs de recherche, réseaux sociaux).

Le critère de taille s'applique également : toute entreprise de plus de 50 employés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans ces secteurs est potentiellement concernée.

### Quelles sont les obligations concrètes ?

#### Gestion des risques

Les entités doivent mettre en place des mesures techniques et organisationnelles proportionnées :

- Analyse de risques documentée et régulièrement mise à jour - Politiques de sécurité couvrant la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement - Mesures de sécurité : chiffrement, contrôle d'accès, gestion des vulnérabilités, authentification multifacteur

#### Notification des incidents

En cas d'incident de sécurité significatif, les entités doivent :

- Alerter dans les 24 heures : notification initiale à l'ANSSI - Rapport intermédiaire sous 72 heures : analyse préliminaire de l'incident - Rapport final sous 1 mois : description détaillée, impact, mesures correctives

#### Gouvernance

- Implication de la direction : les organes de direction doivent approuver les mesures de gestion des risques et suivre leur mise en œuvre - Formation obligatoire : les dirigeants doivent suivre une formation en cybersécurité - Audit et contrôle : les entités doivent pouvoir démontrer leur conformité

### Comment se préparer ?

L'ANSSI recommande une démarche structurée en plusieurs étapes :

1. Déterminer si vous êtes concerné : identifiez votre secteur d'activité et vérifiez les critères de taille 2. Réaliser un état des lieux : évaluez votre niveau de maturité cyber actuel 3. Élaborer un plan d'action : identifiez les écarts et priorisez les actions correctives 4. Mettre en place une gouvernance : désignez un responsable, constituez un comité de pilotage 5. Déployer les mesures techniques : segmentation réseau, MFA, chiffrement, sauvegarde 6. Documenter et tester : rédigez vos politiques, testez vos procédures d'incident

### Le rôle de l'ANSSI

L'ANSSI est l'autorité nationale compétente pour la mise en œuvre de NIS 2 en France. Elle développe un référentiel de mesures spécifique qui servira de norme de conformité. L'agence propose également des ressources et un accompagnement pour aider les organisations à se préparer.

### Conclusion

La directive NIS 2 n'est pas qu'une contrainte réglementaire — c'est une opportunité de renforcer durablement la résilience de votre organisation face aux cybermenaces. Commencez dès maintenant votre mise en conformité pour éviter les sanctions et, surtout, pour protéger votre activité.

Alcybe propose des formations certifiantes NIS 2 Directive Lead Implementer pour accompagner vos équipes dans cette transition.