WLF - Cabinet de Cybersécurité
    Réglementation15 mars 20268 min de lecture

    Les enjeux de la directive NIS 2 pour les entreprises françaises

    Nermine C.

    Nermine C.

    Consultante Confirmée

    Directive NIS 2

    Adoptée en janvier 2023 par le Parlement européen, la directive NIS 2 (Network and Information Security) élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. Pour les entreprises françaises, la transposition en droit national attendue pour octobre 2024 puis repoussée représente un changement structurel majeur.

    Un périmètre élargi : qui est concerné ?

    Là où la directive NIS 1 ne ciblait qu'un nombre restreint d'opérateurs de services essentiels (OSE), NIS 2 étend les obligations à plus de 18 secteurs d'activité, distinguant les entités « essentielles » des entités « importantes ». Parmi les secteurs nouvellement concernés :

    • L'administration publique (collectivités, ministères)
    • Les services postaux et de messagerie
    • La gestion des déchets et des eaux usées
    • L'industrie manufacturière critique (chimie, agroalimentaire, dispositifs médicaux)
    • Les fournisseurs de services numériques (cloud, data centers, plateformes en ligne)

    En France, on estime que plus de 15 000 entités seront concernées, contre seulement quelques centaines sous NIS 1. Ce changement d'échelle impose une industrialisation des démarches de mise en conformité.

    💡 Le saviez-vous ?

    Les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans les secteurs visés sont automatiquement soumises à NIS 2, sans nécessité de désignation individuelle par l'ANSSI.

    Les obligations clés de NIS 2

    La directive impose un socle d'exigences structuré autour de quatre piliers :

    1. Gouvernance

    Implication de la direction dans la gestion des risques cyber. Les dirigeants peuvent voir leur responsabilité personnelle engagée.

    2. Gestion des risques

    Mise en place de mesures techniques et organisationnelles proportionnées : analyse de risques, politique de sécurité, gestion des accès.

    3. Notification d'incidents

    Obligation de signaler tout incident significatif à l'ANSSI dans un délai de 24h pour l'alerte initiale, puis 72h pour le rapport détaillé.

    4. Sécurité de la chaîne d'approvisionnement

    Évaluation et gestion des risques liés aux fournisseurs et prestataires, avec des exigences contractuelles de sécurité.

    Un régime de sanctions renforcé

    NIS 2 introduit un régime de sanctions significativement plus sévère, aligné sur le modèle du RGPD :

    • Entités essentielles : amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial
    • Entités importantes : amendes pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial
    • Responsabilité des dirigeants : possibilité d'interdiction temporaire d'exercer des fonctions de direction

    Notre feuille de route pour se préparer

    Chez WLF, nous accompagnons nos clients dans une démarche pragmatique en 5 étapes :

    01

    Diagnostic de périmètre

    Identifier si votre organisation est concernée et à quel titre (essentielle ou importante).

    02

    Analyse d'écart

    Évaluer l'existant par rapport aux exigences de la directive et identifier les chantiers prioritaires.

    03

    Plan de remédiation

    Construire une feuille de route réaliste, budgétée et priorisée selon les risques métier.

    04

    Mise en œuvre

    Déployer les mesures techniques et organisationnelles : PSSI, gestion des incidents, sécurité fournisseurs.

    05

    Suivi et amélioration continue

    Mettre en place les indicateurs de suivi et préparer les mécanismes de notification d'incidents.

    Besoin d'accompagnement ?

    Les consultants de WLF maîtrisent les référentiels de l'ANSSI et les exigences de NIS 2. Nous vous aidons à transformer cette contrainte réglementaire en levier de maturité cyber. Contactez-nous pour un premier échange.