Retour aux actualités

Cybersécurité ·

NIS2 : un changement d'échelle pour la cybersécurité des entreprises

La directive européenne NIS2 élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. Secteurs concernés, obligations, sanctions : décryptage.

La directive (UE) 2022/2555, dite « NIS2 », marque un changement d'échelle dans la régulation européenne de la cybersécurité. Succédant à la directive NIS de 2016, elle élargit considérablement le périmètre des organisations soumises à des obligations de sécurité des systèmes d'information. En France, sa transposition mobilise l'ANSSI et concerne désormais plusieurs milliers d'entités, contre quelques centaines auparavant.

NIS2 distingue deux catégories : les « entités essentielles » (énergie, transports, santé, banque, infrastructures numériques…) et les « entités importantes » (services postaux, gestion des déchets, fabrication, fournisseurs numériques…). Le critère de taille joue un rôle central : la plupart des moyennes et grandes entreprises de ces secteurs entrent dans le champ, qu'elles en aient conscience ou non.

Les obligations couvrent la gestion des risques (politiques de sécurité, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, chiffrement), mais aussi la notification rapide des incidents significatifs — une alerte initiale étant attendue sous 24 heures. La sécurité de la supply chain numérique devient un point d'attention majeur.

L'une des nouveautés les plus structurantes concerne la responsabilité des dirigeants : les organes de direction doivent approuver les mesures de gestion des risques cyber, en superviser la mise en œuvre et peuvent être tenus responsables en cas de manquement. La cybersécurité cesse d'être un sujet purement technique pour devenir un enjeu de gouvernance.

Les sanctions sont à la hauteur de ces ambitions : pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Au-delà du risque financier, l'enjeu réputationnel et la continuité opérationnelle justifient une mise en conformité anticipée.

Innovis accompagne les organisations dans leur mise en conformité NIS2 : qualification de leur statut, analyse d'écart, structuration de la gouvernance cyber, renforcement de la gestion des risques et des incidents, et sécurisation de la chaîne de sous-traitance. Une démarche qui rejoint naturellement les exigences ISO 27001 et DORA.

Besoin d'un accompagnement ?

Nos experts sont disponibles pour approfondir ces sujets avec vous.