Pôle d'expertise
Conformité NIS2 : cadrer et réussir votre mise en conformité
NIS2 · 01
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (directive (UE) 2022/2555) est le texte européen qui relève le niveau commun de cybersécurité au sein de l'Union. Elle succède à la première directive NIS et en corrige les principales limites : un périmètre trop étroit et des exigences trop hétérogènes d'un pays à l'autre. NIS2 fixe un socle commun d'obligations et confie à chaque État membre le soin de le transposer dans son droit national.
En France, la transposition précise les modalités d'application et confie à l'ANSSI le rôle d'autorité nationale compétente. Le principe reste le même partout : les entités visées doivent identifier leurs risques, mettre en place des mesures de sécurité proportionnées, notifier leurs incidents significatifs et impliquer leur direction dans le pilotage de la cybersécurité.
NIS2 · 02
Entités essentielles et entités importantes
NIS2 distingue deux catégories d'entités régulées : les entités essentielles et les entités importantes. Cette qualification dépend à la fois du secteur d'activité et de la taille de l'organisation (effectif et chiffre d'affaires), avec des cas particuliers où une entité est visée quelle que soit sa taille.
La distinction n'est pas cosmétique : elle commande l'intensité de la supervision. Les entités essentielles relèvent d'un contrôle plutôt a priori, tandis que les entités importantes font l'objet d'un contrôle plutôt a posteriori. Les deux catégories restent soumises aux mêmes grandes obligations de gestion des risques et de notification.
NIS2 · 03
Les obligations posées par NIS2
NIS2 ne prescrit pas une liste de produits à acheter, mais un résultat : maîtriser ses risques et savoir réagir. Le texte impose des mesures techniques, opérationnelles et organisationnelles de gestion des risques, proportionnées à l'exposition de chaque entité.
NIS2 · 04
La notification des incidents et la responsabilité des dirigeants
La notification des incidents significatifs s'effectue en plusieurs temps auprès de l'autorité compétente : une alerte précoce, puis une notification circonstanciée, puis un rapport final, dans des délais courts fixés par la directive. L'objectif est de permettre une réaction collective rapide face aux menaces.
NIS2 engage aussi la responsabilité des organes de direction : ils approuvent les mesures de gestion des risques, en supervisent la mise en œuvre et doivent se former. La cybersécurité cesse d'être un sujet purement technique pour devenir une responsabilité de gouvernance.
NIS2 · 05
Notre accompagnement à la mise en conformité NIS2
AOCSI accompagne votre mise en conformité NIS2 de bout en bout, sans jamais confondre conformité et empilement d'outils. Nous partons de votre éligibilité réelle, mesurons l'écart avec les exigences, puis construisons une trajectoire que vos équipes peuvent tenir.
NIS2 · 06
Sanctions, coût et calendrier
NIS2 durcit le régime de sanctions par rapport au cadre antérieur : les autorités disposent de pouvoirs de contrôle renforcés, avec injonctions, mesures correctives et amendes administratives dissuasives. Au-delà de l'amende, l'enjeu est la responsabilité des dirigeants, qui ne peuvent plus se décharger entièrement de la cybersécurité sur leurs équipes techniques.
AOCSI est l'un des premiers cabinets français à publier ses tarifs. Le coût d'une mise en conformité dépend de votre taille, de votre secteur et de votre maturité de départ : une organisation déjà engagée dans une démarche ISO 27001 partira de plus haut qu'une entité qui découvre le sujet. Le devis est transparent, sans revente de licence, et l'investissement se séquence grâce à une trajectoire priorisée. Les obligations demandant plusieurs mois de travail, mieux vaut engager la démarche sans attendre l'échéance.
Notre méthode
Une intervention cadrée, du premier échange au suivi.
La même rigueur à chaque mission, quel que soit le périmètre.
Cadrage
Périmètre, objectifs et règles d'engagement définis avec vous.
Intervention
Nos experts exécutent la mission : outillage et analyse manuelle.
Restitution
Rapport priorisé par le risque, synthèse direction et plan d'action.
Accompagnement
Suivi de la remédiation et contre-vérification des correctifs.
Notre expertise en détail
Chaque facette de ce pôle fait l'objet d'une prestation dédiée, menée par des experts seniors.
Prêt à y voir clair sur votre exposition ?
Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.
Questions fréquentes
La directive NIS2, c'est quoi en une phrase ?
C'est le texte européen (directive (UE) 2022/2555) qui étend et harmonise les obligations de cybersécurité des organisations jugées importantes pour l'économie et la société, et qui responsabilise leurs dirigeants.
À partir de quand faut-il être conforme ?
NIS2 est entrée en vigueur au niveau européen et sa transposition précise le calendrier applicable en France. Indépendamment des dates exactes, les obligations demandent plusieurs mois de travail : mieux vaut engager la démarche sans attendre l'échéance.
Quelle différence entre entité essentielle et entité importante ?
Les deux catégories sont soumises aux mêmes grandes obligations. Elles se distinguent surtout par l'intensité de la supervision : contrôle plutôt a priori pour les entités essentielles, plutôt a posteriori pour les entités importantes. La catégorie dépend du secteur et de la taille.
AOCSI délivre-t-il une certification NIS2 ?
NIS2 est une obligation légale, pas un label : il n'existe pas de « certification NIS2 » à proprement parler, et AOCSI n'est pas un organisme certificateur. Nous vous accompagnons à la mise en conformité et documentons votre niveau de conformité aux exigences.
Une démarche ISO 27001 aide-t-elle pour NIS2 ?
Oui. Un système de management de la sécurité conforme à l'ISO 27001 couvre une large part des mesures attendues par NIS2 (analyse de risque, gestion des incidents, continuité). Il ne suffit pas à lui seul, mais il constitue une base solide qui accélère la mise en conformité.