Réglementaire
NIS2
Définition
NIS2 est la directive (UE) 2022/2555 sur la sécurité des réseaux et des systèmes d'information, qui remplace la première directive NIS de 2016. Elle élargit fortement le périmètre des entités régulées et distingue deux statuts : les entités essentielles (EE) et les entités importantes (EI). En France, elle est transposée par la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, l'ANSSI étant l'autorité nationale compétente.
Pourquoi c'est important
le seuil d'assujettissement descend jusqu'aux entreprises moyennes (à partir de 50 salariés ou 10 M€ de chiffre d'affaires) dans dix-huit secteurs, de l'énergie à la fabrication en passant par le numérique et la santé. NIS2 impose une gestion des risques proportionnée, la notification des incidents significatifs (alerte précoce sous 24 h, notification sous 72 h) et engage directement la responsabilité des organes de direction. Les sanctions atteignent 10 M€ ou 2 % du chiffre d'affaires mondial pour une entité essentielle, 7 M€ ou 1,4 % pour une entité importante. La chaîne de sous-traitance, y compris les fournisseurs de services cloud et d'IA, entre dans le champ de la maîtrise des risques : un incident chez un prestataire critique engage désormais votre propre responsabilité. Les dix mesures minimales attendues couvrent l'analyse des risques, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, le chiffrement et la formation des équipes.
Comment AOCSI l'adresse
nous cadrons votre assujettissement, réalisons l'analyse d'écart face aux mesures attendues et bâtissons un plan de remédiation priorisé. Voyez notre accompagnement à la mise en conformité NIS2 pour la démarche complète, du diagnostic à la préparation d'un éventuel contrôle.
De la définition à la protection.
Nos experts transforment ces concepts en sécurité concrète pour votre organisation.