Mon entreprise est-elle concernée par NIS2 ?

Si votre organisation compte plus de 50 salariés ou dépasse 10 millions d'euros de chiffre d'affaires et opère dans un secteur listé par la directive (santé, énergie, numérique, industrie critique, etc.), vous êtes probablement concerné. Les sous-traitants d'entités soumises à NIS2 entrent également dans le périmètre indirect. En cas de doute, une auto-évaluation s'impose — l'ignorance ne constitue pas une défense devant les régulateurs.

Quelles sont les sanctions NIS2 en cas de non-conformité ?

Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA. NIS2 introduit également une responsabilité personnelle des dirigeants, qui peuvent être tenus responsables en cas de manquement grave.

Quelle est la différence entre NIS2 et ISO 27001 ?

ISO 27001 est un référentiel volontaire qui certifie votre système de management de la sécurité. NIS2 est une obligation légale européenne avec des exigences spécifiques, des délais de notification contraignants et des sanctions. Les deux sont complémentaires : une certification ISO 27001 facilite la conformité NIS2, mais ne s'y substitue pas.

Par où commencer pour se mettre en conformité NIS2 ?

Par un état des lieux honnête : cartographie de vos actifs critiques, évaluation de votre capacité de détection actuelle, audit de votre gestion des accès et revue de votre documentation de gouvernance. L'objectif n'est pas de produire un rapport — c'est d'identifier les écarts réels entre votre posture actuelle et ce que NIS2 exige.

NIS2 : ce que votre entreprise doit vraiment mettre en place

Q: Comment respecter le délai de notification NIS2 de 24h ?

Sans supervision en temps réel, c'est impossible. La détection manuelle ne permet pas de respecter ce délai. Il faut une capacité de détection automatisée, un processus de qualification rapide et des canaux de notification préparés en amont. C'est une exigence opérationnelle, pas administrative.

La directive NIS2 est entrée en application en octobre 2024 et concerne désormais des dizaines de milliers d'entreprises européennes qui n'étaient pas couvertes par NIS1. Si votre organisation compte plus de 50 salariés ou dépasse 10 millions d'euros de chiffre d'affaires et opère dans un secteur listé — santé, énergie, numérique, industrie critique, transport, finance, administration publique — vous êtes très probablement concerné.

Qui est réellement concerné par NIS2

NIS2 distingue deux catégories : les entités essentielles (grandes organisations dans les secteurs critiques) et les entités importantes (PME et ETI dans les mêmes secteurs). Les sous-traitants d'entités soumises à NIS2 entrent également dans le périmètre indirect via les exigences de sécurité de la chaîne d'approvisionnement. En cas de doute, une auto-évaluation s'impose : l'ignorance ne constitue pas une défense devant les régulateurs.

Les sanctions en cas de non-conformité

Pour les entités essentielles, les sanctions peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est de 7 millions d'euros ou 1,4% du chiffre d'affaires. NIS2 introduit également une responsabilité personnelle des dirigeants, qui peuvent être tenus responsables en cas de manquement grave aux obligations de gouvernance cyber.

Le délai de notification de 24 heures

NIS2 impose une notification d'incident significatif dans les 24 heures suivant la prise de connaissance, suivie d'un rapport intermédiaire à 72 heures et d'un rapport final à un mois. Sans supervision en temps réel, ce délai est impossible à respecter. La détection manuelle ne fonctionne pas. Il faut une capacité de détection automatisée, un processus de qualification rapide et des canaux de notification préparés en amont.

NIS2 vs ISO 27001

ISO 27001 est un référentiel volontaire qui certifie votre système de management de la sécurité de l'information. NIS2 est une obligation légale européenne avec des exigences spécifiques, des délais contraignants et des sanctions financières. Les deux sont complémentaires : une certification ISO 27001 facilite la conformité NIS2 mais ne s'y substitue pas. NIS2 va plus loin sur la gestion d'incident, la chaîne d'approvisionnement et la responsabilité dirigeants.

Par où commencer

Par un état des lieux honnête : cartographie des actifs critiques, évaluation de la capacité de détection actuelle, audit de la gestion des accès et des identités, revue de la documentation de gouvernance, analyse de la chaîne de sous-traitance. L'objectif n'est pas de produire un rapport — c'est d'identifier les écarts réels entre la posture actuelle et ce que NIS2 exige, puis de prioriser les chantiers.

Comment Resilium accompagne la conformité NIS2

Resilium combine la protection opérationnelle 24/7 (détection et réponse en temps réel pour respecter les délais de notification) et le GRC automatisé (cartographie, contrôles, preuves d'audit, documentation). Cette double couverture permet de structurer une conformité NIS2 réelle sans repartir de zéro et sans mobiliser un département dédié.