Questions fréquentes
Tout ce que vous devez savoir sur NIS2 et comment NIS2 Pro peut aider votre organisation.
Les bases de NIS2
- Qu’est-ce que la directive NIS2 ?
- NIS2 (Directive sur la sécurité des réseaux et de l’information 2) est une réglementation européenne en matière de cybersécurité qui fixe des obligations de base en matière de sécurité et de signalement d’incidents pour les organisations opérant dans des secteurs critiques et importants. Elle remplace la directive NIS originale adoptée en 2016.
- Quand NIS2 est-elle entrée en vigueur ?
- La directive est entrée en vigueur le 16 janvier 2023. Les États membres de l’UE devaient la transposer en droit national avant le 17 octobre 2024. Les délais d’application varient selon les pays.
- Quels secteurs NIS2 couvre-t-elle ?
- NIS2 couvre 18 secteurs répartis en deux groupes. Les secteurs essentiels comprennent l’énergie, les transports, la banque, la santé, l’eau, l’infrastructure numérique, la gestion des services TIC, l’administration publique et l’espace. Les secteurs importants comprennent les services postaux, la gestion des déchets, les produits chimiques, l’alimentation, la fabrication, les fournisseurs numériques et la recherche.
- Quelle est la différence entre entités essentielles et importantes ?
- Les entités essentielles sont soumises à des exigences de surveillance plus strictes, y compris des audits et inspections proactifs. Les entités importantes font l’objet d’une surveillance réactive, généralement déclenchée par des preuves de non-conformité. Les deux doivent satisfaire aux mêmes obligations de sécurité de base.
- NIS2 s’applique-t-elle aux entreprises hors de l’UE ?
- Oui. Si votre organisation fournit des services au sein de l’UE — même si son siège est ailleurs — NIS2 peut s’appliquer. Les entités non européennes doivent désigner un représentant dans l’un des États membres où elles opèrent.
Périmètre et classification
- Comment savoir si mon organisation est concernée ?
- NIS2 s’applique aux organisations de taille moyenne et grande dans les 18 secteurs couverts. Les seuils généraux sont de 50+ employés ou 10 millions d’euros+ de chiffre d’affaires annuel. Certains types d’entités — comme les fournisseurs DNS et les fournisseurs de services de confiance — sont concernés quelle que soit leur taille.
- Que fait le Scope Check de NIS2 Pro ?
- Notre évaluation Scope Check pose des questions ciblées sur votre secteur, votre taille, vos opérations et vos dépendances numériques pour déterminer si NIS2 s’applique probablement à votre organisation et si vous seriez classé comme essentiel ou important.
- Une petite entreprise peut-elle être soumise à NIS2 ?
- En général, les organisations en dessous des seuils de taille sont exclues. Cependant, certaines catégories sont concernées quelle que soit leur taille — par exemple, les fournisseurs de services DNS, les registres TLD, les fournisseurs de services de confiance et les entités identifiées comme critiques par un État membre.
- Que se passe-t-il si j’opère dans plusieurs pays de l’UE ?
- Vous pouvez être soumis aux lois de transposition nationales de chaque État membre où vous opérez. NIS2 introduit un modèle de juridiction principale pour certaines entités numériques, mais la plupart des organisations doivent se conformer aux exigences spécifiques de chaque pays.
Exigences de conformité
- Quelles sont les principales obligations de conformité sous NIS2 ?
- NIS2 exige des organisations qu’elles mettent en œuvre des mesures de cybersécurité basées sur les risques, établissent des capacités de détection et de réponse aux incidents, assurent la sécurité de la chaîne d’approvisionnement, effectuent des évaluations de risques régulières et dispensent une formation au personnel. Les organes de direction doivent également approuver et superviser ces mesures.
- Quelles obligations de signalement d’incidents NIS2 impose-t-elle ?
- Les incidents significatifs doivent être signalés à l’autorité compétente en trois étapes : une alerte précoce dans les 24 heures, une notification détaillée dans les 72 heures et un rapport final dans un mois. La définition de « significatif » dépend de facteurs tels que l’étendue de la perturbation du service et l’impact sur les données.
- La direction est-elle personnellement responsable sous NIS2 ?
- Oui. NIS2 introduit la responsabilité personnelle pour la direction. Les membres du conseil d’administration et les dirigeants peuvent être tenus responsables en cas de non-conformité, et les États membres peuvent imposer des interdictions temporaires de gestion pour les violations répétées.
- Ai-je besoin d’ISO 27001 pour être conforme à NIS2 ?
- ISO 27001 n’est pas obligatoire, mais elle fournit une base solide. De nombreuses exigences NIS2 recoupent les contrôles ISO 27001. NIS2 Pro inclut un outil de correspondance qui associe vos résultats d’évaluation aux contrôles ISO 27001 pertinents.
- Quelles sont les sanctions en cas de non-conformité ?
- Les entités essentielles risquent des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Les entités importantes risquent des amendes allant jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial. Les États membres peuvent imposer des sanctions supplémentaires.
Délais et calendrier
- Quelle est la date limite de transposition de NIS2 ?
- Les États membres devaient transposer NIS2 en droit national avant le 17 octobre 2024. Certains pays ont respecté ce délai, d’autres sont encore en cours. Consultez notre page de statut NIS2 pour le progrès actualisé par pays.
- Quand dois-je m’inscrire auprès de l’autorité compétente ?
- Les délais d’inscription varient selon les pays. Dans de nombreux États membres, les entités concernées doivent s’inscrire auprès de leur autorité compétente nationale dans un délai spécifié après l’entrée en vigueur de la loi de transposition. Consultez le guide de votre pays pour les détails.
- À quelle fréquence dois-je réévaluer ma conformité NIS2 ?
- Nous recommandons une réévaluation au moins tous les 12 mois, ou chaque fois qu’il y a un changement significatif dans votre organisation — comme l’entrée sur un nouveau marché, une transformation informatique majeure, une acquisition ou un incident de sécurité.
Chaîne d’approvisionnement et tiers
- Que requiert NIS2 pour la sécurité de la chaîne d’approvisionnement ?
- Les organisations doivent évaluer et gérer les risques de cybersécurité dans l’ensemble de leur chaîne d’approvisionnement, y compris les fournisseurs directs et les prestataires de services. Cela comprend des exigences de sécurité contractuelles, une diligence raisonnable envers les fournisseurs et une surveillance des risques tiers.
- Suis-je responsable de la conformité de mes fournisseurs ?
- Vous n’êtes pas directement responsable de rendre vos fournisseurs conformes à NIS2, mais vous devez évaluer et gérer les risques qu’ils introduisent dans vos opérations. Si une faiblesse de sécurité d’un fournisseur provoque un incident affectant vos services, vous restez responsable.
- NIS2 affecte-t-elle les fournisseurs de services cloud ?
- Oui. Les fournisseurs de services de cloud computing sont explicitement inclus comme entités importantes sous NIS2. Si vous dépendez de fournisseurs cloud, vous devez également les évaluer dans le cadre de votre gestion des risques de la chaîne d’approvisionnement.
Plateforme NIS2 Pro
- Que fait NIS2 Pro ?
- NIS2 Pro aide les organisations à évaluer leur périmètre NIS2, à évaluer leur maturité en cybersécurité, à générer des rapports de conformité, à suivre les actions d’amélioration et à gérer les réévaluations dans le temps. Il est conçu spécifiquement pour les PME qui naviguent dans les exigences NIS2.
- NIS2 Pro remplace-t-il un conseil juridique ?
- Non. NIS2 Pro fournit des orientations et des outils pour soutenir votre démarche de conformité, mais ne constitue pas un conseil juridique. Pour des interprétations juridiques contraignantes, consultez un professionnel du droit qualifié familier avec la loi de transposition de votre juridiction.
- Puis-je gérer plusieurs entreprises dans NIS2 Pro ?
- Oui. NIS2 Pro prend en charge plusieurs profils d’entreprise sous un seul compte. C’est utile pour les structures de groupe, les consultants gérant des portefeuilles de clients ou les organisations ayant des filiales dans différents secteurs ou pays.
- Quels rapports puis-je générer ?
- NIS2 Pro génère des rapports d’analyse de périmètre, des ventilations de score de maturité, des feuilles de route d’amélioration, des résumés pour le conseil d’administration, des registres de risques, des kits de réponse aux incidents, des rapports de correspondance ISO 27001 et des rapports de comparaison de versions — le tout exportable en PDF ou DOCX.
- Puis-je inviter des membres de l’équipe ?
- Oui. Vous pouvez inviter des collègues à collaborer sur un profil d’entreprise avec un accès basé sur les rôles : Admin, Contributeur ou Lecteur. Les membres de l’équipe reçoivent une invitation par e-mail et peuvent accéder aux données partagées de l’entreprise une fois qu’ils l’acceptent.
Tarifs et abonnements
- Comment NIS2 Pro est-il tarifé ?
- NIS2 Pro propose un Scope Check unique à 10 € et trois niveaux d’abonnement (Basic, Business, Business Plus) avec facturation mensuelle ou annuelle. Les frais du Scope Check sont crédités sur un abonnement si vous vous inscrivez dans les 30 jours. Visitez la page de tarifs pour tous les détails.
- Que comprend un abonnement ?
- Les abonnements débloquent la plateforme complète : évaluations illimitées, tous les types de rapports, suivi des améliorations, registre de risques, calendrier de conformité, collaboration d’équipe, flux de réévaluation et accès à tous les guides par pays et par secteur.
- Puis-je annuler mon abonnement ?
- Oui. Vous pouvez annuler à tout moment depuis votre page de compte. Votre accès continue jusqu’à la fin de la période de facturation en cours. Aucune donnée n’est supprimée lors de l’annulation.
RGPD et protection des données
- Quel est le lien entre NIS2 et le RGPD ?
- NIS2 et le RGPD sont des réglementations complémentaires mais distinctes. Le RGPD se concentre sur la protection des données personnelles, tandis que NIS2 se concentre sur la sécurité des systèmes de réseaux et d’information. Un incident peut déclencher des obligations au titre des deux — par exemple, une violation de données affectant des données personnelles nécessite une notification RGPD en plus du signalement d’incident NIS2.
- NIS2 Pro stocke-t-il mes données en toute sécurité ?
- Oui. Toutes les données sont stockées dans une infrastructure basée dans l’UE avec chiffrement au repos et en transit. L’accès est contrôlé par des sessions authentifiées et des permissions basées sur les rôles. Nous ne partageons pas vos données d’évaluation avec des tiers.
- Puis-je exporter ou supprimer mes données ?
- Oui. Vous pouvez exporter toutes vos données d’évaluation et rapports à tout moment. Si vous souhaitez supprimer votre compte et toutes les données associées, contactez notre équipe de support et nous traiterons la demande conformément aux exigences du RGPD.
Les bases de NIS2
Périmètre et classification
Exigences de conformité
Délais et calendrier
Chaîne d’approvisionnement et tiers
Plateforme NIS2 Pro
Tarifs et abonnements
RGPD et protection des données
Encore des questions ?
Notre équipe est là pour vous aider dans votre conformité NIS2.