Question 1

Qu’est-ce que la directive NIS2 ?

Accepted Answer

NIS2 (Directive sur la sécurité des réseaux et de l’information 2) est une réglementation européenne en matière de cybersécurité qui fixe des obligations de base en matière de sécurité et de signalement d’incidents pour les organisations opérant dans des secteurs critiques et importants. Elle remplace la directive NIS originale adoptée en 2016.

Question 2

Quand NIS2 est-elle entrée en vigueur ?

Accepted Answer

La directive est entrée en vigueur le 16 janvier 2023. Les États membres de l’UE devaient la transposer en droit national avant le 17 octobre 2024. Les délais d’application varient selon les pays.

Question 3

Quels secteurs NIS2 couvre-t-elle ?

Accepted Answer

NIS2 couvre 18 secteurs répartis en deux groupes. Les secteurs essentiels comprennent l’énergie, les transports, la banque, la santé, l’eau, l’infrastructure numérique, la gestion des services TIC, l’administration publique et l’espace. Les secteurs importants comprennent les services postaux, la gestion des déchets, les produits chimiques, l’alimentation, la fabrication, les fournisseurs numériques et la recherche.

Question 4

Quelle est la différence entre entités essentielles et importantes ?

Accepted Answer

Les entités essentielles sont soumises à des exigences de surveillance plus strictes, y compris des audits et inspections proactifs. Les entités importantes font l’objet d’une surveillance réactive, généralement déclenchée par des preuves de non-conformité. Les deux doivent satisfaire aux mêmes obligations de sécurité de base.

Question 5

NIS2 s’applique-t-elle aux entreprises hors de l’UE ?

Accepted Answer

Oui. Si votre organisation fournit des services au sein de l’UE — même si son siège est ailleurs — NIS2 peut s’appliquer. Les entités non européennes doivent désigner un représentant dans l’un des États membres où elles opèrent.

Question 6

Comment savoir si mon organisation est concernée ?

Accepted Answer

NIS2 s’applique aux organisations de taille moyenne et grande dans les 18 secteurs couverts. Les seuils généraux sont de 50+ employés ou 10 millions d’euros+ de chiffre d’affaires annuel. Certains types d’entités — comme les fournisseurs DNS et les fournisseurs de services de confiance — sont concernés quelle que soit leur taille.

Question 7

Que fait le Scope Check de NIS2 Pro ?

Accepted Answer

Notre évaluation Scope Check pose des questions ciblées sur votre secteur, votre taille, vos opérations et vos dépendances numériques pour déterminer si NIS2 s’applique probablement à votre organisation et si vous seriez classé comme essentiel ou important.

Question 8

Une petite entreprise peut-elle être soumise à NIS2 ?

Accepted Answer

En général, les organisations en dessous des seuils de taille sont exclues. Cependant, certaines catégories sont concernées quelle que soit leur taille — par exemple, les fournisseurs de services DNS, les registres TLD, les fournisseurs de services de confiance et les entités identifiées comme critiques par un État membre.

Question 9

Que se passe-t-il si j’opère dans plusieurs pays de l’UE ?

Accepted Answer

Vous pouvez être soumis aux lois de transposition nationales de chaque État membre où vous opérez. NIS2 introduit un modèle de juridiction principale pour certaines entités numériques, mais la plupart des organisations doivent se conformer aux exigences spécifiques de chaque pays.

Question 10

Quelles sont les principales obligations de conformité sous NIS2 ?

Accepted Answer

NIS2 exige des organisations qu’elles mettent en œuvre des mesures de cybersécurité basées sur les risques, établissent des capacités de détection et de réponse aux incidents, assurent la sécurité de la chaîne d’approvisionnement, effectuent des évaluations de risques régulières et dispensent une formation au personnel. Les organes de direction doivent également approuver et superviser ces mesures.

Question 11

Quelles obligations de signalement d’incidents NIS2 impose-t-elle ?

Accepted Answer

Les incidents significatifs doivent être signalés à l’autorité compétente en trois étapes : une alerte précoce dans les 24 heures, une notification détaillée dans les 72 heures et un rapport final dans un mois. La définition de « significatif » dépend de facteurs tels que l’étendue de la perturbation du service et l’impact sur les données.

Question 12

La direction est-elle personnellement responsable sous NIS2 ?

Accepted Answer

Oui. NIS2 introduit la responsabilité personnelle pour la direction. Les membres du conseil d’administration et les dirigeants peuvent être tenus responsables en cas de non-conformité, et les États membres peuvent imposer des interdictions temporaires de gestion pour les violations répétées.

Question 13

Ai-je besoin d’ISO 27001 pour être conforme à NIS2 ?

Accepted Answer

ISO 27001 n’est pas obligatoire, mais elle fournit une base solide. De nombreuses exigences NIS2 recoupent les contrôles ISO 27001. NIS2 Pro inclut un outil de correspondance qui associe vos résultats d’évaluation aux contrôles ISO 27001 pertinents.

Question 14

Quelles sont les sanctions en cas de non-conformité ?

Accepted Answer

Les entités essentielles risquent des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Les entités importantes risquent des amendes allant jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial. Les États membres peuvent imposer des sanctions supplémentaires.

Question 15

Quelle est la date limite de transposition de NIS2 ?

Accepted Answer

Les États membres devaient transposer NIS2 en droit national avant le 17 octobre 2024. Certains pays ont respecté ce délai, d’autres sont encore en cours. Consultez notre page de statut NIS2 pour le progrès actualisé par pays.

Question 16

Quand dois-je m’inscrire auprès de l’autorité compétente ?

Accepted Answer

Les délais d’inscription varient selon les pays. Dans de nombreux États membres, les entités concernées doivent s’inscrire auprès de leur autorité compétente nationale dans un délai spécifié après l’entrée en vigueur de la loi de transposition. Consultez le guide de votre pays pour les détails.

Question 17

À quelle fréquence dois-je réévaluer ma conformité NIS2 ?

Accepted Answer

Nous recommandons une réévaluation au moins tous les 12 mois, ou chaque fois qu’il y a un changement significatif dans votre organisation — comme l’entrée sur un nouveau marché, une transformation informatique majeure, une acquisition ou un incident de sécurité.

Question 18

Que requiert NIS2 pour la sécurité de la chaîne d’approvisionnement ?

Accepted Answer

Les organisations doivent évaluer et gérer les risques de cybersécurité dans l’ensemble de leur chaîne d’approvisionnement, y compris les fournisseurs directs et les prestataires de services. Cela comprend des exigences de sécurité contractuelles, une diligence raisonnable envers les fournisseurs et une surveillance des risques tiers.

Question 19

Suis-je responsable de la conformité de mes fournisseurs ?

Accepted Answer

Vous n’êtes pas directement responsable de rendre vos fournisseurs conformes à NIS2, mais vous devez évaluer et gérer les risques qu’ils introduisent dans vos opérations. Si une faiblesse de sécurité d’un fournisseur provoque un incident affectant vos services, vous restez responsable.

Question 20

NIS2 affecte-t-elle les fournisseurs de services cloud ?

Accepted Answer

Oui. Les fournisseurs de services de cloud computing sont explicitement inclus comme entités importantes sous NIS2. Si vous dépendez de fournisseurs cloud, vous devez également les évaluer dans le cadre de votre gestion des risques de la chaîne d’approvisionnement.

Question 21

Que fait NIS2 Pro ?

Accepted Answer

NIS2 Pro aide les organisations à évaluer leur périmètre NIS2, à évaluer leur maturité en cybersécurité, à générer des rapports de conformité, à suivre les actions d’amélioration et à gérer les réévaluations dans le temps. Il est conçu spécifiquement pour les PME qui naviguent dans les exigences NIS2.

Question 22

NIS2 Pro remplace-t-il un conseil juridique ?

Accepted Answer

Non. NIS2 Pro fournit des orientations et des outils pour soutenir votre démarche de conformité, mais ne constitue pas un conseil juridique. Pour des interprétations juridiques contraignantes, consultez un professionnel du droit qualifié familier avec la loi de transposition de votre juridiction.

Question 23

Puis-je gérer plusieurs entreprises dans NIS2 Pro ?

Accepted Answer

Oui. NIS2 Pro prend en charge plusieurs profils d’entreprise sous un seul compte. C’est utile pour les structures de groupe, les consultants gérant des portefeuilles de clients ou les organisations ayant des filiales dans différents secteurs ou pays.

Question 24

Quels rapports puis-je générer ?

Accepted Answer

NIS2 Pro génère des rapports d’analyse de périmètre, des ventilations de score de maturité, des feuilles de route d’amélioration, des résumés pour le conseil d’administration, des registres de risques, des kits de réponse aux incidents, des rapports de correspondance ISO 27001 et des rapports de comparaison de versions — le tout exportable en PDF ou DOCX.

Question 25

Puis-je inviter des membres de l’équipe ?

Accepted Answer

Oui. Vous pouvez inviter des collègues à collaborer sur un profil d’entreprise avec un accès basé sur les rôles : Admin, Contributeur ou Lecteur. Les membres de l’équipe reçoivent une invitation par e-mail et peuvent accéder aux données partagées de l’entreprise une fois qu’ils l’acceptent.

Question 26

Comment NIS2 Pro est-il tarifé ?

Accepted Answer

NIS2 Pro propose un Scope Check unique à 10 € et trois niveaux d’abonnement (Basic, Business, Business Plus) avec facturation mensuelle ou annuelle. Les frais du Scope Check sont crédités sur un abonnement si vous vous inscrivez dans les 30 jours. Visitez la page de tarifs pour tous les détails.

Question 27

Que comprend un abonnement ?

Accepted Answer

Les abonnements débloquent la plateforme complète : évaluations illimitées, tous les types de rapports, suivi des améliorations, registre de risques, calendrier de conformité, collaboration d’équipe, flux de réévaluation et accès à tous les guides par pays et par secteur.

Question 28

Puis-je annuler mon abonnement ?

Accepted Answer

Oui. Vous pouvez annuler à tout moment depuis votre page de compte. Votre accès continue jusqu’à la fin de la période de facturation en cours. Aucune donnée n’est supprimée lors de l’annulation.

Question 29

Quel est le lien entre NIS2 et le RGPD ?

Accepted Answer

NIS2 et le RGPD sont des réglementations complémentaires mais distinctes. Le RGPD se concentre sur la protection des données personnelles, tandis que NIS2 se concentre sur la sécurité des systèmes de réseaux et d’information. Un incident peut déclencher des obligations au titre des deux — par exemple, une violation de données affectant des données personnelles nécessite une notification RGPD en plus du signalement d’incident NIS2.

Question 30

NIS2 Pro stocke-t-il mes données en toute sécurité ?

Accepted Answer

Oui. Toutes les données sont stockées dans une infrastructure basée dans l’UE avec chiffrement au repos et en transit. L’accès est contrôlé par des sessions authentifiées et des permissions basées sur les rôles. Nous ne partageons pas vos données d’évaluation avec des tiers.

Question 31

Puis-je exporter ou supprimer mes données ?

Accepted Answer

Oui. Vous pouvez exporter toutes vos données d’évaluation et rapports à tout moment. Si vous souhaitez supprimer votre compte et toutes les données associées, contactez notre équipe de support et nous traiterons la demande conformément aux exigences du RGPD.

Questions fréquentes

Les bases de NIS2

Périmètre et classification

Exigences de conformité

Délais et calendrier

Chaîne d’approvisionnement et tiers

Plateforme NIS2 Pro

Tarifs et abonnements

RGPD et protection des données

Encore des questions ?