NIS2 expliquée : obligations, entités et délais
NIS2 est la directive européenne 2022/2555 sur la sécurité des réseaux et des systèmes d'information. Elle impose aux entités essentielles et importantes d'adopter des mesures de sécurité et de notifier les incidents significatifs au CSIRT national : une alerte précoce sous 24 heures, une notification sous 72 heures, un rapport final sous 30 jours. Les sanctions atteignent 10 millions d'euros ou 2 % du chiffre d'affaires. Elle est transposée en droit national par chaque État membre.
Ce qui change avec NIS2
NIS2 élargit nettement l’ensemble des entités concernées par rapport à NIS1 et relève le niveau d’exigence : mesures de sécurité plus strictes, responsabilité placée sur les organes de direction et obligations de notification assorties de délais précis. Chaque État membre de l’UE la transpose en droit national.
Deux catégories d’entités
La directive distingue les entités essentielles (supervision proactive, sanctions plus élevées) des entités importantes (supervision réactive). La catégorie dépend du secteur et de la taille de l’entreprise.
Les obligations en pratique
Deux familles : les mesures de gestion des risques (surveillance, détection, réponse, continuité, chaîne d’approvisionnement) et la notification des incidents significatifs au CSIRT national selon le calendrier 24h/72h/30j. La partie opérationnelle est couverte par un poste avancé continu : conseil conformité Fortgale.
Entités essentielles vs importantes
| Essentielles | Importantes | |
|---|---|---|
| Secteurs (exemples) | Énergie, transport, santé, finance, infrastructure numérique | Postal, déchets, chimie, alimentaire, industrie, recherche |
| Sanction max | 10 M EUR ou 2 % du CA | 7 M EUR ou 1,4 % du CA |
| Supervision | Proactive (ex ante) | Réactive (ex post) |
Lors de l'Operation Storming Tide, l'équipe Fortgale a contenu une intrusion et collecté les éléments utiles à la notification : surveillance continue et capacité à documenter un incident, c'est exactement ce qu'exige NIS2.
Lire l'analyse →Questions fréquentes.
Qui est concerné par NIS2 ?
Les entités essentielles et importantes des secteurs fixés par la directive (énergie, transport, santé, finance, infrastructure numérique, industrie, espace, eau, déchets, administration publique), généralement des organisations moyennes et grandes. La qualification se vérifie auprès de l'autorité nationale compétente.
Quels sont les délais de notification NIS2 ?
Une alerte précoce sous 24 heures, une notification complète sous 72 heures, un rapport final sous 30 jours, au CSIRT national.
La notification NIS2 est-elle la même que celle relative aux données personnelles ?
Non. NIS2/CSIRT concerne l'incident de sécurité ; la notification à l'autorité de contrôle (RGPD art. 33) concerne les données personnelles. Un cas de ransomware avec exfiltration de données peut déclencher les deux. Voir violation de données RGPD.
Comment devenir conforme à NIS2 ?
Avec des mesures de gestion des risques (surveillance, détection, réponse, gouvernance) et une capacité de notification. Un SOC/MDR géré couvre la partie opérationnelle : surveillance 24·7, collecte d'IOC et appui aux notifications.
De la théorie à une opération réelle.
Ce que vous lisez ici, Fortgale le met en œuvre chaque jour avec un SOC européen 24·7·365 : 287 outils et acteurs profilés, <30 min de confinement médian. Voir le service : Conseil conformité Fortgale.
Ressources liées : Violation de données RGPD · Qu'est-ce qu'un SOC
Une conversation technique, pas un funnel.
Laissez vos coordonnées : un analyste vous rappelle sous un jour ouvré. SOC européen, même fuseau horaire, intelligence propriétaire sur les acteurs actifs dans l'UE.