Passer au contenu principal Passer à la navigation Passer au pied de page
Offre limitée : Design Partner Program. Plan BUSINESS gratuit à vie.

Gratuit · 24 pages · PDF A4

Directive NIS2 : résumé pour les RSSI et responsables conformité

Résumé de 24 pages de la Directive (UE) 2022/2555 couvrant le champ d'application, les dix mesures de l'Article 21, le calendrier de notification Article 23 (24h/72h/1 mois), les secteurs des Annexes I et II, les amendes administratives et une feuille de route en 10 étapes pour la conformité. Rédigé par Rediacc ; ce n'est pas une traduction officielle.

Télécharger le PDF Ouvrir dans le navigateur

Ce document est un résumé non officiel. Pour l'interprétation légalement contraignante, consultez le texte officiel au JO L 333/80 du 27.12.2022.

Au programme

Dix-neuf sections pour comprendre l'essentiel, sans passer par 73 pages de considérants et d'articles.

  1. Résumé exécutif
  2. Objet et fondement juridique
  3. De NIS1 à NIS2 : pourquoi une nouvelle réglementation ?
  4. Champ d'application et exclusions
  5. Définitions essentielles
  6. Entités essentielles et importantes
  7. Secteurs visés (Annexes I et II)
  8. Ce que doivent faire les États membres
  9. Mesures de gestion des risques (Article 21)
  10. Signaler les incidents (Article 23)
  11. Sécuriser sa chaîne d'approvisionnement
  12. Responsabilité de la direction
  13. Coopération au niveau de l'UE
  14. Contrôle et application
  15. Amendes administratives
  16. Mise en œuvre et transition
  17. Si vous n'êtes pas en Europe
  18. Feuille de route : 10 étapes pour se conformer
  19. Conclusion et verdict

Trois guides pratiques

Le PDF mappe la directive. Les guides qui suivent transforment ces obligations en vraies décisions d'achat et opérationnelles.

L'Article 21(2)(d) : la question du fournisseur

Pourquoi votre liste de fournisseurs tiers fond quand vos données restent chez vous au lieu de partir chez eux. Pour les RSSI et acheteurs qui renégocient les contrats fournisseurs en 2026.

Lire le guide →

Efficacité continue, sans mise en scène

Articles 21(2)(e), (f) et 23 lus ensemble. La duplication instantanée des infrastruc qui rend les exercices hebdomadaires réalistes, et le calendrier Article 23 impossible à tenir sans traces d'enquête. Pour les SRE et chefs des opérations.

Lire le guide →

Ce que nos clients nous ont dit au premier audit NIS2

Les cinq outils de conformité que le marché intermédiaire déploie discrètement, ce qu'une plateforme auto-hébergée remplace, et ce qui reste à votre charge. Pour les DAF et acheteurs en cycle de renouvellement.

Lire le guide →

Questions qui reviennent

C'est une traduction officielle ?

Non. C'est un résumé non officiel en anglais, conçu pour rendre accessible la structure et les obligations de la directive. Pour une interprétation légalement contraignante, consultez le texte officiel au JO L 333/80 (27 décembre 2022) ou EUR-Lex (CELEX 32022L2555). Les lois nationales de transposition de votre État membre peuvent imposer des obligations plus strictes ou plus larges que la directive.

Qui doit se conformer à NIS2 ?

Les entités des secteurs critiques de l'Annexe I (énergie, transports, banque, marchés financiers, santé, eau, infrastructures numériques, administration publique, espace) ou importants de l'Annexe II qui atteignent la taille de moyenne entreprise (50+ salariés ou 10 millions EUR+ de chiffre d'affaires). Certaines entités sont toujours concernées : registres de TLD, fournisseurs DNS, prestataires de services de confiance et administrations centrales. Les sections 4, 6 et 7 du PDF entrent dans les détails.

Quand NIS2 a-t-elle pris effet ?

La directive est entrée en vigueur le 16 janvier 2023. Les États membres avaient jusqu'au 17 octobre 2024 pour la transposer ; l'application a commencé le 18 octobre 2024 (même jour où NIS1 a disparu). Vous aviez jusqu'au 17 avril 2025 pour envoyer votre liste d'entités à la Commission. La plupart des équipes sous-estiment la portion de ce calendrier déjà dépassée. Consultez la Section 16.

Amendes maximales ?

Pour les entités essentielles : 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial (le plus élevé). Pour les entités importantes : 7 000 000 EUR ou 1,4 % du chiffre d'affaires annuel mondial (le plus élevé). La directive autorise aussi des sanctions non pécuniaires : en dernier recours, l'interdiction temporaire de gestion pour la direction des entités essentielles. La Section 15 explique comment on calcule les amendes.

NIS2 s'applique-t-elle aux non-Européens ?

Oui, de deux façons. Directement : les fournisseurs non-européens de DNS, cloud, data centres, CDN, MSP/MSSP, places de marché en ligne, moteurs de recherche et réseaux sociaux opérant dans l'UE doivent désigner un représentant européen et se conformer. Indirectement : tout fournisseur non-européen de services ou produits à une entité essentielle ou importante de l'UE devra respecter les exigences contractuelles de sécurité de chaîne d'approvisionnement imposées par ses clients au titre de l'Article 21(2)(d). La Section 17 couvre les deux.

Comment marche la notification Article 23 ?

Trois délais, tous à partir du moment où vous découvrez un incident grave : 24 heures pour l'alerte précoce, 72 heures pour la notification complète, un mois pour le rapport final. Les destinataires du service doivent aussi être avertis sans délai si une menace cyber sérieuse se profile. La Section 10 a le tableau complet.

À propos

Rediacc est une plateforme d'infrastructure auto-hébergée enregistrée en Estonie (OÜ 17363830, TVA EE102920091). Ce résumé a été rédigé dans notre programme de contenu NIS2. Les guides ci-dessus détaillent comment Rediacc adresse des articles spécifiques, y compris les lacunes où Rediacc n'est pas la solution (pas de certifications pour l'instant ; pas de couche GRC ; pas de notifications Article 23 gérées ; authentification forte uniquement en portail). Pour la liste détaillée des capacités, consultez NIS2 and DORA dans la documentation.

Envoyez-nous votre questionnaire fournisseur ou vos trois plus gros postes de sécurité du budget passé. Nous répondrons sur la base d'une vraie instance qui tourne sur nos serveurs, par écrit, et nous vous montrerons où ça cloche. Ou téléchargez le PDF et passez-le à un collègue.

Télécharger le PDF