Passer au contenu principal Passer à la navigation Passer au pied de page
Temps limité : Programme Design Partner — plan BUSINESS à vie

Téléchargement gratuit · 24 pages · PDF A4

Directive NIS2 : résumé en français pour RSSI et responsables conformité

Un résumé de 24 pages de la Directive (UE) 2022/2555. Couvre le champ d'application, les dix mesures de l'Article 21, le calendrier de notification Article 23 (24h/72h/1 mois), les secteurs des Annexes I et II, les amendes administratives et une feuille de route pratique en 10 étapes. Rédigé par Rediacc ; ce n'est pas une traduction officielle.

Télécharger le PDF Ouvrir dans le navigateur

Ce document est un résumé non officiel. Pour toute interprétation contraignante, consultez le texte officiel au JO L 333/80 du 27.12.2022.

Contenu du PDF

Dix-neuf sections, structurées pour le RSSI ou le responsable conformité qui souhaite comprendre la substance de la directive sans parcourir 73 pages de considérants et d'articles.

  1. Résumé exécutif
  2. Objet et base juridique
  3. De NIS1 à NIS2 : pourquoi une nouvelle réglementation ?
  4. Champ d'application et exclusions
  5. Définitions clés
  6. Catégories d'entités : entités essentielles et importantes
  7. Secteurs concernés (Annexe I et Annexe II)
  8. Obligations des États membres
  9. Mesures de gestion des risques cybersécurité (Article 21)
  10. Obligations de notification des incidents (Article 23)
  11. Sécurité de la chaîne d'approvisionnement
  12. Responsabilité de l'organe de direction
  13. Structures de coopération au niveau de l'UE
  14. Supervision et application
  15. Amendes administratives
  16. Calendrier de mise en œuvre et transition
  17. Implications pour les entreprises non européennes
  18. Feuille de route pratique de conformité (10 étapes)
  19. Conclusion et évaluation

Trois guides complémentaires

Le PDF cartographie la directive. Les guides complémentaires transforment les obligations en décisions d'achat et opérationnelles, selon l'audience.

L'Article 21(2)(d) est une question de fournisseur

Pourquoi le registre ICT tiers se réduit lorsque le plan de données ne quitte jamais votre locataire. Pour les RSSI et les acheteurs qui renégocient des DPA en 2026.

Lire le guide →

Efficacité continue sans mise en scène

Articles 21(2)(e), (f) et 23 lus ensemble. Le fork en temps constant qui rend les exercices hebdomadaires réalistes, et le calendrier de notification Article 23 qu'on ne peut pas respecter sans artefacts forensiques. Pour les SRE et les responsables ops.

Lire le guide →

Ce que les acheteurs nous ont dit lors du premier cycle d'audit NIS2

La pile de conformité à cinq outils que les entités essentielles du marché intermédiaire assemblent discrètement, ce qu'un plan de contrôle auto-hébergé simplifie, et les postes qui restent de toute façon à votre charge. Pour les DAF et les acheteurs entrant dans un cycle de renouvellement.

Lire le guide →

Questions fréquentes

Est-ce une traduction officielle de la directive ?

Non. Il s'agit d'un résumé non officiel destiné à rendre la structure et les obligations de la directive accessibles. Pour toute interprétation contraignante, consultez le texte officiel au JO L 333/80 (27 décembre 2022) ou via EUR-Lex (CELEX 32022L2555). Les lois de transposition nationales de votre État membre peuvent imposer des obligations plus strictes ou différemment délimitées que la directive elle-même.

Qui est dans le champ d'application de NIS2 ?

Les entités opérant dans les secteurs de l'Annexe I (haute criticité) ou de l'Annexe II (autre criticité) qui atteignent le seuil de taille de moyenne entreprise (50+ salariés ou 10 millions EUR+ de chiffre d'affaires, selon la Recommandation 2003/361/CE). Certaines entités sont dans le champ d'application quelle que soit leur taille, notamment les registres de TLD, les fournisseurs DNS, les prestataires de services de confiance et les administrations publiques centrales. Les sections 4, 6 et 7 du PDF couvrent le champ d'application en détail.

Quand NIS2 est-elle entrée en vigueur, et quelle est la date limite de transposition ?

La directive est entrée en vigueur le 16 janvier 2023. Les États membres avaient jusqu'au 17 octobre 2024 pour la transposer en droit national ; l'application a débuté le 18 octobre 2024 (la même date à laquelle NIS1 a été abrogée). Le calendrier complet, y compris la date limite de transmission de la liste d'entités à la Commission (17 avril 2025) et le calendrier de révision périodique, figure à la Section 16.

Quelles sont les amendes maximales ?

Pour les entités essentielles : 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes : 7 000 000 EUR ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La directive prévoit également des sanctions non pécuniaires, notamment des interdictions temporaires de gestion pour la direction des entités essentielles (mesure de dernier recours). La Section 15 couvre les facteurs de détermination des amendes.

NIS2 s'applique-t-elle aux entreprises non européennes ?

Oui, de deux façons. Directement : les fournisseurs non européens de DNS, cloud, centres de données, CDN, MSP/MSSP, places de marché en ligne, moteurs de recherche et réseaux sociaux offrant des services dans l'UE doivent désigner un représentant dans l'UE et se conformer à la directive. Indirectement : tout fournisseur non européen de produits ou services à des entités essentielles ou importantes de l'UE sera soumis aux exigences contractuelles de sécurité de la chaîne d'approvisionnement imposées par ses clients européens au titre de l'Article 21(2)(d). La Section 17 couvre les deux cas.

Comment fonctionne la notification d'incidents de l'Article 23 ?

Trois délais, tous déclenchés par la prise de connaissance d'un incident significatif : 24 heures pour une alerte précoce, 72 heures pour une notification d'incident complète, et un mois pour le rapport final. Les destinataires de services doivent également être notifiés sans délai injustifié si une cybermenace significative est probable. La Section 10 présente la matrice complète de notification.

À propos de ce résumé

Rediacc est une plateforme d'infrastructure auto-hébergée enregistrée en Estonie (OÜ 17363830, TVA EE102920091). Ce résumé a été rédigé dans le cadre de notre programme de contenu NIS2. Les guides complémentaires ci-dessus décrivent comment Rediacc répond à des articles spécifiques de la directive, y compris les lacunes où Rediacc n'est pas la réponse (pas encore de certifications ; pas de couche GRC ; pas de reporting Article 23 géré ; MFA uniquement via le portail). Pour la cartographie publique des capacités, voir NIS2 and DORA dans la documentation.

Envoyez-nous votre questionnaire fournisseur ou vos trois principaux postes de sécurité du budget de l'année dernière. Nous répondrons sur la base d'une instance déployée, par écrit, en indiquant les lacunes. Ou téléchargez le PDF et transférez-le à un collègue.

Télécharger le PDF