Aller au contenu
FortaRisks
Retour au blogConformité

La directive NIS2 : êtes-vous prêt ?

17 octobre 2025 · 4 min de lecture

Beaucoup d'organisations pensent encore que NIS2 est le problème d'un autre : une affaire pour les grands opérateurs d'énergie ou de télécommunications, pas pour elles. Puis un client envoie un questionnaire de sécurité, un contrat fournisseur ajoute une clause sur la notification des incidents, ou une autorité nationale leur demande de s'enregistrer, et le périmètre devient soudain bien réel.

NIS2 est la directive européenne qui remplace la directive NIS d'origine. Elle élargit le nombre de secteurs couverts, renforce les obligations de sécurité et classe les organisations en entités « essentielles » ou « importantes ». Ce n'est pas une politique que l'on publie une fois : c'est un ensemble de devoirs opérationnels qui touchent la gouvernance, les processus, les contrats et la technologie. Voici ce qu'elle exige réellement, et où se cachent les écarts les plus fréquents.

Ce que NIS2 exige vraiment

Au delà d'une politique écrite, plusieurs domaines structurent la conformité.

  1. Responsabilité des dirigeants. Les organes de direction doivent approuver et superviser les mesures de gestion des risques cyber, et ils peuvent être tenus personnellement responsables en cas de manquement. Les dirigeants, et le personnel plus largement, doivent suivre des formations régulières en cybersécurité.
  2. Mesures de gestion des risques (article 21). Elles comprennent la gestion des incidents ; la continuité d'activité, les sauvegardes et la reprise après sinistre ; la sécurité de la chaîne d'approvisionnement ; le traitement et la divulgation des vulnérabilités ; les politiques de cryptographie et de chiffrement ; le contrôle d'accès et l'authentification multifacteur ; ainsi que la gestion des actifs et l'hygiène cyber de base.
  3. Notification des incidents. Les incidents importants doivent être notifiés selon un calendrier strict : une alerte précoce au CSIRT ou à l'autorité compétente dans les 24 heures, une notification plus complète dans les 72 heures, et un rapport final dans un délai d'un mois.
  4. Enregistrement. Les entités concernées doivent s'enregistrer auprès de leur autorité nationale, afin que les régulateurs sachent qui relève de la directive et puissent exercer leur supervision.
  5. Sécurité de la chaîne d'approvisionnement. Vous êtes responsable non seulement de votre propre posture, mais aussi de la sécurité des fournisseurs et prestataires directs intégrés à vos opérations.

Les échéances sont derrière nous, pas devant

L'argument du « on a le temps » ne tient plus. La date limite de transposition pour les États membres est passée en octobre 2024, et l'application est désormais en cours dans toute l'UE. Les autorités nationales enregistrent les entités, publient des lignes directrices et, de plus en plus, vérifient la conformité. Même les organisations qui ne sont pas directement désignées comme essentielles ou importantes sont concernées indirectement, car elles font partie de la chaîne d'approvisionnement d'entités assujetties et doivent répondre de leur propre sécurité.

Pourquoi l'exposition est réelle

  • Problème : NIS2 est souvent traitée comme un exercice documentaire, alors qu'elle repose sur des processus vivants, de la preuve et une capacité de notification qui fonctionne sous pression.
  • Impact : pour les entités essentielles, les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé s'appliquant. À cela s'ajoutent la responsabilité des dirigeants, l'atteinte à la confiance et le risque contractuel avec vos clients.
  • Action : traitez NIS2 comme un programme continu, avec une supervision de la direction, des mesures documentées, un exercice de notification d'incident répété et une capacité à prouver, sur demande, que vos contrôles fonctionnent.

Les écarts que l'on sous-estime le plus

Trois angles morts reviennent constamment. D'abord, l'exercice documentaire : les politiques existent sur le papier, mais les contrôles sous-jacents ne sont jamais testés et la direction ne s'implique jamais vraiment. Ensuite, la sécurité de la chaîne d'approvisionnement : les organisations sécurisent leur propre périmètre mais n'ont aucune visibilité sur les fournisseurs et prestataires intégrés à leurs opérations. Enfin, le calendrier de notification : sans processus répété, l'alerte précoce à 24 heures et la notification à 72 heures sont presque impossibles à respecter dans le chaos d'un incident réel.

Faites le point en quelques minutes

Avant d'investir dans un chantier de conformité, situez votre point de départ. Notre auto-diagnostic gratuit de préparation à NIS2 parcourt les domaines ci dessus, calcule un score de maturité et met en évidence vos priorités. Aucune inscription, aucune donnée transmise : tout est calculé dans votre navigateur.

Une fois vos écarts identifiés, le module Conformité de FortaRisks transforme ces exigences en plan d'action priorisé, avec une preuve de conformité continue plutôt qu'un audit ponctuel.

NIS2 n'est pas une case à cocher une fois. C'est une manière de démontrer, en tout temps, que vous gérez réellement le risque cyber dans votre organisation et votre chaîne d'approvisionnement. Ce diagnostic ne remplace pas un avis juridique, mais il vous dit précisément par où commencer.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.