La directive NIS 2 (Network and Information Security), adoptée par l’Union européenne, marque une évolution majeure en matière de cybersécurité. Avec une entrée en vigueur prévue dès 2024-2025 selon les États membres, elle impose de nouvelles obligations à un nombre élargi d’entreprises européennes, bien au-delà du périmètre couvert par NIS 1. Son objectif : améliorer la résilience des infrastructures critiques face aux cybermenaces. Mais comment savoir si votre organisation est concernée ? Cet article vous guide pas à pas.
Pour déterminer si une entreprise est soumise à la directive NIS 2, trois critères sont à croiser :
Votre entreprise doit appartenir à l’un des secteurs listés dans l’annexe I (entités essentielles) ou dans l’annexe II (entités importantes) de la directive.
Entité essentielle (EE) : ≥ 250 employés
Entité importante (EI) : ≥ 50 employés
EE : CA ≥ 50 M€ ou Bilan annuel ≥ 43 M€
EI : CA ≥ 10 M€ ou Bilan annuel ≥ 10 M€
👉 Une entreprise remplissant les conditions de secteur + taille + seuil financier sera potentiellement classée comme entité EE ou EI.
Les entités essentielles sont jugées stratégiques pour le bon fonctionnement de la société et de l’économie. Elles appartiennent notamment aux secteurs suivants :
Énergie : producteurs d’électricité, opérateurs de réseaux
Transports : aéroports, compagnies ferroviaires
Santé : hôpitaux, laboratoires
Eau : distributeurs d’eau potable
Infrastructures numériques : fournisseurs de services DNS, opérateurs de réseaux de communications
Exemples concrets :
Un fournisseur d’énergie électrique national
Un centre hospitalier régional
Ces entités sont soumises à une surveillance renforcée et à des sanctions plus importantes en cas de non-conformité.
Les entités importantes jouent également un rôle critique dans l’économie, bien qu’elles soient considérées comme moins centrales. Elles opèrent dans des secteurs comme :
Digital : éditeurs SaaS, marketplaces
Industrie chimique
Services postaux et logistique
Production alimentaire
Gestion des déchets
Exemples concrets :
Une PME proposant un logiciel en mode SaaS
Un acteur de la logistique internationale
Elles doivent aussi se conformer à la directive, mais bénéficient d’un niveau de supervision différencié.
L’ANSSI a mis en ligne un site dédié, MonEspaceNIS2 (ajouter directement le lien : https://monespacenis2.cyber.gouv.fr/) incluant un outil de test d’éligibilité. En quelques clics, une organisation peut vérifier si elle est soumise aux obligations de la directive NIS 2.
Même si votre entreprise ne répond pas directement aux critères (secteur, taille, chiffre d’affaires), elle peut être concernée si elle est sous-traitante ou fournisseur d’une entité essentielle ou importante. Dans ce cas, les exigences de cybersécurité s’appliquent également à elle.
Les entités concernées doivent mettre en place des mesures de cybersécurité, notamment :
Analyse des risques et politiques de sécurité
Prévention, détection et réponse aux cyberincidents
Notification obligatoire à l’ANSSI en cas d’incident
Formation continue des équipes et audits réguliers
👉 Ces obligations sont définies dans l’article 21 de la directive.
Le non-respect des obligations peut entraîner :
Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles
Jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes
À noter : les dirigeants peuvent également être tenus personnellement responsables en cas de manquements graves.
Interdata accompagne les organisations dans leur mise en conformité avec la directive NIS 2 grâce à son expertise en cybersécurité réseau, mise en conformité réglementaire et gouvernance IT.