NIS2 désormais en vigueur dans toute l'UE

Logiciel de conformité NIS2 pour les petites et moyennes entreprises

La directive NIS2 est déjà appliquée. Amendes jusqu'à 10 M€ ou 2 % du chiffre d'affaires — plus responsabilité personnelle de la direction. ComplyOne aide les PME à satisfaire chaque exigence sans équipe de conformité dédiée.

Vérifier votre conformité NIS2 — gratuit

Ce que NIS2 exige de votre entreprise

NIS2 est la directive européenne de cybersécurité actualisée. Plus large et plus stricte que NIS1 — elle couvre davantage de secteurs, impose des délais plus serrés et responsabilise la direction.

Notification des incidents

Les incidents significatifs doivent être notifiés sous 24 heures (alerte initiale) et 72 heures (rapport complet). Manquer ces délais constitue en soi une infraction.

Sécurité de la chaîne d'approvisionnement

Vous êtes responsable des pratiques de sécurité de vos fournisseurs et prestataires. NIS2 exige des évaluations documentées des risques fournisseurs.

Responsabilité de la direction

Les dirigeants et cadres peuvent être tenus personnellement responsables des manquements à NIS2 — y compris des interdictions temporaires de fonctions de direction.

Quels secteurs sont concernés

Entités essentielles (règles plus strictes)

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transport (aérien, ferroviaire, routier, maritime)
  • Banques et infrastructures de marché financier
  • Santé
  • Eau potable & eaux usées
  • Infrastructure numérique & services TIC
  • Administration publique

Entités importantes (également concernées)

  • Services postaux et de messagerie
  • Gestion des déchets
  • Fabrication chimique
  • Production alimentaire
  • Fabricants de dispositifs médicaux
  • Prestataires numériques (places de marché, moteurs de recherche)
  • Organismes de recherche

Vous ne savez pas quelle catégorie s'applique à vous ? Lancer un test de conformité gratuit — 5 minutes.

Comment ComplyOne gère NIS2 pour vous

Cartographie vos obligations NIS2

Répondez à quelques questions sur votre organisation. ComplyOne identifie précisément quels articles NIS2 s'appliquent — sans lecture manuelle de 100+ pages de directive.

Suit l'état de vos contrôles

Chaque contrôle NIS2 (gestion des risques, contrôle d'accès, réponse aux incidents, chaîne d'approvisionnement) est suivi dans un tableau de bord en direct avec un score de conformité clair.

Modèles de notification d'incident

Modèles préconfigurés pour l'alerte initiale 24 heures et le rapport complet 72 heures — pour ne pas improviser au moment critique.

Évaluations des risques fournisseurs

Questionnaires fournisseurs intégrés et scoring des risques pour documenter la sécurité de votre chaîne d'approvisionnement — une exigence centrale de NIS2.

Sanctions

10 M€

ou 2 % du chiffre d'affaires mondial

Entités essentielles. Le montant le plus élevé s'applique.

7 M€

ou 1,4 % du chiffre d'affaires mondial

Entités importantes — plus responsabilité personnelle de la direction.

Comment aborder la conformité NIS2 : premières étapes

NIS2 peut sembler décourageant. En pratique, la plupart des organisations atteignent une base solide en 8 à 12 semaines avec une approche structurée.

1

Déterminer si vous êtes concerné

Vérifiez si votre organisation est qualifiée d'entité essentielle ou importante. La taille (50+ employés ou 10+ M€ de chiffre d'affaires) et le secteur comptent tous les deux. La position dans la chaîne d'approvisionnement aussi — même les petits fournisseurs peuvent être inclus.

2

Classer votre type d'entité

Les entités essentielles font l'objet d'une surveillance plus stricte et proactive. Les entités importantes sont soumises à une surveillance réactive. La classification affecte le calendrier d'audit et l'intensité des contrôles requis.

3

Effectuer une analyse des écarts

Cartographiez vos contrôles de sécurité actuels par rapport aux 10 mesures minimales de NIS2 : gestion des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité réseau, contrôle d'accès, cryptographie, sécurité RH, gestion des actifs et authentification multifacteur.

4

Mettre en place la notification des incidents

Établissez des procédures internes pour qu'en cas d'incident significatif, vous puissiez déposer l'alerte initiale 24 heures et le rapport complet 72 heures sans précipitation. Désignez qui notifie, à quelle autorité nationale et dans quel format.

5

Tout documenter

NIS2 exige que la direction gouverne activement la cybersécurité et que cette gouvernance soit documentée. Politiques, registres des risques, évaluations fournisseurs et dossiers de formation servent de preuves.

Obtenez votre score de conformité NIS2 en 5 minutes

Test de conformité gratuit. Sans carte bancaire. Sachez exactement où vous en êtes avant qu'un auditeur ne le découvre.

Démarrer le test NIS2 gratuit

FAQ NIS2

NIS2 s'applique-t-il à mon entreprise ?

NIS2 s'applique aux organisations moyennes et grandes dans des secteurs critiques — énergie, transport, banque, infrastructure numérique, santé et services informatiques managés. Les obligations s'étendent également aux partenaires de la chaîne d'approvisionnement des entités concernées. Lancez notre test de conformité gratuit pour savoir si vous êtes concerné.

Quand NIS2 est-il entré en vigueur ?

La directive NIS2 est entrée en vigueur en janvier 2023. Les États membres de l'UE devaient la transposer en droit national avant le 17 octobre 2024. La plupart des pays l'appliquent désormais activement, et les autorités nationales de supervision publient des orientations.

Quelles sont les amendes en cas de non-conformité NIS2 ?

Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. La responsabilité de la direction est une nouveauté majeure — les cadres peuvent être tenus personnellement responsables.

Que NIS2 exige-t-il concrètement de nous ?

Exigences principales : mesures de gestion des risques, notification d'incidents sous 24 heures (initiale) et 72 heures (détaillée), planification de la continuité d'activité, sécurité de la chaîne d'approvisionnement, contrôle d'accès, gestion des vulnérabilités et formation à la cybersécurité. ComplyOne structure tout cela en tâches suivables.

Nous avons déjà ISO 27001 — sommes-nous couverts ?

Partiellement. ISO 27001 recoupe largement les exigences NIS2, mais NIS2 ajoute des obligations spécifiques sur les délais de notification d'incidents, la responsabilité de la direction et la diligence raisonnable sur la chaîne d'approvisionnement que ISO 27001 ne couvre pas entièrement. ComplyOne vous montre précisément où sont vos lacunes.

Quelles sont les 10 mesures de sécurité minimales sous NIS2 ?

L'article 21 de NIS2 précise 10 domaines obligatoires : (1) analyse des risques et politiques de sécurité, (2) traitement des incidents, (3) continuité d'activité et gestion de crise, (4) sécurité de la chaîne d'approvisionnement, (5) sécurité dans l'acquisition de systèmes réseau et d'information, (6) politiques d'évaluation de l'efficacité des mesures de cybersécurité, (7) hygiène cyber de base et formation à la cybersécurité, (8) politiques d'utilisation de la cryptographie, (9) sécurité RH et politiques de contrôle d'accès, (10) authentification multifacteur. ComplyOne mappe chacun de ces domaines à des contrôles suivables.

NIS2 peut-il s'appliquer à nous même si nous ne sommes pas dans un secteur critique ?

Oui — via la chaîne d'approvisionnement. Si vous fournissez des services informatiques, de la sécurité managée, de l'infrastructure cloud ou des logiciels à une entité essentielle ou importante, les obligations NIS2 peuvent vous être transmises contractuellement. De nombreuses PME découvrent les exigences NIS2 via des contrats avec des grands comptes plutôt que par notification réglementaire directe.

Domaines de conformité connexes

Conformité DORA Règlement IA de l'UE Cyber Resilience Act Conformité RGPD