NIS2

Ce qu’est NIS2

NIS2 (Network and Information Security Directive 2, directive 2022/2555) est le texte européen de référence pour la cybersécurité des entités opérant dans des secteurs critiques de l’économie. Elle remplace la directive NIS (2016) en élargissant considérablement le périmètre des organisations concernées et en durcissant les obligations.

Qui est concerné

Sont concernées les organisations qui :

• opèrent dans l’un des 18 secteurs listés en annexes I et II (énergie, transport, finance, santé, eau, infrastructures numériques, espace, administration publique, fabrication, alimentation, recherche, etc.),
• emploient plus de 50 collaborateurs ou dépassent 10 M€ de chiffre d’affaires annuel,
• ou sont identifiées spécifiquement par décret pour leur criticité.

NIS2 distingue entités essentielles (sanctions jusqu’à 10 M€ ou 2 % du CA mondial) et entités importantes (jusqu’à 7 M€ ou 1,4 % du CA mondial).

Obligations principales

• Analyse de risque documentée et tenue à jour, incluant la chaîne d’approvisionnement.
• Mesures techniques et organisationnelles proportionnées (gestion d’accès, chiffrement, supervision, gestion d’incidents).
• Notification d’incident à l’ANSSI sous 24 h (alerte précoce), 72 h (notification), et un mois (rapport final).
• Formation cybersécurité des dirigeants et collaborateurs.
• Responsabilité personnelle des dirigeants — interdictions temporaires d’exercer possibles en cas de manquement.

NIS2 chez Hexceos

Hexceos accompagne ses clients sur l’éligibilité à NIS2, l’analyse d’écart, la mise en conformité opérationnelle et la documentation pour les contrôles ANSSI. Voir nos services audit & conformité et notre article de fond NIS2 en 2026.