Réglementation

NIS2

La directive NIS2 renforce la cybersécurité européenne en imposant des obligations de gestion des risques aux entités essentielles et importantes.

Définition complète

La directive NIS2 (Network and Information Security 2) est le nouveau cadre législatif européen visant à harmoniser le niveau de cybersécurité au sein de l'UE. Contrairement à sa version précédente, elle élargit considérablement son champ d'application à de nombreux secteurs économiques (énergie, santé, transports, administration publique, mais aussi la gestion des déchets ou l'agroalimentaire), incluant désormais des PME qui étaient auparavant exemptées. Pour les dirigeants, NIS2 impose la mise en œuvre de mesures de gestion des risques cyber strictes : sécurisation de la chaîne d'approvisionnement, gestion des incidents, continuité d'activité et formation du personnel. Elle introduit surtout une responsabilité directe des organes de direction, qui peuvent être tenus responsables en cas de manquement aux obligations de sécurité. Bien que NIS2 soit une directive sur la cybersécurité et non sur la protection des données, elle est intrinsèquement liée au RGPD. En effet, la sécurisation des systèmes d'information exigée par NIS2 est le moyen technique de répondre à l'obligation de sécurité des données personnelles prévue à l'article 32 du RGPD. Une faille de sécurité majeure peut ainsi entraîner simultanément des sanctions au titre de NIS2 et une notification de violation de données selon l'article 33 du RGPD.

Exemple concret en PME

Une PME française spécialisée dans la fabrication de composants électroniques pour le secteur médical est classée comme « entité importante ». Elle doit désormais formaliser une analyse de risques cyber, mettre en place un plan de réponse aux incidents et notifier toute cyberattaque grave à l'ANSSI dans des délais très courts (24h pour l'alerte initiale), sous peine de sanctions financières.

L'erreur fréquente à éviter

L'erreur classique est de penser que NIS2 est une simple mise à jour technique pour le service informatique. C'est avant tout une obligation de gouvernance. Ignorer que la responsabilité juridique et financière repose désormais sur le dirigeant, et non plus seulement sur le responsable informatique, est un risque majeur pour les PME.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site