Êtes-vous concerné par NIS 2 ?
Répondez à 6 questions pour déterminer si votre organisation est une Entité Essentielle (EE) ou Importante (EI), et découvrez vos obligations.
Quel est votre secteur d'activité ?
NIS 2 couvre 18 secteurs répartis en deux annexes (secteurs hautement critiques et critiques).
Quelle est la taille de votre organisation ?
Le chiffre d'affaires et l'effectif déterminent si vous êtes une grande ou moyenne entreprise au sens NIS 2.
Votre service est-il critique pour l'économie ou la société ?
Même les petites structures peuvent être soumises à NIS 2 si leur service est critique (ex : seul fournisseur régional, infrastructure critique).
Êtes-vous sous-traitant d'une entité soumise à NIS 2 ?
NIS 2 impose aux entités soumises d'exiger des garanties de cybersécurité à toute leur chaîne d'approvisionnement.
Avez-vous déjà subi un incident cyber significatif ?
Un incident passé peut accélérer la désignation par l'ANSSI et rendre la mise en conformité encore plus urgente.
Quelle est votre maturité cybersécurité actuelle ?
Cela déterminera l'effort de mise en conformité et la durée estimée d'accompagnement.
Entité Essentielle (EE) — Obligatoire
Votre organisation est probablement soumise à NIS 2 en tant qu'Entité Essentielle, la catégorie avec les obligations les plus strictes. Vous devez vous inscrire sur MonEspaceNIS2 dès maintenant et mettre en œuvre les 10 mesures de l'article 21.
- →Inscription MonEspaceNIS2 (ANSSI)
- →Mise en œuvre 10 mesures art. 21
- →Notification incident 24h / rapport 72h
- →Responsabilité pénale des dirigeants
- →Contrôles ANSSI réguliers (ex ante)
- →Amendes jusqu'à 10 M€ ou 2% CA mondial
- 1.Inscription MonEspaceNIS2 (immédiat)
- 2.Gap analysis ReCyF ANSSI (semaine 1)
- 3.Plan d'action priorisé (mois 1)
- 4.Mise en œuvre mesures critiques (mois 2-4)
- 5.Audit de conformité (mois 5-6)
Entité Importante (EI) — Obligatoire
Votre organisation est probablement soumise à NIS 2 en tant qu'Entité Importante. Les obligations sont similaires aux EE avec quelques différences sur les sanctions et la fréquence des contrôles. L'inscription sur MonEspaceNIS2 et l'application des mesures de l'article 21 sont obligatoires.
- →Inscription MonEspaceNIS2 (ANSSI)
- →10 mesures art. 21 (mêmes que EE)
- →Notification incident 24h / rapport 72h
- →Contrôles ANSSI ex post (après incident)
- →Amendes jusqu'à 7 M€ ou 1,4% CA mondial
- 1.Inscription MonEspaceNIS2 (immédiat)
- 2.Gap analysis ReCyF ANSSI (semaine 2)
- 3.Prioriser mesures à risque élevé (mois 1-2)
- 4.Documentation et registre incidents
- 5.Plan d'amélioration continue
Sous-traitant — Obligations indirectes
Vous n'êtes pas directement soumis à NIS 2, mais vos clients entités soumises vous demanderont de garantir un niveau de cybersécurité adéquat. Des clauses contractuelles NIS 2 vont apparaître dans vos appels d'offres dès 2025-2026.
- →Questionnaire de sécurité annuel
- →Certification ISO 27001 ou équivalent
- →Clauses contractuelles de cybersécurité
- →Notification d'incident sous 24h
- →Droit d'audit de vos systèmes
Probablement non concerné
D'après vos réponses, votre organisation n'est probablement pas directement soumise à NIS 2. Cependant, si vous êtes sous-traitant ou prestataire d'une entité soumise, des exigences contractuelles peuvent s'appliquer indirectement. Ce résultat est indicatif — seule une analyse détaillée peut confirmer votre statut.
- →Vérifier votre chaîne de sous-traitance
- →Maintenir un niveau cyber minimal (sauvegarde, MFA, antivirus)
- →Surveiller l'évolution des textes (transposition française)
Besoin d'une analyse détaillée ?
Nos experts valident votre périmètre NIS 2, réalisent la gap analysis ReCyF ANSSI et vous accompagnent jusqu'à la conformité complète. Premier échange gratuit sous 24h.