Accompagnement Conformité NIS 2
Directive UE 2022/2555 · Loi Résilience · Référentiel ReCyF ANSSI · ETI & OIV
Mise en conformité de bout en bout pour les entités essentielles (EE) et importantes (EI) : diagnostic d'applicabilité, gap analysis sur les 10 mesures de l'article 21, alignement ReCyF ANSSI (mars 2026), inscription MonEspaceNIS2, formation des dirigeants (responsabilité pénale art. 32), registre des incidents et coordination crise.
Êtes-vous concerné ?
NIS 2 distingue les Entités Essentielles (EE) des Entités Importantes (EI) selon votre secteur et votre taille. Les obligations diffèrent — surtout en matière de sanctions et de supervision.
Entités Essentielles
Sanctions jusqu'à 10 M€ ou 2 % CA mondial. Supervision proactive ANSSI.
- Énergie (électricité, gaz, pétrole, hydrogène)
- Transports (aérien, ferroviaire, routier, maritime)
- Banque et infrastructures de marchés financiers
- Santé (hôpitaux, laboratoires, médicaments)
- Eau potable et eaux usées
- Infrastructure numérique (DNS, TLD, cloud, IXP)
- Administration publique
- Espace
Entités Importantes
Sanctions jusqu'à 7 M€ ou 1,4 % CA mondial. Supervision réactive.
- Services postaux et de messagerie
- Gestion des déchets
- Industrie chimique
- Production et distribution alimentaire
- Fabrication (dispositifs médicaux, électronique, machines, véhicules)
- Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
- Recherche
Le seuil minimum est de 50 collaborateurs ou 10 M€ de CA. Toute entité au-dessous est hors périmètre… sauf si elle est qualifiée d'essentielle par l'ANSSI (opérateur national stratégique).
Les mesures techniques et organisationnelles
L'article 21 de la directive impose 10 mesures minimales que toute entité concernée doit déployer, indépendamment de son secteur. Notre accompagnement structure chacune avec les livrables associés.
Politique d'analyse des risques
Identification et évaluation continue des risques cyber, méthode EBIOS-RM recommandée ANSSI.
Gestion des incidents
Détection, traitement, notification ANSSI sous 24h (early warning) puis 72h (incident report).
Continuité d'activité
PCA/PRA testés, sauvegardes, gestion de crise, communication interne et externe.
Sécurité de la chaîne d'approvisionnement
Évaluation des sous-traitants, clauses contractuelles, supply chain risk management.
Sécurité dans l'acquisition et le développement
Secure SDLC, tests de sécurité, gestion des vulnérabilités, conformité produits.
Évaluation de l'efficacité des mesures
Audits internes, tests d'intrusion périodiques, métriques de pilotage (KPI ISO 27004).
Hygiène informatique et formation
Sensibilisation annuelle obligatoire pour tous les utilisateurs, formation des dirigeants.
Cryptographie et chiffrement
Algorithmes conformes ANSSI, gestion des clés, chiffrement des données sensibles au repos et en transit.
RH sécurité et contrôle d'accès
Politiques d'accès, principe du moindre privilège, gestion des identités, MFA obligatoire.
Communications sécurisées
Authentification multifacteur, téléphonie sécurisée, communications d'urgence chiffrées.
5 étapes pour être conforme
Qualification
Analyse d'applicabilité EE / EI / hors-périmètre + sectorisation précise.
Gap analysis
Maturité vis-à-vis des 10 mesures art. 21 + identification des écarts critiques.
Plan de mise à niveau
Priorisation des actions, budget, calendrier, livrables, KPI.
Mise en œuvre
Déploiement des politiques, procédures, formations, technique avec les équipes.
Maintien conformité
Audits annuels, gestion des incidents, formation continue, revue de direction.
Questions fréquentes
Je suis sous-traitant d'une entité essentielle : suis-je concerné par NIS 2 ?
Indirectement, oui. L'article 21 impose aux entités essentielles et importantes d'évaluer la sécurité de leur chaîne d'approvisionnement. Vos donneurs d'ordre exigeront donc preuve de maturité cyber : politiques, certifications (ISO 27001, SOC 2), audits, gestion des incidents.
NIS 2 remplace-t-elle ISO 27001 ?
Non. NIS 2 est une directive (cadre légal contraignant) tandis qu'ISO 27001 est une norme volontaire. Une certification ISO 27001 facilite la conformité NIS 2 mais ne suffit pas : NIS 2 exige des notifications dans des délais courts (24h/72h) et une supervision étatique spécifique.
Quel est le calendrier de la directive ?
La directive UE 2022/2555 est entrée en application le 18 octobre 2024. La transposition française est entrée en vigueur progressivement. Les sanctions sont effectives depuis cette date, même si l'ANSSI applique une politique de tolérance graduelle pour les premières non-conformités.
Les dirigeants sont-ils personnellement responsables ?
Oui, NIS 2 introduit une responsabilité personnelle des dirigeants (CEO, COMEX). Ils doivent suivre une formation spécifique aux risques cyber, valider la politique de gestion des risques, et peuvent être interdits d'exercer en cas de manquement grave (sanctions de l'ANSSI).
Comment se passe une notification d'incident ?
Notification en 3 temps : 24h — early warning (alerte initiale), 72h — rapport d'incident détaillé, 1 mois — rapport final post-incident. L'ANSSI fournit un portail dédié (RéCy-F) pour ces déclarations.
Que se passe-t-il si je suis aussi soumis à DORA ou RGPD ?
Les exigences se cumulent mais peuvent être mutualisées. Voir notre cartographie des exigences croisées pour optimiser votre programme de conformité multi-référentiel.
Ce que disent nos clients
"Le pentest Active Directory a révélé 3 chemins d'escalade de privilèges que notre équipe sécurité n'avait pas détectés. Le rapport était actionnable dès le lendemain. Résultats remédiation : 100% des chemins critiques fermés en 3 semaines."
"Nous avons obtenu notre certification ISO 27001 du premier coup. L'accompagnement d'Ayi NEDJIMI a été déterminant : rigueur méthodologique, livrables directement utilisables, et une vraie pédagogie pour embarquer nos équipes."
"En tant que sous-traitant Airbus, la conformité AirCyber était une obligation. Ayi NEDJIMI nous a guidés de l'évaluation initiale Bronze jusqu'au Silver en 4 mois. Approche pragmatique, pas de sur-ingénierie."
Diagnostic NIS 2 sous 5 jours
Décrivez brièvement votre activité et vos enjeux. Nous revenons vers vous sous 24h ouvrées avec une proposition adaptée à votre périmètre (EE, EI, sous-traitant critique).
Mise en conformité NIS 2 — Diagnostic offert
Sanctions jusqu'à 10 M€ ou 2 % CA mondial · 28 700 entités françaises concernées · Notification 24h/72h obligatoire. Sécurisons votre conformité ensemble.