AmorcAge

AnticiperDécrypterAppliquerQuestionner
← AmorcAge

NIS2 : cartographier son périmètre avant la mise en conformité

NIS2 élargit considérablement le périmètre de la cybersécurité européenne. Avant toute démarche de conformité, l’étape décisive est de déterminer si votre organisation est concernée — et à quel titre.

Entités essentielles et importantes : la distinction clé

NIS2 distingue deux catégories d’entités. Les entités essentielles (EE) couvrent les secteurs à haute criticité : énergie, transports, santé, eau, infrastructure numérique, administration publique. Les entités importantes (EI) englobent les services postaux, la gestion des déchets, l’industrie manufacturière critique et les prestataires de services numériques.

Le seuil d’assujettissement est fixé à 50 employés ou 10 millions d’euros de chiffre d’affaires pour les EI. Les EE doivent compter 250 employés ou 50 millions d’euros, sauf pour les opérateurs d’infrastructure critique où la taille n’est pas déterminante.

La chaîne de sous-traitance : un périmètre élargi

NIS2 introduit une responsabilité étendue sur la chaîne d’approvisionnement. Un prestataire qui fournit des services critiques à une entité assujettie peut se retrouver soumis aux exigences NIS2 par ricochet. Cela concerne notamment les hébergeurs, les intégrateurs, les éditeurs de logiciels critiques.

La cartographie du périmètre doit donc inclure une analyse des flux de données et de services avec vos clients. Si vous traitez des données critiques ou assurez une fonction essentielle pour un opérateur assujetti, votre organisation entre probablement dans le champ NIS2.

Les 4 piliers d’obligations NIS2

Une fois le périmètre établi, les obligations se structurent autour de quatre piliers : la gouvernance (responsabilité des dirigeants, politique de sécurité), la gestion des risques (analyse, mesures techniques et organisationnelles), la notification des incidents (24h pour les alertes initiales, 72h pour les rapports intermédiaires), et la sécurité de la chaîne d’approvisionnement.

Les sanctions en cas de manquement atteignent 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les EE, et 7 millions ou 1,4% pour les EI. La responsabilité personnelle des dirigeants est explicitement engagée par la directive.

Cartographiez votre périmètre NIS2 en 2h

Le Pack NIS2 Certitud inclut un questionnaire de qualification du périmètre, une matrice des obligations selon votre catégorie d’entité et des templates de politique de sécurité prêts à l’emploi. Point de départ structuré pour une mise en conformité maîtrisée.