NIS2 est la directive européenne (UE) 2022/2555 sur la sécurité des réseaux et des systèmes d'information, qui remplace la directive NIS initiale et élargit considérablement le cercle des entreprises concernées. La préparation à NIS2 n'est pas un projet informatique ponctuel, mais la mise en place d'une gestion des risques solide assortie de responsabilités claires, de processus de signalement et de preuves. La meilleure approche suit une séquence logique : déterminer d'abord si vous êtes concerné, combler ensuite les écarts, puis garantir durablement la capacité à démontrer la conformité.
Étape 1 : Déterminer si vous êtes concerné
NIS2 distingue les entités essentielles (essential) et importantes (important). Le secteur, la taille de l'entreprise et le chiffre d'affaires sont déterminants. Vérifiez d'abord :
- Secteur : appartenez-vous à l'un des secteurs couverts par NIS2 (par exemple énergie, santé, infrastructure numérique, prestataires de services TIC, administration publique, alimentation) ?
- Taille : généralement à partir de 50 salariés ou de 10 millions d'euros de chiffre d'affaires annuel, avec des exceptions pour les fournisseurs particulièrement critiques.
- Chaîne d'approvisionnement : même si vous n'êtes pas directement concerné, vos clients peuvent vous transmettre contractuellement les exigences NIS2.
Étape 2 : Les principales mesures de préparation
| Domaine |
Ce qu'il faut faire |
| Gestion des risques |
Mettre en place une appréciation systématique des risques ainsi que des mesures techniques et organisationnelles. |
| Gestion des incidents |
Construire des processus de détection, de traitement et de signalement des incidents de sécurité. |
| Sécurité de la chaîne d'approvisionnement |
Évaluer la sécurité des fournisseurs et prestataires et la sécuriser contractuellement. |
| Continuité d'activité |
Établir des concepts de sauvegarde, d'urgence et de reprise. |
| Accès et chiffrement |
Mettre en œuvre le contrôle d'accès, l'authentification multifacteur et le chiffrement. |
| Formation et sensibilisation |
Former régulièrement les collaborateurs et, en particulier, la direction. |
Étape 3 : Tenir compte des délais, des obligations de signalement et de la responsabilité
NIS2 impose des obligations contraignantes assorties de délais courts :
- Délais de signalement des incidents : alerte précoce dans les 24 heures, notification dans les 72 heures, rapport final dans un délai d'un mois.
- Obligation d'enregistrement : les entités concernées doivent s'enregistrer auprès de l'autorité nationale compétente.
- Responsabilité de la direction : la direction est personnellement responsable de la mise en œuvre et peut être tenue responsable en cas de manquement.
Remarque : un SMSI ISO 27001 existant couvre déjà une grande partie des exigences NIS2 et constitue donc un point de départ idéal.
Comment Kertos simplifie la préparation à NIS2
NIS2 a été créée en Europe pour l'Europe, et c'est précisément ce pour quoi Kertos a été conçue. Plutôt que d'adapter a posteriori une solution nord-américaine, Kertos couvre les cadres européens dès le départ. Kertos associe une plateforme de conformité agentique (KAIA) à des experts internes accrédités qui travaillent aux côtés de votre équipe :
- Analyse de l'applicabilité et des écarts : la plateforme détermine rapidement si et comment NIS2 s'applique à vous et révèle les écarts.
- Gestion guidée des risques et des incidents : l'appréciation des risques, les processus de signalement et la gestion des fournisseurs sont structurés et automatisés.
- Synergies avec l'ISO 27001 : les mesures existantes sont réutilisées afin que vous n'ayez pas à faire le travail deux fois.
- Mandats de CISO externe : sur demande, Kertos assume la responsabilité métier et accompagne la direction dans ses obligations de responsabilité.
Cela se reflète dans le bilan de Kertos : un taux de réussite aux audits de 100 %, environ 80 % d'effort de conformité manuel en moins, une satisfaction client de 98 %, et des clients comme AskUI ayant obtenu la certification ISO 27001 en seulement 8 à 10 semaines. La préparation complexe à NIS2 devient ainsi un processus prévisible et continu plutôt qu'un effort ponctuel.
