Classez votre entité, suivez les mesures de gestion des risques de cybersécurité de l'article 21 et respectez les délais de notification des incidents NIS2 de 24 heures, 72 heures et 30 jours — dans un espace de travail unique.
Qui doit se conformer
Entités moyennes et grandes des secteurs des annexes I/II (plus de 50 employés ou plus de 10 M€ de chiffre d'affaires)
En vigueur depuis
Transposition nationale à partir du 17 octobre 2024
Amendes maximales
Jusqu'à 10 M€ ou 2% du chiffre d'affaires annuel mondial
Le champ d'application suit l'article 2 lu conjointement avec les annexes I et II. Certaines entités — telles que les fournisseurs de services DNS, les registres de noms de domaine de premier niveau (TLD) et les prestataires de services de confiance qualifiés — sont couvertes quelle que soit leur taille. Il s'agit d'une orientation et non d'un conseil juridique ; vérifiez votre situation auprès d'un conseil.
NIS2 relève le niveau d'exigence en matière de gestion des cyber-risques et de notification des incidents pour les organisations concernées dans toute l'UE. Les principales obligations :
Mettre en place des mesures techniques, opérationnelles et organisationnelles appropriées — analyse des risques, traitement des incidents, continuité des activités, chiffrement, contrôle d'accès et plus — proportionnées aux risques encourus.
Notifier votre CSIRT ou l'autorité compétente dans des délais stricts : une alerte précoce sous 24 heures, une notification complète sous 72 heures et un rapport final sous un mois après un incident important.
Les organes de direction doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre et suivre une formation — et peuvent être tenus responsables en cas de non-conformité.
Évaluer et traiter les risques de cybersécurité tout au long de votre chaîne d'approvisionnement et de vos relations avec les fournisseurs, y compris les pratiques de sécurité de vos fournisseurs directs de services TIC.
Transformez la directive en un programme suivi et étayé par des preuves — sans tableurs.
Suivez chaque mesure de gestion des risques de référence par rapport à votre situation actuelle, avec des preuves et une visibilité claire des écarts.
Enregistrez les incidents importants et laissez calculer automatiquement les délais de 24 h / 72 h / 30 jours, avec des notifications aux autorités préremplies et acheminées vers votre contact CSIRT.
Définissez le niveau de votre entité afin que les rappels, l'acheminement des notifications et les obligations appropriés s'appliquent à votre organisation.
Réutilisez les contrôles NIS2 sur le RGPD, DORA et le règlement IA de l'UE grâce au moteur de correspondance des référentiels — documentez une fois, répondez à plusieurs cadres.
NIS2 s'applique aux entités moyennes et grandes (en gros, plus de 50 employés ou plus de 10 M€ de chiffre d'affaires) qui opèrent dans les secteurs hautement critiques de l'annexe I ou les autres secteurs critiques de l'annexe II. Certains types d'entités — tels que les fournisseurs de services DNS, les registres de noms de domaine de premier niveau (TLD) et les prestataires de services de confiance qualifiés — relèvent du champ d'application quelle que soit leur taille.
Les États membres devaient transposer la directive (UE) 2022/2555 dans leur droit national au plus tard le 17 octobre 2024, en remplacement de la directive NIS initiale. Les obligations s'appliquent via la législation de transposition de chaque pays.
Les entités essentielles relèvent des secteurs hautement critiques de l'annexe I et font l'objet d'une surveillance proactive ; les entités importantes relèvent des secteurs de l'annexe II et sont surveillées de manière réactive. Les deux doivent respecter les obligations de gestion des risques et de notification — le régime de surveillance et les amendes maximales diffèrent.
Pour un incident important : une alerte précoce sous 24 heures, une notification complète sous 72 heures et un rapport final sous un mois, à transmettre au CSIRT national ou à l'autorité compétente.
Les entités essentielles encourent des amendes pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu ; les entités importantes jusqu'à 7 millions d'euros ou 1,4%. Les organes de direction peuvent également être tenus personnellement responsables.
Faites l'auto-évaluation gratuite pour estimer votre périmètre et vos obligations NIS2 en quelques minutes — sans créer de compte.