Oktalink
Accueil
Nos Solutions
Nos Outils
Blog
09 70 70 40 79 Contactez un expert

Directive NIS2 : Le guide complet et Simulateur d’éligibilité | OktaLink

Accueil / Uncategorized / Directive NIS2 : Le guide complet et Simulateur d’éligibilité | OktaLink

Réglementation & Cybersécurité

Conformité Directive NIS2 : Le guide définitif pour les PME et ETI françaises

C'est le plus grand bouleversement réglementaire européen depuis l'arrivée du RGPD. La directive NIS2 impose de nouvelles règles de cybersécurité implacables. Fini le temps où seules les Opérateurs d'Importance Vitale (OIV) étaient ciblés : la loi élargit son spectre pour protéger toute la chaîne d'approvisionnement. En France, plus de 30 000 entreprises privées et publiques doivent s'y conformer.

Votre entreprise est-elle concernée ? Quelles sont les exigences techniques (MFA, sauvegardes, plan de réponse) imposées par l'ANSSI ? Que risquent personnellement vos dirigeants ? Découvrez notre décryptage complet et testez immédiatement votre éligibilité grâce à notre simulateur interactif.

Simulateur d'éligibilité NIS2

Découvrez si votre entreprise est soumise à la nouvelle directive européenne (Loi de transposition française).

1. Quelle est la taille de votre entreprise ?

Moins de 50 salariés Et chiffre d'affaires annuel (ou bilan) inférieur à 10 millions d'euros.
Moyenne entreprise (50 à 249 salariés) Ou chiffre d'affaires compris entre 10 et 50 millions d'euros.
Grande entreprise / ETI (250 salariés ou plus) Ou chiffre d'affaires supérieur à 50 millions d'euros.

2. Votre entreprise correspond-elle à l'une de ces exceptions spécifiques ?

Oui, je suis dans un de ces cas : Fournisseur de réseaux télécoms, de services DNS, fournisseur de services de confiance, ou entité publique stratégique.
Non, aucune de ces situations. Mon entreprise a une activité commerciale, industrielle ou de service classique.

3. Quel est votre secteur d'activité principal ?

Secteur Hautement Critique (Annexe 1) Énergie, Transports, Banque, Santé (hôpitaux, labos), Eau potable/usée, Infrastructure Numérique (Cloud, Datacenter), Espace.
Secteur Critique (Annexe 2) Services postaux, Gestion des déchets, Chimie, Agroalimentaire, Fabrication industrielle, Fournisseurs numériques (réseaux sociaux, moteurs de recherche).
Autre secteur d'activité Mon activité ne figure pas ci-dessus (ex: BTP classique, commerce de détail, artisanat, conseil non-IT).
Tester sur le simulateur officiel ANSSI →

Important : Ce simulateur est fourni par OktaLink à titre pédagogique pour simplifier la compréhension de la directive. Seule une analyse juridique complète et l'utilisation de la plateforme MonEspaceNIS2 de l'ANSSI font foi.

De NIS1 à NIS2 : Pourquoi l'Europe durcit-elle le ton ?

La première directive NIS (Network and Information Security), adoptée en 2016, visait à protéger les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE). À l'époque, le texte ciblait à peine 300 grandes structures en France.

Cependant, les attaques par ransomware se sont professionnalisées. Les hackers ont compris qu'il était plus facile d'attaquer les sous-traitants, les fournisseurs de logiciels ou les logisticiens (la fameuse Supply Chain) pour paralyser indirectement les grands donneurs d'ordre.

La directive NIS2 (adoptée en novembre 2022 et transposée dans le droit des États membres) répond à cette menace en élargissant massivement son champ d'application. Selon l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), on passe de 300 à plus de 30 000 entreprises concernées en France.

Entités Essentielles (EE) et Entités Importantes (EI) : La nouvelle nomenclature

La directive abandonne les anciens acronymes pour classer les entreprises selon une logique croisée de taille (Chiffre d'Affaires et effectifs) et de criticité sectorielle.

Statut réglementaire Critères de qualification Type de contrôle (Supervision)
Entités Essentielles (EE) Grandes entreprises (+250 salariés) du secteur Hautement Critique, ainsi que certaines TPE/PME spécifiques (Télécoms, prestataires de confiance cloud). Contrôles ex ante (A priori) : L'ANSSI peut vous auditer à tout moment, même sans incident préalable, pour vérifier votre conformité.
Entités Importantes (EI) Moyennes entreprises (50 à 250 salariés) des secteurs critiques et hautement critiques, et Grandes entreprises du secteur simplement Critique. Contrôles ex post (A posteriori) : L'ANSSI enquêtera prioritairement à la suite d'un incident avéré ou d'une fuite de données.
⚠️ L'effet "Dominos" de la Supply Chain

Même si vous êtes une petite entreprise de 15 salariés (théoriquement exemptée), vous n'êtes pas à l'abri. La directive exige que les EE et les EI garantissent la sécurité de leur chaîne d'approvisionnement. Vos grands clients vont donc vous imposer contractuellement, via des audits et des avenants, de respecter les standards NIS2 pour pouvoir continuer à travailler avec eux.

Les 18 secteurs passés au crible de l'ANSSI

La législation sépare les activités économiques en deux annexes distinctes :

Secteurs de haute criticité (Annexe 1)

  • Énergie : Électricité, chauffage urbain, pétrole, gaz, hydrogène.
  • Transports : Aérien, ferroviaire, maritime, routier.
  • Banque et Marchés financiers.
  • Santé : Hôpitaux, laboratoires de référence, recherche et développement de médicaments.
  • Eau : Eau potable et gestion des eaux usées.
  • Infrastructure Numérique : Fournisseurs de cloud, datacenters, réseaux de télécommunications.
  • Espace et Administration Publique.

Autres secteurs critiques (Annexe 2)

  • Services postaux et d'expédition.
  • Gestion des déchets.
  • Chimie : Fabrication, production et distribution.
  • Agroalimentaire : Production, transformation et distribution de denrées.
  • Fabrication (Industrie) : Équipements médicaux, produits informatiques, électronique, optique, machines-outils, véhicules automobiles.
  • Fournisseurs numériques : Moteurs de recherche, places de marché en ligne (marketplaces), réseaux sociaux.

Quelles sont les exigences techniques et organisationnelles ?

La conformité NIS2 n'est pas qu'un tampon administratif. L'ANSSI a défini un socle d'exigences de sécurité strictes qui va profondément modifier votre gestion de parc informatique.

  • 1 Gestion des incidents et signalement express : C'est la mesure phare. En cas d'attaque informatique (ex: ransomware), l'entreprise a l'obligation de lancer une "alerte précoce" auprès des autorités sous 24 heures, suivie d'une notification d'incident complète sous 72 heures.
  • 2 Continuité et Plan de Reprise d'Activité (PCA/PRA) : Vous devez prouver qu'en cas de destruction de vos systèmes, vous disposez de sauvegardes chiffrées, externalisées et isolées du réseau (immuables) pour relancer l'activité.
  • 3 Hygiène informatique renforcée : La loi impose techniquement l'utilisation de la cryptographie, de solutions de détection comportementales (Antivirus EDR), et le déploiement systématique de l'authentification multifacteur (MFA) pour tous les accès distants.
  • 4 Formation et audits réguliers : Les collaborateurs doivent être formés au phishing, et l'entreprise doit réaliser des tests d'intrusion (pentests) réguliers pour éprouver ses défenses.

Des sanctions historiques et la responsabilité des dirigeants engagée

Pour s'assurer que la cybersécurité quitte le sous-sol des équipes informatiques pour s'installer à la table des Comités de Direction (Comex), l'Europe a prévu un arsenal répressif très lourd, calqué sur le modèle de dissuasion du RGPD.

⚖️ Jusqu'à 10 Millions d'euros d'amende
  • Pour une Entité Essentielle (EE) : L'amende peut s'élever jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu).
  • Pour une Entité Importante (EI) : Jusqu'à 7 millions d'euros ou 1,4 % du CA mondial.

La grande nouveauté : La loi prévoit que la responsabilité personnelle des dirigeants (PDG, gérants) peut être engagée s'il est prouvé qu'ils ont fait preuve de négligence (refus de débloquer du budget pour la sécurité, absence de formation). Les autorités pourront suspendre temporairement un dirigeant de ses fonctions managériales.

Comment entamer votre démarche de conformité ?

Réaliser une cartographie de son système d'information, moderniser son infrastructure réseau, configurer des sauvegardes externalisées souveraines et rédiger des procédures de réponse à incident prend entre 6 et 12 mois. Attendre les premiers contrôles de l'ANSSI pour agir n'est techniquement plus une option viable.

La première étape consiste à réaliser un audit de maturité cyber complet. Ce diagnostic permettra de mesurer l'écart entre l'état actuel de votre gestion de parc informatique et les exigences du référentiel européen, afin d'établir une feuille de route budgétée et priorisée.

Votre entreprise est-elle techniquement prête pour la NIS2 ?

Mise en place de sauvegardes immuables en France, déploiement du MFA, surveillance EDR 24/7 et sécurisation des réseaux : confiez votre mise en conformité technique à un expert souverain.

Planifier mon audit de maturité cyber → 📞 Échanger avec un expert au 09 70 70 40 79
🇫🇷 Hébergement de vos sauvegardes sécurisées en France ⭐️ Spécialiste de l'infogérance des PME et ETI ⏱️ Déploiement de solutions techniques conformes à l'ANSSI