Articles NIS2 de WeeSec
- NIS2 transposition France : qui est concerné
- ISO 27001 SaaS B2B : roadmap 12 mois
- Gérer un incident cyber en 7 étapes
- Auditer son Active Directory en 7 étapes
- Programme de divulgation des vulnérabilités
- CRA : roadmap des jalons 2026-2027
Questions fréquentes sur NIS2
Mon entreprise est-elle concernée par NIS2 en France ?
Vous êtes concerné si vous opérez dans l'un des 18 secteurs annexés à la directive (énergie, transport, banque, santé, eau, infrastructure numérique, services TIC, gestion des déchets, services postaux, alimentation, fabrication, etc.) ET dépassez les seuils PME (50 salariés ou 10 M€ de CA). Catégories : entités essentielles (EE) ou importantes (EI). En France, l'enregistrement auprès de l'ANSSI est en cours depuis 2025.
Quels sont les délais de notification d'incident sous NIS2 ?
Trois jalons : alerte précoce dans les 24 heures, notification d'incident dans les 72 heures (description, gravité, mesures immédiates), rapport final dans le mois. Notifications adressées au CSIRT national (en France, le CERT-FR) et à l'ANSSI pour les EE/EI. Tout incident significatif doit être déclaré, y compris ceux liés aux prestataires.
Quelles obligations techniques impose NIS2 ?
Article 21 — 10 mesures minimales : analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, chiffrement, MFA, formation, contrôles d'accès, gestion des actifs, divulgation coordonnée des vulnérabilités. Les organes de direction sont personnellement responsables et doivent être formés à la cybersécurité.
Quelles sanctions pour non-conformité NIS2 ?
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial. Les dirigeants peuvent être personnellement sanctionnés (suspension de fonctions). En France, l'ANSSI dispose d'un pouvoir d'inspection et d'injonction.
ISO 27001 dispense-t-elle de NIS2 ?
Non, mais elle facilite considérablement. ISO 27001:2022 couvre environ 70% des exigences de l'article 21 NIS2. Une organisation déjà certifiée ISO 27001 a déjà une bonne partie du chemin parcouru. Les ajouts spécifiques NIS2 : notification d'incident réglementée (24h/72h/1 mois), responsabilité personnelle des dirigeants, gestion explicite de la chaîne d'approvisionnement TIC.
Quelle articulation entre NIS2 et DORA ?
DORA est lex specialis sur le secteur financier (Article 1 DORA). Pour les entités financières, DORA prime sur NIS2. Mais les obligations sont en grande partie convergentes (gestion du risque TIC, notification d'incident, supply chain). Une approche pooled DORA/NIS2 économise 30-40% vs deux démarches séparées.
Offres dédiées sur ce sujet
Au-delà du guide ci-dessus, voici les prestations WeeSec qui adressent directement la conformité NIS2.