Directive NIS 2 : votre entité est-elle concernée ?
Devant être transposée au plus tard en octobre 2024 en France, la directive européenne NIS 2 marque un changement de paradigme en termes de régulation de la cybersécurité. Par rapport à NIS 1, elle élargit ses objectifs et étend son périmètre d’application. À l’échelle nationale, il est prévu que NIS 2 s’applique à des milliers d’entités appartenant à 18 secteurs d’activité, considérés comme « critiques » ou « hautement critiques ». Comment savoir si votre entité est concernée par NIS 2 ?
L’objectif de NIS 2 : renforcer la cybersécurité des entreprises
Face à des cyberattaques toujours plus ingénieuses, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit ses objectifs et son périmètre d’application pour renforcer la cybersécurité.
Extension du périmètre aux PME et collectivités territoriales
Selon les observations de l’Anssi (Agence nationale de la sécurité des systèmes d’information – Panorama de la cybermenace 2022), plus de 60 % des attaques qui lui sont remontées concernent des petites structures (PME/TPE/ETI, collectivités territoriales). La tactique des cyberattaquants consiste à remonter les chaînes de sous-traitance plutôt que de cibler directement les clients finaux.
Quel est le périmètre des entités visées par NIS 2 ?
Dans le cadre de la transposition nationale de la directive NIS 2, l’Anssi a collaboré entre autres avec le Cesin (Club des experts de la sécurité de l’information et du numérique).
L’un des premiers enseignements des travaux menés conjointement par l’Anssi et le Cesin, principalement auprès d’ETI et de grandes entreprises, est que « les critères d’éligibilité à NIS 2 soulèvent un certain nombre de questions et le taux d’entreprises qui s’interrogent est relativement élevé ». En effet, « un tiers des participants ne savent pas déterminer si leur entreprise sera assujettie » à NIS 2, ou pas.
Fiche pratique : êtes-vous concerné par NIS 2 ?
La fiche pratique (cliquez sur l’image ci-dessous), sous forme de logigramme, est destinée à vous guider dans la réponse à cette question.
Cette fiche se base sur le texte de la directive européenne et représente un cheminement simplifié et qui devra être confirmé par la transposition nationale de la directive, attendue en octobre 2024.
Article extrait du n° 602 de Face au Risque : « Les Pfas dans les rejets acqueux » (juillet-août 2024).
Félix Pichard
Lead Consultant Cyberdéfense à CNPP Conseil & formation cybersécurité
Bernard Jaguenaud – Rédacteur en chef
Actualités
Depuis l’entrée en vigueur le 1er octobre 2025 du décret n° 2025-355 du 18 avril 2025, les règles relatives à…
-
Le référentiel Apsad R1, pilier de la protection incendie par sprinkleur en France, a fait l'objet d'une nouvelle édition…
-
Euralarm a publié un nouveau document d'orientation sur l'utilisation des systèmes de détection et d'alarme incendie (FD&A) pour soutenir les…
-
Nous avons interrogé le psychosociologue du travail Philippe Zawieja, auteur d’un « Que sais-je » sur la fatigue, afin…
-
Plus de dix ans après la mise en application de la loi Alur, l’heure du renouvellement des détecteurs de…
-
C'est une jurisprudence de la Cour de cassation du 4 décembre 2025 en termes de faute inexcusable de l'employeur :…
