Directive NIS2 : votre PME est-elle concernée ?

Notre offre Cyber Sécurité à 44€/poste/mois couvre la majorité des exigences techniques de NIS2 : SOC 24/7, EDR, sauvegarde, MFA, phishing, gestion des identités. L'accompagnement documentaire (politiques de sécurité, registre des incidents, preuves d'audit) est inclus dans l'offre DSI & Infrastructure. Voir nos offres.

Pas directement par NIS2, sauf si vous êtes sous-traitant d'une entité régulée ou fournisseur de services numériques. Dans la pratique, vos donneurs d'ordres dans les secteurs critiques commencent à exiger la conformité de leurs prestataires IT — mieux vaut anticiper.

NIS2 impose trois étapes : 24 heures pour l'alerte initiale à l'ANSSI, 72 heures pour un rapport détaillé incluant l'évaluation de l'impact, et 1 mois pour le rapport final avec les mesures correctives. Notre SOC Managé 24/7 vous permet de respecter ces délais.

Les entités essentielles (grandes entreprises dans les secteurs hautement critiques) sont soumises à des obligations plus strictes et des sanctions plus élevées (10M€ / 2% CA). Les entités importantes (PME de +50 salariés dans les secteurs critiques) ont des obligations allégées mais des sanctions significatives (7M€ / 1,4% CA). Les deux catégories doivent notifier les incidents et mettre en place des mesures de sécurité.

La directive NIS2 devait être transposée en droit français avant octobre 2024. Le processus législatif est en cours — mais les entreprises doivent anticiper dès maintenant. L'ANSSI recommande de commencer la mise en conformité sans attendre la transposition complète. Les contrôles démarreront dès l'entrée en vigueur de la loi française.

Rapports mensuels du SOC (incidents détectés, temps de réponse), résultats des scans de vulnérabilités, rapports de patching, résultats des campagnes de phishing, historique des sauvegardes et tests de restauration, journal d'accès Entra ID, et politiques de sécurité formalisées. Le tout est prêt pour vos auditeurs et l'ANSSI.