Parlons-en

Directive NIS2 : votre conformité ne peut plus attendre

La transposition française de NIS2 impose de nouvelles obligations de cybersécurité à des milliers d'entreprises — dont beaucoup ne le savent pas encore. Amendes jusqu'à 10 millions d'euros. Contrôles ANSSI dès 2026. Avez-vous mesuré votre exposition ?

Demander un audit de maturité NIS2 Vos questions
La directive NIS2 (Network and Information Security 2) est un règlement européen entré en vigueur le 16 janvier 2023, qui renforce les obligations de cybersécurité pour les opérateurs de services essentiels et les entités importantes dans 18 secteurs (énergie, transport, santé, numérique, industrie…). Elle élargit significativement le périmètre de la directive NIS1 de 2016.
18 secteurs couverts
10 M€ amende max entités essentielles
24h délai de notification incident

Êtes-vous concerné ?

Votre organisation est potentiellement dans le périmètre NIS2 si vous cochez au moins un critère :

  • Vous opérez dans l'énergie, l'eau, la santé, le transport, le numérique ou la finance
  • Vous avez plus de 50 salariés ou un CA supérieur à 10 M€
  • Vous êtes sous-traitant d'une entité elle-même soumise à NIS2
  • Vous gérez une infrastructure critique pour d'autres organisations
  • Vous fournissez des services cloud, des datacenters, ou du DNS
  • Vous êtes prestataire de services de confiance (signature électronique…)
  • Vous gérez des services postaux, de gestion des déchets ou de la chimie
  • Vous n'êtes pas sûr — ce qui est déjà un signal d'alerte

Faire évaluer mon périmètre NIS2 (gratuit)

Ce que NIS2 exige concrètement

Les 10 mesures minimales imposées par l'article 21 de la directive :

Gouvernance

Les dirigeants sont personnellement responsables. La Direction doit approuver les mesures de sécurité et se former à la cybersécurité.

Gestion des risques

Analyse de risques documentée (EBIOS RM ou ISO 27005), revue annuelle, traçabilité des décisions.

Gestion des incidents

Notification à l'ANSSI sous 24h (pré-alerte) et 72h (alerte complète). Processus de réponse aux incidents formalisé.

Continuité d'activité

PCA/PRA documentés et testés. Sauvegardes régulières, chiffrées, testées. Capacité de reprise définie.

Sécurité de la chaîne d'approvisionnement

Évaluation des fournisseurs et sous-traitants. Clauses contractuelles de sécurité. Gestion du risque tiers.

Sécurité des accès

MFA généralisé, politique de mots de passe, gestion des droits d'accès (principe du moindre privilège), IAM.

Chiffrement

Chiffrement des données sensibles au repos et en transit. Gestion des clés documentée.

Formation

Sensibilisation de tous les collaborateurs. Formation spécifique pour les équipes IT et la Direction.

L'accompagnement GreenJuice

Un parcours en 4 phases, de l'audit à la certification :

  1. 01

    Audit de maturité (2 jours)

    Évaluation de votre posture actuelle sur les 10 domaines NIS2. Livrable : rapport de maturité coté, cartographie des écarts, liste des actions prioritaires.

  2. 02

    Analyse de risques EBIOS RM (1 à 2 semaines)

    Identification des biens supports critiques, des sources de risques et des scénarios d'attaque. Livrable : registre des risques, mesures de traitement priorisées.

  3. 03

    Déploiement des mesures techniques (2 à 6 mois)

    MFA, EDR, SIEM, sauvegardes chiffrées, segmentation réseau, patch management, cloud souverain. GreenJuice opère directement ou pilote vos prestataires existants.

  4. 04

    Documentation & enregistrement ANSSI

    Rédaction de la PSSI, des procédures de gestion des incidents, du PCA/PRA. Accompagnement lors de l'enregistrement auprès de l'ANSSI.

Questions fréquentes

Mon entreprise est-elle concernée par NIS2 ?

NIS2 s'applique aux entités essentielles (EE) et entités importantes (EI) dans 18 secteurs. La taille (50+ salariés ou CA > 10 M€) est un critère, mais pas le seul : les sous-traitants de donneurs d'ordre eux-mêmes soumis à NIS2 peuvent être indirectement concernés. En cas de doute, un audit de périmètre permet de trancher en 2 jours.

Quelle est la date limite de conformité NIS2 en France ?

La loi de transposition française est attendue pour le premier semestre 2025. Les premières vérifications de l'ANSSI sont anticipées dès l'automne 2026. Le délai est donc court : démarrer maintenant donne 12 mois d'avance.

Quelles sanctions en cas de non-conformité ?

Les entités essentielles s'exposent à des amendes allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel. Les entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA. S'y ajoutent des mesures de mise en demeure, d'injonction de remédiation et la possibilité de suspension temporaire de responsables.

Combien de temps dure une mise en conformité NIS2 ?

Pour une structure partant de zéro, comptez 6 à 18 mois selon la maturité SI existante. Un audit initial (2 jours) permet d'établir une roadmap réaliste. Les mesures techniques urgentes (gestion des incidents, MFA, sauvegardes chiffrées) peuvent être déployées en quelques semaines.

GreenJuice peut-il nous accompagner de A à Z ?

Oui. GreenJuice couvre le cycle complet : audit EBIOS RM, rédaction de la PSSI, déploiement des mesures techniques (cloud souverain, monitoring, patch management), formation des équipes, et accompagnement lors des éventuels contrôles ANSSI.

L'échéance NIS2 approche. Votre concurrence est déjà en cours de mise en conformité.

Audit de maturité offert pour les premières demandes — réponse sous 24h ouvrées.

Demander l'audit gratuit →