NIS2 sans le bullshit : ce qu'un RSSI doit vraiment retenir

Le point en 90 secondes

La directive (UE) 2022/2555 dite NIS2 remplace NIS1 et étend considérablement le périmètre des entités concernées. Pour la France, la transposition se fait via la loi de résilience (publiée fin 2024) avec l'ANSSI comme autorité de contrôle.

Ce qu'il faut retenir :

1. Vous êtes peut-être concerné·e sans le savoir. Le seuil passe à 50 salariés / 10 M€ CA, et le périmètre s'élargit aux secteurs "essentiels" et "importants" (énergie, transport, santé, eau, banque, infrastructure numérique, fabrication, agro, etc.).
2. Obligations de gouvernance. La direction (le COMEX, pas seulement le RSSI) est personnellement responsable de la cybersécurité.
3. Obligations techniques. Mesures de gestion des risques (analyse de risque, MCO sécurité, cryptographie, MFA, secret management, formation).
4. Notification d'incident en 24 h (alerte initiale), 72 h (notification détaillée), 1 mois (rapport final).
5. Sanctions financières jusqu'à 2 % du CA mondial ou 10 M€ (entités essentielles) - équivalent RGPD.

Ce qui change concrètement pour un RSSI

Côté gouvernance

• Faire valider et signer par la direction la politique de sécurité, le plan de continuité, le RACI sécurité.
• Inscrire la cyber au rapport de gestion annuel (selon la taille).
• Former les administrateurs (formation obligatoire pour les dirigeants).

Côté risques / gestion

• Tenir un registre des risques à jour, revu au moins annuellement.
• Documenter les mesures de gestion des risques (chiffrement, sauvegardes testées, segmentation).
• Avoir un plan de gestion d'incident documenté et testé (gameday annuel minimum).

Côté chaîne d'approvisionnement

C'est l'un des chapitres les plus exigeants : il faut gérer les risques liés aux sous-traitants - clauses contractuelles, audit du niveau de sécurité, plan de sortie. Cela aligne NIS2 sur DORA pour le secteur financier.

Côté technique

Le texte cite explicitement :

• politiques d'accès (zero trust, moindre privilège, MFA),
• gestion des vulnérabilités (suivi des CVE, patches → c'est exactement le périmètre de Kreomnis Vigie),
• chiffrement au repos et en transit,
• sécurité des ressources humaines (background checks adaptés, départs),
• sécurité physique et environnementale.

Les pièges classiques

1. « Mon entreprise n'est pas concernée » - vérifiez en lisant les annexes, pas en faisant confiance à un commercial.
2. « On a la certif ISO 27001, donc on est OK » - ISO 27001 aide énormément, mais ne couvre pas la notification d'incident, la chaîne d'approvisionnement, ni la gouvernance direction.
3. « On a 18 mois pour se mettre en conformité » - peut-être, mais la notification d'incident en 24 h s'applique dès l'entrée en vigueur. Pas le temps d'attendre.
4. « Le RSSI s'en occupe » - non. La direction est personnellement engagée. Il faut un commitment écrit au plus haut niveau.

Ce qu'on fait, en pratique

Une roadmap réaliste pour une ETI sur 12 mois :

| Mois | Action | | --- | --- | | M0 | Évaluation périmètre (entité essentielle / importante / hors NIS2), revue avec un juriste | | M1 | Engagement direction + nomination d'un sponsor COMEX | | M2-3 | Cartographie des risques + cartographie des sous-traitants critiques | | M3-4 | Mise à jour de la politique de sécurité + RACI signé | | M4-6 | Mise en place / formalisation du processus de notification d'incident (24 h / 72 h) | | M6-9 | Plan de remédiation des écarts techniques majeurs (MFA généralisée, sauvegardes testées, segmentation) | | M9-10 | Audit interne / pré-audit ANSSI | | M10-12 | Gameday + ajustements |

Le mot de la fin

NIS2 ne réinvente pas la cybersécurité. Elle rend obligatoire ce que beaucoup d'entreprises matures faisaient déjà. Le RSSI gagne :

• un mandat clair vis-à-vis de la direction,
• un levier budgétaire sur les sous-traitants,
• un alibi juridique pour bloquer les projets sans sécurité by-design.

Et pour les entreprises qui n'avaient rien commencé : le moment est venu. La courbe d'apprentissage prend des mois.

• Kreomnis