NIS 2 est-elle une loi à laquelle nous nous conformons directement ?

Pas tout à fait. NIS 2 est une directive de l’UE ; vous vous conformez à la transposition qu’en fait votre État membre, à son calendrier et sous son autorité. Nous travaillons à partir de la transposition qui s’applique à vous.

S’agit-il d’un conseil juridique ?

Non. Nous fournissons des preuves et une préparation à la conformité ; savoir si et comment NIS 2 s’applique à vous est laissé à votre conseil. Nous appuyons ce travail plutôt que de le remplacer.

Nous faisons déjà ISO 27001 / DORA — cela couvre-t-il NIS 2 ?

En grande partie, sur les contrôles — les mesures se recoupent fortement, donc nous cartographions un seul jeu de contrôles entre NIS 2, ISO 27001 et DORA, et chaque obligation devient un exercice de preuve plutôt qu’un programme distinct. Les exigences propres à NIS 2 sont les délais de signalement, la responsabilité de la direction et le périmètre de la chaîne d’approvisionnement.

NIS 2 s’applique-t-elle à nos activités au Royaume-Uni ?

Non — NIS 2 est une directive de l’UE. Le Royaume-Uni a ses propres NIS Regulations 2018 (en cours de réforme). Si vous opérez dans les deux, nous cadrons chaque régime séparément ; nous ne présentons jamais NIS 2 comme une obligation britannique.

Les mesures de cybersécurité qu’attend NIS 2 — en fonctionnement, et attestées.

Préparation à la directive NIS 2 telle que votre État membre la transpose — mesures de gestion des risques, délais de signalement et responsabilité de la direction sur laquelle votre conseil peut s’appuyer.

Demander un échange de cadrage Voir notre méthode

Praticiens seniors uniquement.
Indépendant des éditeurs.
Reporting fondé sur des preuves.

NIS 2 (directive (UE) 2022/2555) a élargi le socle de cybersécurité de l’UE à bien plus de secteurs et a rendu la direction générale personnellement responsable. Mais une directive s’impose par le droit national : vos obligations découlent de la transposition de votre État membre, à son calendrier, sous le contrôle de son autorité.

Nous vous préparons face à cette transposition nationale et maintenons les preuves à jour — sans nous substituer à votre conseil juridique. Nous rattachons chaque mesure à un contrôle que votre équipe peut opérer, présenté pour que l’organe de direction puisse démontrer la supervision que NIS 2 exige désormais de lui. L’interprétation de l’application du droit reste à votre conseil.

Ce qu’exige NIS 2

Mesures de gestion des risques de cybersécurité: Le socle de l’article 21 — analyse des risques, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, traitement des vulnérabilités, cryptographie, contrôle d’accès, et plus — mis en œuvre de façon proportionnée et attesté comme opérationnel.
Signalement des incidents dans les délais: Le processus de l’article 23 vers votre CSIRT ou autorité compétente : une alerte précoce sous 24 heures, une notification d’incident sous 72, et un rapport final sous un mois — conçu pour tenir sous pression.
Responsabilité et gouvernance de la direction: NIS 2 impose aux organes de direction d’approuver et de superviser les mesures, et de se former au risque cyber. Nous en faisons une gouvernance au niveau du conseil, un reporting et une trace de preuves de cette supervision.
Sécurité de la chaîne d’approvisionnement: Évaluer et gérer la sécurité de vos fournisseurs et prestataires — le point sur lequel NIS 2 a le plus appuyé, et là où notre travail sur le risque tiers et la due diligence s’intègre directement.

Périmètre. Nous fournissons des preuves et une préparation à la conformité, pas un conseil juridique — savoir si NIS 2 s’applique à vous, et sous quelle transposition nationale, relève de votre conseil. Nous ne détenons aucune autorité de supervision et n’en revendiquons aucune.

Quand les équipes nous appellent

Les moments les plus fréquents où l’on nous sollicite pour NIS 2 :

La transposition NIS 2 de votre État membre est parue (ou va l’être) et vous devez savoir ce qui s’applique réellement.
Un client ou partenaire d’un secteur essentiel ou important réclame des preuves de vos mesures de cybersécurité.
Le conseil doit démontrer la supervision et la responsabilité que NIS 2 exige désormais de la direction.
Des obligations de sécurité de la chaîne d’approvisionnement vous parviennent d’une grande entité concernée.

Ce que vous recevez

Le dossier de mission HackingByte

Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.

Rapport technique

Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.
Synthèse exécutive des risques

Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.
Plan d’action

Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.

Calendrier

À quoi ressemble une mission de préparation type.

La préparation NIS 2 suit une échéance définie. Une mission représentative s’ouvre sur un diagnostic d’écarts face aux mesures de l’article 21 — généralement quelques semaines — puis des contrôles cartographiés, un modèle de preuves et un plan de remédiation priorisé sur les semaines à quelques mois suivants. Un programme continu maintient ensuite les preuves, la préparation au signalement et la supervision de la chaîne d’approvisionnement, dans un cadre durable.

Nous calons le calendrier sur votre véritable pression — l’attente de votre autorité nationale, le questionnaire d’un client, ou un contrat — et le confirmons lors du cadrage avant tout engagement.

Ce qui nous distingue

Ancré dans la transposition nationale — NIS 2 s’impose par le droit des États membres ; nous travaillons à partir de la transposition qui s’applique réellement à vous, pas de la directive dans l’abstrait.
Éclairé par l’offensif — la même équipe senior qui teste vos défenses conseille sur les mesures, pour que la « gestion des risques » reflète la façon dont les attaques réussissent réellement.
Conçu pour l’organe de direction — les preuves sont façonnées pour que votre conseil puisse démontrer la supervision et la responsabilité que NIS 2 exige désormais, pas seulement cocher une liste de contrôles.

Qui est concerné

Entités essentielles et importantes — sur bien plus de secteurs.

NIS 2 classe les organisations concernées en entités essentielles et importantes — une distinction qui détermine la rigueur de la supervision (proactive pour les essentielles, réactive pour les importantes) et les plafonds de sanction. Le périmètre atteint désormais l’énergie, les transports, la banque et les infrastructures des marchés financiers, la santé, l’eau potable et les eaux usées, les infrastructures numériques, la gestion des services TIC, l’administration publique, l’espace, les services postaux et la gestion des déchets, les produits chimiques, l’alimentation, la fabrication, les fournisseurs numériques et la recherche — généralement pour les moyennes et grandes organisations, certaines entités étant concernées quelle que soit leur taille.

Savoir si vous êtes essentielle, importante, ou hors périmètre — et sous quel État membre — est une détermination juridique. Nous vous aidons à cadrer les obligations et à bâtir les preuves une fois ce point établi.

Sécurité de la chaîne d’approvisionnement

La chaîne d’approvisionnement que NIS 2 a rendue l’affaire de tous.

NIS 2 a fait passer la sécurité de la chaîne d’approvisionnement de la bonne pratique à l’obligation : vous devez évaluer et gérer le risque de cybersécurité de vos fournisseurs et prestataires, ainsi que la qualité de leurs produits et pratiques. Pour la plupart des organisations, cela suppose un véritable processus de risque tiers — pas un questionnaire qui finit classé. Nous bâtissons l’évaluation, les exigences contractuelles et la supervision continue, et lorsqu’un fournisseur le justifie, l’évaluation technique qui étaye le dossier.

Voir nos évaluations de sécurité et due diligence

Questions fréquentes

NIS 2 est-elle une loi à laquelle nous nous conformons directement ?: Pas tout à fait. NIS 2 est une directive de l’UE ; vous vous conformez à la transposition qu’en fait votre État membre, à son calendrier et sous son autorité. Nous travaillons à partir de la transposition qui s’applique à vous.
S’agit-il d’un conseil juridique ?: Non. Nous fournissons des preuves et une préparation à la conformité ; savoir si et comment NIS 2 s’applique à vous est laissé à votre conseil. Nous appuyons ce travail plutôt que de le remplacer.
Nous faisons déjà ISO 27001 / DORA — cela couvre-t-il NIS 2 ?: En grande partie, sur les contrôles — les mesures se recoupent fortement, donc nous cartographions un seul jeu de contrôles entre NIS 2, ISO 27001 et DORA, et chaque obligation devient un exercice de preuve plutôt qu’un programme distinct. Les exigences propres à NIS 2 sont les délais de signalement, la responsabilité de la direction et le périmètre de la chaîne d’approvisionnement.
NIS 2 s’applique-t-elle à nos activités au Royaume-Uni ?: Non — NIS 2 est une directive de l’UE. Le Royaume-Uni a ses propres NIS Regulations 2018 (en cours de réforme). Si vous opérez dans les deux, nous cadrons chaque régime séparément ; nous ne présentons jamais NIS 2 comme une obligation britannique.

Indiquez-nous dans quel État membre vous opérez et la pression que vous subissez — nous cadrerons la préparation NIS 2 face à la transposition qui s’applique réellement.

Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.

Demander un échange de cadrage

Ce qu’exige NIS 2

Mesures de gestion des risques de cybersécurité

Signalement des incidents dans les délais

Responsabilité et gouvernance de la direction