Questions fréquentes, réponses claires.

NIS2 est entrée en vigueur le 17 octobre 2024. Les États membres devaient la transposer à cette date. L’application nationale varie d’un pays à l’autre, mais les obligations de fond s’appliquent désormais aux entités concernées.

Les entités essentielles opèrent dans les secteurs les plus critiques (énergie, transports, banque, santé, administration publique au-dessus des seuils, etc.) et font l’objet d’une supervision ex ante. Les entités importantes relèvent d’une supervision ex post mais sont soumises au même socle d’obligations au titre de l’article 21.

NIS2 s’applique généralement aux entités moyennes et grandes (>50 salariés ou >10 M€ de chiffre d’affaires) dans les secteurs couverts. Certaines entités sont dans le périmètre quelle que soit leur taille — fournisseurs DNS, registres TLD et certains prestataires critiques.

Jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial annuel pour les entités essentielles, le montant le plus élevé étant retenu. Jusqu’à 7 M€ ou 1,4 % pour les entités importantes. Les dirigeants peuvent être tenus personnellement responsables.

Non. NIS2 n’impose la notification que des incidents importants — ceux qui ont causé ou peuvent causer une perturbation opérationnelle grave ou une perte financière, ou qui ont affecté d’autres personnes physiques ou morales.

Ces textes se chevauchent mais couvrent des angles différents. Le RGPD protège les données personnelles. DORA cible le secteur financier spécifiquement. Le CRA couvre les produits comportant des éléments numériques. NIS2 fixe le socle d’obligations cybersécurité pour les organisations concernées dans 18 secteurs.