FAQ » Directive NIS2
Comment savoir si mon entreprise est une entité essentielle ou importante ?

L’ANSSI met à disposition un simulateur en ligne sur le portail MonEspaceNIS2 (monespacement2.cyber.gouv.fr). Il permet une première évaluation indicative selon votre secteur (code NAF) et votre taille. Ce simulateur reste indicatif : une analyse au cas par cas reste nécessaire, notamment pour les groupes et les sous-traitants de premier rang.

NIS2 s’applique-t-il à mes automates et à mon réseau terrain, ou seulement à mon réseau informatique ?

Les deux. NIS2 ne fait pas de distinction entre IT et OT : les obligations de gestion des risques, de continuité d’activité et de signalement s’appliquent à l’ensemble des systèmes d’information, y compris les systèmes de contrôle-commande industriels (automates, SCADA, IHM, réseaux terrain). C’est précisément ce qui rend NIS2 structurellement différente de la plupart des réglementations cybersécurité antérieures.

Quelle est la différence entre NIS2, le CRA et le Règlement Machine pour mon usine ?

Les trois textes sont complémentaires et ciblent des acteurs différents. NIS2 s’adresse aux exploitants : vous, en tant qu’entreprise qui opère des systèmes industriels. Le CRA s’adresse aux fabricants : les constructeurs des automates, IHM et équipements connectés que vous achetez. Le Règlement Machine s’adresse aux fabricants et intégrateurs de machines, avec un volet sur la cybersécurité de conception. Une démarche coordonnée sur les trois textes est plus efficace et moins coûteuse qu’une approche en silos.

Mon équipement industriel date de 2015 et n’a jamais été mis à jour. Que faire ?

Les équipements anciens (legacy) sont le point sensible de NIS2 dans l’industrie. Ils ne peuvent souvent pas atteindre les niveaux de sécurité requis — protocoles non chiffrés, pas de mécanismes d’authentification, impossibilité d’appliquer des correctifs. La norme IEC 62443 prévoit des mesures compensatoires documentées pour ces équipements : segmentation réseau renforcée, surveillance accrue, isolation de la zone concernée. Ce n’est pas une solution idéale, mais c’est une réponse pragmatique et défendable.

Quelle norme technique permet de démontrer la conformité NIS2 pour les systèmes industriels ?

La référence technique pour les systèmes OT est la série de normes IEC 62443 (Security for Industrial Automation and Control Systems). L’approche recommandée est de viser le niveau SL2 (Security Level 2) pour la plupart des fabricants industriels classés entités importantes, et SL3 pour les entités essentielles des secteurs énergie, transports, santé et eau. Ces niveaux correspondent à une protection contre les attaques intentionnelles disposant de moyens et de motivation limités (SL2) à significatifs (SL3).

La direction est-elle vraiment responsable personnellement ?

Oui, c’est l’une des nouveautés les plus importantes de NIS2. Les membres de la direction des entités régulées peuvent être tenus personnellement responsables en cas de non-conformité grave ou de négligence avérée dans la mise en place des mesures requises. Cette responsabilité personnelle rend impossible de traiter NIS2 comme un simple projet technique délégué à la DSI ou à un prestataire externe.

Quelles sont les sanctions concrètes en cas de non-conformité ?

Pour les entités essentielles : jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial annuel. Pour les entités importantes : jusqu’à 7 M€ ou 1,4 % du CA mondial. Au-delà des amendes, l’ANSSI peut imposer des mesures correctives contraignantes, des audits, voire des restrictions d’activité pour les entités qui présentent un risque systémique avéré.

Un besoin de prestation sur la Directive NIS2 ?

Contactez-nous directement, nous vous répondons sous 4h en semaines !

Nous Écrire

Retour en haut