{"id":24930,"date":"2025-09-03T14:31:03","date_gmt":"2025-09-03T14:31:03","guid":{"rendered":"https:\/\/rgpd.com\/liste-de-controle-des-exigences-du-nis2\/"},"modified":"2025-09-23T13:20:13","modified_gmt":"2025-09-23T13:20:13","slug":"liste-de-controle-des-exigences-du-nis2","status":"publish","type":"page","link":"https:\/\/rgpd.com\/fr\/liste-de-controle-des-exigences-du-nis2\/","title":{"rendered":"Liste de contr\u00f4le des exigences du NIS2"},"content":{"rendered":"\n

La directive sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l’information (NIS2)<\/a> est une directive de l’UE concernant la cybers\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d’information. Les organisations class\u00e9es comme essentielles ou importantes<\/a> dans la directive NIS2 doivent se conformer \u00e0 ses r\u00e8gles. <\/p>\n\n

Qui doit se conformer au NIS2 ?<\/h2>\n\n

Les organisations class\u00e9es comme essentielles ou importantes sont essentiellement celles qui fournissent des services ou des produits dont d\u00e9pend le bon fonctionnement de la soci\u00e9t\u00e9. Il peut s’agir d’organisations appartenant \u00e0 des secteurs tels que les transports, l’approvisionnement en eau, l’approvisionnement en \u00e9nergie, la gestion des d\u00e9chets, etc. <\/p>\n\n

En r\u00e8gle g\u00e9n\u00e9rale, seules les organisations class\u00e9es comme essentielles ou importantes et employant au moins 50 personnes ou ayant un chiffre d’affaires annuel ou un bilan de plus de 10 millions d’euros sont soumises \u00e0 la NIS2. Les organisations plus petites peuvent \u00e9galement relever de la NIS2 si elles rev\u00eatent une importance particuli\u00e8re pour la soci\u00e9t\u00e9 ou l’\u00e9conomie, par exemple si elles sont le seul fournisseur d’un service essentiel. <\/p>\n\n

Gestion des risques<\/h2>\n\n

L‘article 21, paragraphe 1, du r\u00e8glement NIS2<\/a> vous oblige \u00e0 adopter une approche fond\u00e9e sur le risque et \u00e0 mettre en \u0153uvre les mesures de s\u00e9curit\u00e9 n\u00e9cessaires pour prot\u00e9ger vos services importants en fonction du risque auquel ils sont expos\u00e9s. Ce sont donc les circonstances sp\u00e9cifiques de votre organisation qui d\u00e9terminent les mesures de s\u00e9curit\u00e9 que vous devez mettre en \u0153uvre. <\/p>\n\n

La gestion des risques<\/a> devient donc le fondement de votre conformit\u00e9 au NIS2, et vous devez d\u00e9velopper et mettre en \u0153uvre une m\u00e9thodologie d’\u00e9valuation des risques adapt\u00e9e \u00e0 votre organisation. Quelle que soit votre m\u00e9thode d’\u00e9valuation des risques, vous devez mettre en \u0153uvre les exigences minimales. <\/p>\n\n

Configuration minimale du NIS2<\/h2>\n\n

L‘article 21, paragraphe 2, de la NIS2 contient une s\u00e9rie d’exigences minimales<\/a> que toutes les organisations doivent respecter, quelle que soit leur \u00e9valuation des risques. Vous trouverez ci-dessous une br\u00e8ve introduction \u00e0 ces exigences minimales. <\/p>\n\n

Politique de gestion des risques et de s\u00e9curit\u00e9 de l’information<\/h3>\n\n

Votre organisation doit disposer d’une politique de s\u00e9curit\u00e9 de l’information claire et fond\u00e9e sur les risques. Cette politique d\u00e9finit le cadre de votre gestion de la s\u00e9curit\u00e9 et garantit que vos mesures sont adapt\u00e9es \u00e0 vos risques, \u00e0 vos objectifs commerciaux et \u00e0 vos obligations l\u00e9gales. <\/p>\n\n

Lisez le guide NIS2 : Gestion des risques et politique de s\u00e9curit\u00e9 de l’information<\/a>.<\/p>\n\n

Traitement des incidents<\/h3>\n\n

Vous devez \u00eatre en mesure de d\u00e9tecter les incidents, de les signaler et d’y r\u00e9pondre. Cela signifie que vous devez disposer de proc\u00e9dures claires pour identifier les incidents, analyser leur impact, r\u00e9tablir les op\u00e9rations et tirer les le\u00e7ons de ce qui s’est pass\u00e9 afin d’\u00e9viter que des probl\u00e8mes similaires ne se reproduisent \u00e0 l’avenir. <\/p>\n\n

Lisez le guide NIS2 : Gestion des incidents<\/a>.<\/p>\n\n

Continuit\u00e9 des activit\u00e9s<\/h3>\n\n

Le NIS2 exige que vous vous pr\u00e9pariez \u00e0 des perturbations. La planification de la continuit\u00e9 des activit\u00e9s garantit que vos op\u00e9rations essentielles peuvent se poursuivre en cas de crise et que les syst\u00e8mes et les services peuvent \u00eatre r\u00e9tablis de mani\u00e8re contr\u00f4l\u00e9e et en temps voulu. <\/p>\n\n

Lisez le guide NIS2 : Continuit\u00e9 des affaires<\/a>.<\/p>\n\n

S\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/h3>\n\n

Vos fournisseurs et prestataires de services peuvent constituer un maillon faible s’ils ne sont pas g\u00e9r\u00e9s correctement. Vous devez \u00e9valuer les risques dans votre cha\u00eene d’approvisionnement, d\u00e9finir des exigences de s\u00e9curit\u00e9 claires dans les contrats et vous assurer que les fournisseurs coop\u00e8rent avec vous en cas d’incident. <\/p>\n\n

Lisez le guide NIS2 : S\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/a>.<\/p>\n\n

Acquisition, d\u00e9veloppement et maintenance<\/h3>\n\n

La s\u00e9curit\u00e9 doit \u00eatre int\u00e9gr\u00e9e dans vos syst\u00e8mes et services informatiques tout au long de leur cycle de vie, depuis l’acquisition et le d\u00e9veloppement jusqu’\u00e0 l’exploitation quotidienne et l’\u00e9limination finale. Cela inclut l’application de correctifs, une configuration s\u00e9curis\u00e9e et l’application de bonnes pratiques telles que la s\u00e9curit\u00e9 d\u00e8s la conception (Security by Design). <\/p>\n\n

Lisez le guide NIS2 : Acquisition, d\u00e9veloppement et maintenance<\/a>.<\/p>\n\n

Efficacit\u00e9 des mesures<\/h3>\n\n

Il ne suffit pas de mettre en place des mesures de s\u00e9curit\u00e9, encore faut-il qu’elles fonctionnent. Vous devez r\u00e9guli\u00e8rement tester et \u00e9valuer l’efficacit\u00e9 de vos mesures, notamment au moyen de tests techniques, d’examens et d’audits, et les am\u00e9liorer lorsque des faiblesses sont constat\u00e9es. <\/p>\n\n

Lisez le guide NIS2 : Efficacit\u00e9 des mesures<\/a>.<\/p>\n\n

Formation \u00e0 la cyberhygi\u00e8ne et \u00e0 la cybers\u00e9curit\u00e9<\/h3>\n\n

Les pratiques de s\u00e9curit\u00e9 de base, telles que les correctifs, les sauvegardes, la protection contre les logiciels malveillants et l’authentification forte, doivent faire partie de vos activit\u00e9s quotidiennes. Vos employ\u00e9s ont \u00e9galement besoin d’une formation r\u00e9guli\u00e8re pour comprendre les risques, suivre les meilleures pratiques et savoir comment agir en cas d’incident. <\/p>\n\n

Lisez le guide NIS2 : Formation \u00e0 la cyberhygi\u00e8ne et \u00e0 la cybers\u00e9curit\u00e9<\/a>.<\/p>\n\n

Cryptographie<\/h3>\n\n

Votre organisation doit prot\u00e9ger la confidentialit\u00e9, l’int\u00e9grit\u00e9 et l’authenticit\u00e9 des donn\u00e9es \u00e0 l’aide de mesures cryptographiques solides. Cela signifie qu’elle doit \u00e9tablir des r\u00e8gles claires sur les normes de cryptage, la gestion des cl\u00e9s et l’utilisation s\u00e9curis\u00e9e de la cryptographie en fonction de l’\u00e9valuation des risques et de la classification des actifs. <\/p>\n\n

Lisez le guide NIS2 : NIS2 & Cryptographie<\/a>.<\/p>\n\n

Ressources humaines S\u00e9curit\u00e9, contr\u00f4le d’acc\u00e8s et gestion des actifs<\/h3>\n\n

Les personnes, l’acc\u00e8s et les biens sont au c\u0153ur de la s\u00e9curit\u00e9. Vos employ\u00e9s doivent comprendre leurs responsabilit\u00e9s, l’acc\u00e8s doit \u00eatre contr\u00f4l\u00e9 et examin\u00e9, et vos actifs doivent \u00eatre class\u00e9s, suivis et prot\u00e9g\u00e9s tout au long de leur cycle de vie. <\/p>\n\n

Lisez le guide NIS2 : S\u00e9curit\u00e9 des ressources humaines, contr\u00f4le d’acc\u00e8s et gestion des actifs<\/a>.<\/p>\n\n

Authentification multifactorielle et syst\u00e8mes de communication d’urgence<\/h3>\n\n

Pour r\u00e9duire le risque d’acc\u00e8s non autoris\u00e9, vous devez prot\u00e9ger les syst\u00e8mes et les donn\u00e9es critiques par une authentification multifactorielle. Vous devez \u00e9galement garantir une communication fiable \u00e0 tout moment, y compris en cas d’urgence, en pr\u00e9servant la confidentialit\u00e9, l’int\u00e9grit\u00e9 et la disponibilit\u00e9. <\/p>\n\n

Lisez le guide NIS2 : Authentification multifactorielle et syst\u00e8mes de communication d’urgence<\/a>.<\/p>\n\n

NIS2 Gouvernance de la cybers\u00e9curit\u00e9<\/h2>\n\n

Historiquement, les mesures de cybers\u00e9curit\u00e9 ont \u00e9t\u00e9 n\u00e9glig\u00e9es par la direction g\u00e9n\u00e9rale et laiss\u00e9es \u00e0 la charge du personnel informatique.<\/p>\n\n

L‘article 20, paragraphe 1, de la NIS2<\/a> change cette situation en exigeant que l’encadrement sup\u00e9rieur approuve les mesures de gestion du risque de cybers\u00e9curit\u00e9 prises par l’organisation. L’encadrement sup\u00e9rieur doit s’assurer que ces mesures sont suffisantes et efficaces pour r\u00e9duire les risques \u00e0 un niveau acceptable. Ils sont \u00e9galement tenus de superviser la mise en \u0153uvre de ces mesures et peuvent \u00eatre tenus pour responsables en cas de non-respect. <\/p>\n\n

Lisez le guide NIS2 : NIS2 Cybersecurity Governance<\/a>.<\/p>\n\n

Formation \u00e0 la gestion du NIS2<\/h2>\n\n

La NIS2 va plus loin \u00e0 l’article 20, paragraphe 2, qui exige que les cadres sup\u00e9rieurs re\u00e7oivent une formation en mati\u00e8re de cybers\u00e9curit\u00e9. Cette formation doit leur permettre d’identifier les risques, d’\u00e9valuer les pratiques de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et de comprendre leur impact sur les services essentiels. <\/p>\n\n

Lisez le guide NIS2 : Formation \u00e0 la gestion du NIS2<\/a>.<\/p>\n\n

Obligations de d\u00e9claration<\/h2>\n\n

Votre organisation doit signaler au CSIRT national, dans les plus brefs d\u00e9lais, les incidents<\/a> qui ont un impact significatif sur la fourniture de ses services critiques. Dans un premier temps, une alerte rapide peut \u00eatre donn\u00e9e dans les 24 heures et, dans les 72 heures, une \u00e9valuation initiale doit \u00eatre communiqu\u00e9e. Un rapport d’incident final doit \u00eatre remis au CSIRT dans un d\u00e9lai d’un mois \u00e0 compter de l’incident. <\/p>\n\n

L’organisme doit \u00e9galement informer les destinataires de ce service de la mani\u00e8re dont l’incident pourrait affecter la fourniture du service, et des mesures ou rem\u00e8des qu’ils pourraient prendre en r\u00e9ponse \u00e0 l’incident. <\/p>\n\n

Sanctions et responsabilit\u00e9<\/h2>\n\n

Enfin, il est important de respecter les exigences du NIS2, car il s’agit d’une loi. Cependant, vous devez \u00e9galement savoir que les cadres sup\u00e9rieurs peuvent \u00eatre tenus personnellement responsables du non-respect de la NIS2<\/a>. Votre organisation peut se voir infliger une amende allant jusqu’\u00e0 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les organisations essentielles, et jusqu’\u00e0 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les organisations importantes. <\/p>\n\n

Pour vous conformer au NIS2, vous trouverez une aide pr\u00e9cieuse dans les guides mentionn\u00e9s dans cet article.<\/p>\n","protected":false},"excerpt":{"rendered":"

La directive sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l’information 2 (NIS2) est une directive de l’UE concernant la cybers\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d’information. <\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"class_list":["post-24930","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/rgpd.com\/fr\/wp-json\/wp\/v2\/pages\/24930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/rgpd.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/rgpd.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/rgpd.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/rgpd.com\/fr\/wp-json\/wp\/v2\/comments?post=24930"}],"version-history":[{"count":0,"href":"https:\/\/rgpd.com\/fr\/wp-json\/wp\/v2\/pages\/24930\/revisions"}],"wp:attachment":[{"href":"https:\/\/rgpd.com\/fr\/wp-json\/wp\/v2\/media?parent=24930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}