Conformité NIS2, de bout en bout. Opérée, pas seulement documentée.
La directive européenne NIS2 oblige les entités essentielles et importantes à mettre en œuvre dix mesures de cybersécurité, à signaler les incidents sous 24 heures et à rendre la direction personnellement responsable. CloudSoul livre les mesures, produit les preuves et dépose les rapports.
Êtes-vous dans le périmètre ?
Entités essentielles
Grands ou moyens opérateurs dans des secteurs classés hautement critiques : énergie, transport, banque, santé, eau potable, infrastructure numérique, administration publique, espace.
Supervision proactive. Plafond de sanctions complet.
Entités importantes
Entités moyennes et grandes dans d’autres secteurs critiques : postal, gestion des déchets, chimie, alimentation, fabrication de produits critiques, fournisseurs numériques, recherche.
Supervision réactive. Plafond de sanctions réduit.
La plupart des opérateurs UE de taille intermédiaire avec plus de 50 salariés dans un secteur couvert seront dans le périmètre, en tant qu’essentiels ou importants. La classification précise dépend du secteur, de la taille, du chiffre d’affaires et de la criticité de l’infrastructure exploitée.
Les mesures que vous devez mettre en œuvre.
La directive exige des mesures de gestion des risques (Article 21), une responsabilité au niveau du conseil d’administration (Article 20) et un signalement rapide des incidents (Article 23). CloudSoul couvre chaque ligne.
| Art. | Mesure | Ce que dit la directive (en clair) | Comment CloudSoul la livre |
|---|---|---|---|
| 21(a) | Analyse des risques et politiques de sécurité | Établir des politiques écrites couvrant l’analyse des risques et la sécurité des systèmes d’information. | Le Compliance Core fournit des modèles de politiques pré-construits mappés à NIS2. Le registre des risques est configuré pendant l’onboarding et se met à jour en continu. |
| 21(b) | Gestion des incidents | Détecter, classifier, contenir, récupérer et tirer des leçons des incidents de cybersécurité. | Notre SOC 24/7 ingère les signaux SIEM et EDR, les trie et agit. Le rapport post-incident et les leçons apprises sont consignés dans le moteur de preuves. |
| 21(c) | Continuité d’activité et gestion de crise | Maintenir des sauvegardes, tester la restauration et disposer d’un plan de gestion de crise. | La surveillance des sauvegardes confirme l’atteinte des RPO. Les plans BCP/DRP sont versionnés et testés régulièrement. |
| 21(d) | Sécurité de la chaîne d’approvisionnement | Évaluer et surveiller les risques de sécurité liés aux fournisseurs et prestataires directs. | Évaluations des fournisseurs, surveillance de la posture, alertes d’incidents de la chaîne d’approvisionnement. Suit chaque fournisseur de votre graphe de dépendances. |
| 21(e) | Acquisition, développement et maintenance sécurisés | Intégrer la sécurité dans les achats, le développement et la maintenance, y compris la gestion et la divulgation des vulnérabilités. | Scan continu des vulnérabilités, surveillance des correctifs et CSPM. Les résultats alimentent automatiquement le plan d’action. |
| 21(f) | Évaluation de l’efficacité | Disposer de politiques et procédures pour évaluer si vos mesures de cybersécurité fonctionnent réellement. | Tests de contrôle récurrents, tableaux de bord KPI et rapports d’audit prêts. Votre plan d’alignement se met à jour automatiquement. |
| 21(g) | Hygiène informatique et formation | Former le personnel aux pratiques de base de cybersécurité, y compris la sensibilisation au phishing. | Simulation de phishing, suivi de la formation, formation NIS2 pour les dirigeants. Dossiers de complétion automatiquement attachés. |
| 21(h) | Cryptographie et chiffrement | Utiliser la cryptographie de manière appropriée, y compris le chiffrement le cas échéant. | Surveillance de la posture de chiffrement (en transit, au repos), suivi de la rotation des clés, inventaire des certificats. Les écarts apparaissent comme risques. |
| 21(i) | Sécurité RH, contrôle d’accès et gestion des actifs | Vérifications d’antécédents, contrôle d’accès basé sur les rôles et inventaire complet des actifs. | Surveillance IAM, workflows arrivée/changement/départ, découverte et inventaire des actifs alignés sur votre profil IT. |
| 21(j) | MFA et communications sécurisées | Utiliser l’authentification multifactorielle et les communications voix / vidéo / texte sécurisées le cas échéant. | Analyse de la couverture MFA dans tout votre IT, inventaire des communications sécurisées, rapports d’écart. Les recommandations apparaissent dans le plan d’action. |
| 20 | Responsabilité managériale | Les conseils approuvent les mesures de cybersécurité et supervisent leur mise en œuvre. Les membres encourent une responsabilité personnelle. | Pack pour le conseil généré automatiquement : posture de risque, couverture des contrôles, risque résiduel, journal des décisions. Signature consignée. |
| 23 | Notification d’incident (24h / 72h / 1 mois) | Signaler les incidents significatifs en trois étapes : alerte précoce sous 24h, notification complète sous 72h, rapport final sous 1 mois. | Auto-classification de la significativité. Modèles de soumission spécifiques par État membre pré-construits. Trace de soumission CSIRT capturée dans le moteur de preuves. |
Consulter la directive sur le site de la Commission européenne →
Trois horloges à ne pas manquer.
CloudSoul gère l’horloge. La classification est automatique. Les modèles régulateur sont préconfigurés par État membre. La piste de soumission est captée par le moteur de preuves.
Incident détecté
La classification démarre.
Alerte précoce
Au CSIRT / autorité compétente. Description initiale uniquement.
Notification complète
Impact, indicateurs, gravité, mesures de mitigation appliquées.
Rapport final
Retours d’expérience, remédiation, risque résiduel.
Le coût de la non-conformité.
Sanction maximale pour les entités essentielles, le plus élevé des deux, appliqué au chiffre d’affaires annuel mondial.
Sanction maximale pour les entités importantes.
Les organes de direction approuvent et supervisent les mesures cyber.
Conçu spécifiquement pour cette réglementation.
Données opérées en UE
Siège au Luxembourg, hébergement UE uniquement, aucune exposition au US Cloud Act. Pour beaucoup d’entités NIS2, c’est une contrainte ferme.
Nous vous prenons là où vous êtes
Cloud-native dès le lancement. Déploiements hybrides et on-premise disponibles sur demande pour les opérateurs aux contraintes spécifiques.
Opéré, pas documenté
CloudSoul opère le SIEM, le SOC, les scans, les simulations, et produit les preuves comme sous-produit. Les éditeurs GRC vous donnent une checklist ; CloudSoul fait tourner les contrôles.
Multi-référentiel
NIS2 aujourd’hui. Ajoutez ISO 27001 ou DORA d’un seul interrupteur, vos contrôles existants se mappent automatiquement.
Déjà certifié ISO 27001 ? Vous êtes proche, pas arrivé.
ISO 27001 vous donne l’essentiel des 10 mesures.
Les mesures de l’article 21 recoupent largement les contrôles de l’Annexe A de l’ISO 27001. Si vous avez déjà une implémentation ISO 27001 vivante, vous couvrez probablement 70 à 80 % des exigences techniques NIS2.
NIS2 ajoute quatre lacunes que l’ISO 27001 ne comble pas.
Responsabilité personnelle de la direction (art. 20). Workflow de signalement 24h/72h/1 mois (art. 23). Profondeur du suivi de la chaîne d’approvisionnement (art. 21(d)). Reporting juridictionnel : chaque État membre a son CSIRT et son format de soumission.
Questions.
Mon organisation est-elle dans le champ d’application de NIS2 ?
Si vous opérez dans l’un des 18 secteurs critiques listés aux Annexes I et II ET disposez d’au moins 50 employés ou 10 M€ de chiffre d’affaires annuel, vous êtes probablement concerné, comme entité essentielle ou importante. Certains fournisseurs d’infrastructure numérique sont concernés indépendamment de la taille.
Quelle est la différence entre entités essentielles et importantes ?
Les entités essentielles (Annexe I, par ex. énergie, transport, santé) font l’objet d’une supervision proactive et de la tranche d’amendes supérieure : jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial. Les entités importantes (Annexe II, par ex. postal, alimentation, fabrication) ont une supervision réactive et une tranche réduite : jusqu’à 7 M€ ou 1,4 %.
Dans quel délai dois-je signaler un incident ?
L’Article 23 impose trois échéances : une alerte précoce sous 24h, une notification complète sous 72h, et un rapport final sous 1 mois. CloudSoul classifie automatiquement la significativité et pré-construit les modèles de soumission par État membre, pour que le chrono ne soit plus votre problème.
Nous sommes déjà certifiés ISO 27001. Sommes-nous conformes NIS2 ?
ISO 27001 couvre environ 70-80% des exigences techniques de l’Article 21 NIS2. Les quatre lacunes restantes sont : la responsabilité personnelle des dirigeants (Art. 20), le workflow de notification 24h/72h/1 mois (Art. 23), la profondeur de surveillance de la chaîne d’approvisionnement (Art. 21(d)), et les formats de notification CSIRT par État membre.
Quelles sont les amendes en cas de non-conformité NIS2 ?
Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le plus élevé) pour les entités essentielles ; jusqu’à 7 millions d’euros ou 1,4 % pour les entités importantes. Les États membres peuvent également suspendre des certifications et imposer des interdictions temporaires de gestion.
Devons-nous déployer les outils NIS2 sur site ?
Non. CloudSoul est cloud-native et fonctionne sur une infrastructure UE. Des options hybrides et on-premise sont disponibles sur demande pour les opérateurs avec des contraintes spécifiques de résidence des données ou d’air-gap.
Combien de temps prend la mise en œuvre NIS2 avec CloudSoul ?
Du contrat signé à la conformité opérationnelle, comptez généralement 4 à 8 semaines pour les organisations cloud-first. L’onboarding produit le plan d’alignement la première semaine ; le déploiement des modules et la prise en main par le SOC s’étalent sur les semaines suivantes. Risque et conformité est actif dès le premier jour.
Quand l’application de NIS2 commence-t-elle réellement ?
NIS2 devait être transposée en droit national d’ici le 17 octobre 2024, et l’application par les États membres est désormais active dans toute l’UE. Les dates spécifiques d’application et les autorités compétentes varient selon les pays ; votre autorité compétente est généralement le CSIRT national ou un régulateur sectoriel.
Appel de 30 minutes · Inclut la classification du périmètre · Sans slides.