Directive EU 2022/2555 · Transposition française en cours

NIS2 : Vous n'êtes peut-être pas directement concerné.
Vos clients, eux, le sont.

La directive NIS2 impose des exigences de cybersécurité à des milliers d'entreprises européennes — et par extension, à tous leurs sous-traitants. Si vos clients sont dans les secteurs financier, juridique, de la santé ou des infrastructures critiques, votre niveau de sécurité devient leur problème.

Vérifier ma conformité →

Ce que dit le texte

Les trois piliers de NIS2

NIS2 repose sur trois obligations centrales. Même si vous n'êtes pas directement régulé, vos clients soumis à NIS2 vous demanderont de prouver que vous les respectez.

🛡️

Mesures de gestion des risques

Art. 21

Politiques d'analyse des risques et de sécurité du SI documentées
Gestion des incidents : détection, confinement, rétablissement
Continuité d'activité : sauvegardes, reprise d'activité, gestion de crise
Sécurité de la chaîne d'approvisionnement — vous devez évaluer vos fournisseurs
Authentification multifacteur (MFA) et contrôle d'accès stricts
Chiffrement des données sensibles au repos et en transit

🚨

Notification des incidents

Art. 23

Alerte précoce sous 24h à l'ANSSI — dès qu'un incident significatif est suspecté
Notification détaillée sous 72h — nature de l'incident, systèmes affectés, évaluation de l'impact
Rapport final sous 1 mois — analyse complète, mesures prises, enseignements
La fenêtre des 24h commence dès la détection — pas la confirmation

⚖️

Responsabilité des dirigeants

Art. 20

Les organes de direction approuvent les mesures de cybersécurité et en supervise la mise en œuvre
En cas d'incident grave par manquement aux obligations, la responsabilité personnelle du dirigeant peut être engagée
Obligation de formation aux risques cyber pour les dirigeants
La délégation à un prestataire ne décharge pas le dirigeant de sa responsabilité

Texte officiel : Directive NIS2 — ANSSI / cyber.gouv.fr

Ce que SysZen couvre

Les mesures techniques NIS2, déployées et maintenues

L'essentiel des exigences de l'Art. 21 repose sur des mesures techniques. SysZen les met en place et les documente — pour que vous puissiez répondre à n'importe quel questionnaire de sécurité client.

ZenCore

Sécurité du SI & gestion des risques

Art. 21

Déploiement du MFA sur toutes vos ressources — exigence explicite de l'Art. 21-2-j
Gestion des droits d'accès et des identités : principe du moindre privilège
Hardening et surveillance continue de la configuration de votre SI
Gestion des correctifs et des vulnérabilités sur l'environnement M365
Documentation des mesures de sécurité en place — prête pour vos questionnaires clients
Plan de réponse à incident pour contenir et documenter dans la fenêtre des 24h

ZenContinuity

Continuité d'activité & résilience

Art. 21-2-c

Plan de continuité d'activité (PCA) documenté et maintenu à jour
Sauvegardes automatisées, chiffrées et testées régulièrement
Environnement de reprise prêt à basculer — RTO et RPO définis et contractuels
Simulation de crise annuelle incluse — preuve de tests pour vos audits clients

ZenWatch

Détection & alerte précoce 24h

Art. 23

Surveillance continue de vos adresses email et domaine pour détecter les compromissions
Alerte immédiate dès la détection d'un incident — vous avez la fenêtre des 24h devant vous
Historique des alertes conservé — constitue le registre d'incidents requis par NIS2
Rapport d'incident structuré pour accompagner vos démarches de notification ANSSI

Hors périmètre SysZen

Ce qui reste à votre charge

SysZen couvre la couche technique. Ces éléments organisationnels et documentaires restent de votre responsabilité — ou de celle de votre conseil juridique ou RSSI.

Obligations non couvertes par SysZen

L'analyse formelle des risques de votre SI — document structuré exigé par NIS2
La complétion des questionnaires de sécurité de vos clients — SysZen vous fournit la documentation technique, vous restez propriétaire des réponses
La gestion formelle de la chaîne de sous-traitance : contrats, audits fournisseurs
La désignation d'un responsable de la sécurité SI (RSSI ou équivalent)
Les formations NIS2 réglementaires pour la direction et les équipes
Les déclarations formelles d'incidents auprès de l'ANSSI si vous êtes entité régulée
Le suivi de la transposition française — les textes d'application sont en cours de publication

💡 Notre PSSI personnalisée vous donne une longueur d'avance : elle intègre les mesures techniques exigées par NIS2 et constitue une base documentaire directement utilisable pour vos questionnaires clients. Télécharger la PSSI personnalisée →

Sans conformité

Ce que vous risquez concrètement

NIS2 distingue deux catégories d'entités avec des plafonds différents. La transposition française confie la supervision à l'ANSSI.

💶

Jusqu'à 10 M€

ou 2 % du CA mondial — entités essentielles

Les entités essentielles (énergie, transports, banque, santé, eau, infrastructure numérique…) sont soumises aux sanctions les plus élevées. La responsabilité personnelle des dirigeants peut s'y ajouter en cas de manquement caractérisé.

💶

Jusqu'à 7 M€

ou 1,4 % du CA mondial — entités importantes

Les entités importantes (services postaux, gestion des déchets, chimie, recherche, agroalimentaire…) sont soumises à un régime légèrement moins sévère mais restent exposées à des sanctions significatives et à la publication des décisions.

🔗

Perte de contrats

pour les sous-traitants non conformes

Si vous êtes sous-traitant d'une entité NIS2, votre client a l'obligation d'évaluer votre niveau de sécurité. Un niveau insuffisant peut conduire à la résiliation du contrat — sans qu'une sanction réglementaire directe soit nécessaire.