Data Universe
Newsletter
Accueil/Encyclopédie/NIS2 — Directive Cybersécurité UE
🔐Gouvernance & QualitéIntermédiaireRéglementation

NIS2 — Directive Cybersécurité UE

Directive européenne sur la sécurité des réseaux et systèmes d'information. Élargit le périmètre de NIS1 à 18 secteurs critiques et impose des obligations de signalement d'incidents sous 24h.

💡Explication simple

NIS2 remplace NIS1 depuis octobre 2024 et élargit considérablement le champ d'application. Elle couvre 18 secteurs (énergie, transport, banque, santé, eau, infrastructure numérique, espace…) et distingue deux catégories : 'entités essentielles' (grandes organisations dans les secteurs critiques) et 'entités importantes' (taille moyenne). Les obligations incluent : évaluation des risques cyber, mesures de protection, formation des dirigeants, et surtout signalement des incidents en 3 temps — alerte préliminaire sous 24h, notification sous 72h, rapport final sous 1 mois. Pour les équipes data et IT, c'est un nouveau standard de sécurité avec responsabilité personnelle des dirigeants en cas de manquement.

🏗️Exemple concret

Un hôpital régional (entité essentielle NIS2) subit une cyberattaque ransomware le lundi matin. Obligations : alerter l'ANSSI sous 24h (mardi), notifier formellement sous 72h (jeudi), produire un rapport complet sous 1 mois. Le DSI et le DPO sont personnellement responsables si ces délais ne sont pas respectés. La direction doit avoir suivi une formation NIS2 pour être en conformité.

🎯Quand l'utiliser ?

Audit de sécurité d'une organisation dans un secteur critique
Mise en place d'un SOC (Security Operations Center) pour le monitoring
Formation des dirigeants aux obligations légales cyber

✅ Avantages

+Harmonisation des standards de cybersécurité à l'échelle européenne
+Responsabilisation des dirigeants (plus seulement les équipes IT)
+Meilleure résilience des infrastructures critiques

⚠️ Limites

Périmètre très large : beaucoup d'organisations découvrent tardivement qu'elles sont concernées
Coûts de mise en conformité significatifs pour les PME
Délais de signalement (24h) difficiles à tenir en cas de crise

🛠️ Outils principaux

SIEM (Splunk, Microsoft Sentinel)
EDR (CrowdStrike, SentinelOne)
ANSSI MonEspaceNIS2
Tenable (vulnerability management)
RéglementationUECybersécuritéNIS2IncidentsANSSISIEM

Concepts liés

⚖️

AI Act européen — Réglementation de l'IA

Conformité

📊

BCBS 239 — Agrégation des données de risque bancaire

Réglementation

🏛️

Biais algorithmique et fairness

Éthique IA

📋

Data Contract

Gouvernance

← Retour à l'encyclopédie