Diagnostic & Mise en Conformité NIS 2

NIS 2 : Votre entreprise est-elle prête à affronter ses nouvelles obligations ?

Q: Quelle différence entre Entité Essentielle et Importante ?

Entité Essentielle (EE) : Principalement les grandes entreprises des secteurs de l’Annexe I.Entité Importante (EI) : Principalement les moyennes entreprises de l’Annexe I et les entreprises (moyennes et grandes) de l’Annexe II.

Ne laissez pas la conformité paralyser votre activité. Diagnostic, cartographie et plan d'action sous 10 jours par un ExpertCyber.

Êtes-vous une Entité Essentielle (EE) ou Importante (EI) ?

La directive NIS 2 élargit considérablement le périmètre des entreprises régulées. Ne pas se conformer, c’est engager la responsabilité pénale du dirigeant et s’exposer à des sanctions lourdes. En tant qu’experts, nous vous aidons à :

Identifier votre statut exact.
Lister vos activités critiques et les Systèmes d’Information (SI) associés (Objectif 1).
Justifier les exclusions pour les systèmes non critiques, comme exigé par l’ANSSI.

Le Diagnostic Flash NIS 2

Nous avons conçu une intervention pragmatique, basée strictement sur le Référentiel ANSSI, pour vous donner une vision claire en moins de 10 jours.

Phase 1 : Cartographie de l'Écosystème

Nous recensons vos fournisseurs et interconnexions (Objectif 3) pour sécuriser votre chaîne d'approvisionnement, souvent le maillon faible.

Phase 2 : Audit des 4 Piliers de Sécurité

Nous évaluons votre maturité sur les axes définis par l'ANSSI:
-Gouvernance : Rôles, responsabilités du dirigeant et PSSI (Objectif 2).
-Protection : Hygiène informatique, gestion des accès (Objectif 10) et maintenance sécurisée (Objectif 5).M
-Défense : Capacité à détecter et gérer les incidents de sécurité (Objectif 12).
-Résilience : Gestion de crise et continuité d'activité (Objectifs 13 & 14).

Phase 3 : La Feuille de Route Budgétée

Vous recevez un plan d'action priorisé ("Quick Wins" vs projets de fond) et une estimation financière pour atteindre la conformité.

Pourquoi choisir Exeo (ExpertCyber) pour votre conformité ?

Méthodologie Officielle

Nous n'inventons rien. Nous appliquons les 20 objectifs de sécurité de l'ANSSI , adaptés à votre taille.

Approche Proportionnée

Nous distinguons les exigences pour les Entités Importantes (EI) et Essentielles (EE), notamment sur l'analyse de risque (Objectif 16) et l'audit (Objectif 17), qui sont spécifiques aux EE.

Sécurité Opérationnelle

Au-delà du papier, nous sécurisons le concret : administration dédiée, MFA, et sauvegardes immuables.

Etes-vous concernés?

Voici un tableau qui vous permettra de vous identifier rapidement basé sur 2 paramètres:

La taille de l’entreprise
Votre secteur d’activité.

Secteur	Petite (<50 sal. ET ≤10M€ CA)	Moyenne (50-249 sal. OU 10-50M€ CA)	Grande (≥250 sal. OU >50M€ CA)
Secteurs Annexe I *	Non concerné ***	Entité Importante (EI)	Entité Essentielle (EE)
Secteurs Annexe II **	Non concerné ***	Entité Importante (EI)	Entité Importante (EI)

* Quels sont les Secteurs Hautement Critiques (Annexe I)

Ces secteurs basculent généralement en « Entité Essentielle » s’ils sont de Grande taille (et parfois Moyenne pour certains types d’infrastructures numériques).

Énergie
- Électricité (Producteurs, Distributeurs, Gestionnaires de réseau, Exploitants de points de recharge).
- Réseaux de chaleur et de froid.
- >Pétrole (Pipelines, Production, Raffinage, Stockage).
- Gaz (Approvisionnement, Distribution, Stockage, GNL).
- Hydrogène (Production, Stockage, Transport).
Transports
- Aérien (Compagnies, Gestionnaires d’aéroports, Contrôle trafic).
- Ferroviaire (Gestionnaires d’infrastructure, Entreprises ferroviaires).
- Par eau (Maritime et Fluvial, Ports, Exploitants de services de trafic).
- Routier (Autorités de contrôle, Systèmes de transport intelligents).
Secteur Bancaire
- Établissements de crédit.
Infrastructures des marchés financiers
- Plates-formes de négociation.
- Contreparties centrales.
Santé
- Prestataires de soins de santé (Hôpitaux, Cliniques).
- Laboratoires de référence de l’UE.
- Recherche et développement de médicaments.
- Fabrication de produits pharmaceutiques de base et de préparations pharmaceutiques.
- Fabrication de dispositifs médicaux critiques (en cas d’urgence sanitaire).
Eau potable
- Fournisseurs et distributeurs d’eaux destinées à la consommation humaine.
Eaux usées
- Collecte, évacuation et traitement (assainissement).
Infrastructures numériques (Souvent EE quelle que soit la taille pour certains)
- Fournisseurs de services de centres de données (Data Centers).
- Fournisseurs de réseaux de diffusion de contenu (CDN).
- Fournisseurs de services d’informatique en nuage (Cloud).
- Fournisseurs de services DNS.
- Registres de noms de domaine de premier niveau (TLD).
- Fournisseurs de réseaux de communications électroniques publics.
- Fournisseurs de services de communications électroniques accessibles au public (FAI).
- Prestataires de services de confiance (Certificats, Signature élec.).
Gestion des services TIC (B2B)
- Fournisseurs de services gérés (MSP).
- Fournisseurs de services de sécurité gérés (MSSP).
Administration publique
- Administration centrale (Gouvernement).
- Administration régionale (Régions, Départements – selon transposition nationale).
Espace
- Exploitants d’infrastructures terrestres (satellites).

** Quels sont les Autres Secteurs Critiques (Annexe II)

Ces secteurs basculent généralement en « Entité Importante », même s’ils sont de Grande taille.

Services postaux et d’expédition
- Prestataires de services de courrier, colis, livraison express.
Gestion des déchets
- Entreprises assurant la collecte, le traitement et l’élimination des déchets (hors eaux usées).
Produits chimiques
- Fabrication de substances et de produits chimiques.
- Distribution de substances et de produits chimiques.
Agroalimentaire
- Production, transformation et distribution de denrées alimentaires (Grossistes et industriels de l’agro).
Industrie manufacturière (Fabrication)
- Fabrication de dispositifs médicaux et de diagnostic in vitro.
- Fabrication de produits informatiques, électroniques et optiques.
- Fabrication d’équipements électriques.
- Fabrication de machines et équipements (n.c.a.).
- Fabrication de véhicules automobiles, remorques et semi-remorques.
- Fabrication d’autres matériels de transport (Naval, Air, Ferroviaire).
Fournisseurs numériques
- Places de marché en ligne (Marketplaces).
- Moteurs de recherche en ligne.
- Plateformes de réseaux sociaux.
Recherche
- Organismes de recherche (hors enseignement).

*** Les 4 exceptions qui rendent le "Non concerné" Entité Essentielle

Selon la directive (et sa transposition), une entité est automatiquement « Essentielle » (EE), même si elle a 3 salariés et 200k€ de CA, si elle appartient à l’une de ces catégories :

Infrastructures Numériques Critiques :
- Fournisseurs de réseaux de communications électroniques publics (Opérateurs Télécoms).
- Fournisseurs de services de communications électroniques accessibles au public (FAI).
- Fournisseurs de services DNS (pas juste le revendeur, mais l’opérateur du service).
- Registres de noms de domaine de premier niveau (TLD).
Prestataires de Confiance (Trust Service Providers) :
- Ceux qui délivrent des certificats qualifiés, des signatures électroniques, etc.
Entités Critiques (Directive CER) :
- Si l’entité est déjà identifiée comme « Critique » au sens de la directive sur la résilience des entités critiques (CER).
Monopole / Impact Systémique :
- Si l’entité est le seul fournisseur d’un service essentiel dans un État membre.
- Si une perturbation de son service pourrait avoir un impact systémique important (décision au cas par cas par l’État).

Quelle différence entre Entité Essentielle et Importante ?

Entité Essentielle (EE) : Principalement les grandes entreprises des secteurs de l’Annexe I.

Entité Importante (EI) : Principalement les moyennes entreprises de l’Annexe I et les entreprises (moyennes et grandes) de l’Annexe II.

Le dirigeant est-il vraiment responsable ?

Oui, l’objectif 2 place la gouvernance sous la responsabilité directe du dirigeant exécutif.

Ne subissez pas la réglementation.

Ne naviguez pas à vue. Notre accompagnement ExpertCyber vous permet de :

Clarifier immédiatement votre statut (EE ou EI).
Protéger la responsabilité pénale du dirigeant.
Obtenir une feuille de route budgétée et pragmatique.

Cookie	Durée	Description
__cfduid	1 month	Ce cookie est utilisé par CloudFare pour identifier les clients individuels derrière une adresse IP partagée et appliquer les paramètres de sécurité client par client. Il ne correspond à aucun identifiant d'utilisateur dans l'application Web et ne stocke aucune information personnellement identifiable.
cookielawinfo-checkbox-advertisement		The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	1 year	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-functional	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessaire	1 an
cookielawinfo-checkbox-others	1 year
cookielawinfo-checkbox-performance	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
pll_language	1 year	Cookie de selection de langue
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_clsk		Microsoft Clarity, utilitaire analytique.
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_L2RPNQR0FJ	2 years	This cookie is installed by Google Analytics.
_ga_NKBKKY1ZSY	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_44752404_1	1 minute
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
_lfa	2 years	Ce cookie est défini par le fournisseur Leadfeeder. Ce cookie est utilisé pour identifier l'adresse IP des appareils visitant le site Web. Le cookie recueille des informations telles que les adresses IP, le temps passé sur le site Web et les demandes de pages pour les visites.Ces informations collectées sont utilisées pour le reciblage de plusieurs utilisateurs acheminant à partir de la même adresse IP.
_session_id	session	Cookie set by G2 to store the visitor’s navigation by recording the landing pages. This allows the website to present products and indicate the efficiency of the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sync_active	never	This cookie is set by Vimeo and contains data on the visitor's video-content preferences, so that the website remembers parameters such as preferred volume or video quality.
vuid	2 years	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Durée	Description
ANONCHK	10 minutes	This cookie is used for storing the session ID for a user. This cookie ensures that clicks from advertisement on the Bing search engine are verified and it is used for reporting purposes and for personalization.
MUID	1 year 24 days	Used by Microsoft as a unique identifier. The cookie is set by embedded Microsoft scripts. The purpose of this cookie is to synchronize the ID across many different Microsoft domains to enable user tracking.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
_clck	1 year
_lfa_test_cookie_stored	past	No description
cf_ob_info
cf_use_ob
CLID	1 year
Player		Ce cookie est utilisé par Vimeo. This cookie is used to save the user's preferences when playing embedded videos from Vimeo.
SM	session
SRM_B	1 year 24 days

Cookie	Durée	Description
aka_debug	session	Vimeo sets this cookie which is essential for the website to play video functionality.
cf_use_ob		No description