Aller au contenu
Guide de conformité

NIS2 : tout ce que vous devez savoir sur la loi cybersécurité et l’achat de logiciels

NIS2 est la plus grande loi européenne sur la cybersécurité depuis des années. Pour les organisations des secteurs critiques, beaucoup de choses changent, notamment en matière d’achat de logiciels et de gestion des fournisseurs. Voici tout ce que vous devez savoir.

  • 15 janvier 2025
  • 5 min
  • NIS2 – Directive sur la cybersécurité

La directive NIS2 est la plus grande loi européenne sur la cybersécurité depuis des années. Elle couvre un large périmètre, est strictement appliquée et concerne directement tous ceux qui sont responsables des achats de logiciels dans une organisation. Voici ce qu’il faut savoir.

Qu’est-ce que NIS2 ?

NIS2 signifie Network and Information Security Directive 2, le successeur de la directive NIS originale de 2016. Cette directive oblige les organisations des secteurs critiques à renforcer structurellement leur résilience numérique. NIS2 entre en vigueur au niveau européen le 17 octobre 2024. La transposition néerlandaise via la loi sur la cybersécurité est attendue au deuxième trimestre 2026.

À qui s’adresse NIS2 ?

NIS2 s’applique aux organisations dans 18 secteurs critiques, subdivisés en entités essentielles et importantes. Pensez à : énergie, transport, santé, eau, infrastructure numérique, services financiers, secteur public et plus encore. Mais aussi les fournisseurs des organisations de ces secteurs peuvent être indirectement concernés par la loi via l’obligation de gestion de la chaîne d’approvisionnement.

Qu’est-ce qui change par rapport à NIS1 ?

Les principaux changements :

  • Portée élargie : beaucoup plus de secteurs et d’organisations sont maintenant couverts par la directive

  • Responsabilité personnelle : les dirigeants sont responsables du respect et peuvent être tenus personnellement responsables

  • Amendes plus élevées : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles

  • Obligation de gestion de la chaîne d’approvisionnement : les organisations doivent également contrôler la sécurité de leurs fournisseurs

  • Obligation de notification : les incidents doivent être signalés au CSIRT dans les 24 heures

Qu’est-ce que NIS2 signifie pour l’achat de logiciels ?

L’obligation de gestion de la chaîne d’approvisionnement est l’impact le plus direct sur l’achat de logiciels. Les organisations sont tenues de :

  • Maintenir un inventaire à jour de tous les fournisseurs de TIC et logiciels

  • Conclure des accords contractuels de sécurité avec tous les fournisseurs concernés

  • Évaluer périodiquement la sécurité des fournisseurs

  • Établir des procédures d’escalade des incidents avec les fournisseurs de logiciels critiques

Sans un inventaire structuré des logiciels, la conformité à NIS2 est impossible. SoftVaro aide les organisations à créer cet inventaire comme point de départ pour la conformité.

Questions fréquentes

Les questions les plus posées sur ce sujet.

Quel rapport y a-t-il entre NIS2 et l’achat de logiciels ?

NIS2 oblige les organisations à maintenir un inventaire à jour de tous les logiciels et fournisseurs TIC, y compris des accords contractuels de sécurité. Sans cet inventaire, vous n’êtes pas en conformité.

Quand NIS2 entrera-t-il en vigueur aux Pays-Bas ?

La loi sur la cybersécurité (transposition néerlandaise de NIS2) est attendue au deuxième trimestre 2026. Les organisations doivent être immédiatement conformes dès l’entrée en vigueur de la loi.

Quelles sont les amendes en cas de non-respect de NIS2 ?

Les entités essentielles risquent des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Les entités importantes jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires. Les dirigeants peuvent être tenus personnellement responsables.

Prêt à économiser sur les logiciels ?

SoftVaro négocie pour vous les meilleures offres auprès de plus de 4 000 fournisseurs. Indépendant, transparent, sous 24 heures.

Découvrez votre économie

Plus dans la base de connaissances

Article

Qu’est-ce que la gestion du tail spend dans les logiciels ?

Lire la suiteArticle

Qu’est-ce que le shadow IT et pourquoi est-ce un risque ?

Lire la suiteArticle

Qu'est-ce que la consolidation des fournisseurs et comment s'y prendre ?

Lire la suiteGuide de conformité

DORA expliquée : impact sur l'achat de logiciels dans le secteur financier

Lire la suiteArticle

Audits logicielles : comment fonctionnent-elles et comment se protéger ?

Lire la suiteArticle

Modèles de licence logicielle expliqués : abonnement, perpétuel et basé sur l’utilisation

Lire la suite

Changer de langue

Plus de pages

Préférences de cookies

Choisissez par catégorie ce que nous pouvons placer. Les cookies strictement nécessaires ne peuvent pas être désactivés.

  • Analytique tiers (Google)

    Google Analytics 4 pour l'amélioration produit : pages vues, temps passé, clics. En complément de notre Umami respectueux de la vie privée (toujours actif, aucun consentement requis). Transfert de données vers Google aux États-Unis — sous les Clauses Contractuelles Types.

  • Marketing

    Leadinfo identifie les entreprises visitant le site via l'adresse IP, pour le suivi commercial B2B. Aucune donnée personnelle de visiteurs individuels.

  • Strictement nécessaires

    Pour le fonctionnement de base du site : préférence linguistique, gestion de session. Aucun tiers.

    Toujours actif

Pas de mesure Umami

Umami relève de l'exception analytique et ne nécessite pas de consentement, mais vous pouvez choisir de ne pas être mesuré.