FRAMEWORK · NIS2

NIS2 — Directive UE 2022/2555.
Conformez-vous en semaines, pas en mois.

Obligatoire depuis octobre 2024 pour entités essentielles et importantes. Amendes jusqu'à 10 millions € ou 2% du chiffre d'affaires annuel. Itamite couvre les exigences techniques de l'Art. 21 avec preuves signées pour votre autorité compétente (ANSSI en France, CCN-CERT en Espagne).

Voir tarifs Démo NIS2

À qui s'applique NIS2 ?

Entités essentielles et importantes des secteurs critiques UE : énergie, transport, banque, infrastructures de marchés financiers, santé, eau potable et usées, infrastructure numérique, gestion services TIC B2B, espace, administration publique numérique, services postaux, gestion des déchets, produits chimiques, alimentation, fabrication critique, fabrication numérique, recherche.

Seuils typiques : 50+ employés ou > 10M€ de chiffre d'affaires annuel. En France, l'autorité compétente est l'ANSSI, qui publie la liste officielle des entités. En cas de doute, l'ANSSI fournit un outil d'auto-évaluation public.

Amendes : jusqu'à 10M€ ou 2% du chiffre d'affaires annuel (entités essentielles), jusqu'à 7M€ ou 1,4% (entités importantes). Responsabilité personnelle du conseil d'administration en cas de non-conformité.

EXIGENCES ART. 21 — MESURES TECHNIQUES

Mappage NIS2 ↔ contrôles Itamite

Ce qu'exige NIS2 vs ce qu'Itamite collecte automatiquement.

Art. 21.2.a — Analyse de risques et politiques SI

Itamite couvre : Inventaire complet des actifs comme entrée pour l'analyse de risques. Posture de sécurité mesurée alimentant la matrice de risque. Hors périmètre : l'analyse de risques formelle et les politiques écrites sont du travail organisationnel.

Art. 21.2.b — Gestion des incidents

Itamite couvre : Audit immuable hash-chain avec traçabilité complète. Détection d'incidents via alertes (changement de configuration, déviation de posture). Communication avec SIEM (Splunk, Sentinel, Elastic).

Art. 21.2.c — Continuité d'activité

Itamite couvre : Inventaire à jour disponible pour PCA/PRA. SLA Itamite Enterprise avec RTO 1h, RPO 1h. Hors périmètre : le PCA/PRA de votre organisation lui-même.

Art. 21.2.d — Sécurité chaîne d'approvisionnement

Itamite couvre : SBOM public SPDX 2.3 + CycloneDX. SLSA Level 2 avec build provenance. Sous-traitants documentés publiquement. Détection de logiciels EOL dans votre flotte.

Art. 21.2.e — Acquisition et maintenance des systèmes

Itamite couvre : Détection de correctifs en attente, logiciels EOL, versions vulnérables connues (CVE). Déploiement centralisé des mises à jour. Politiques déclaratives qui maintiennent la configuration correcte de manière continue.

Art. 21.2.f — Efficacité des mesures (mesurable)

Itamite couvre : Score de posture 0-100 mesuré objectivement, comparable mois après mois. KPI par contrôle (quel % d'actifs passe chaque contrôle). Tendance temporelle avec preuves. C'est exactement ce que demande NIS2 : "mesures efficaces et mesurables".

Art. 21.2.g — Hygiène de base + formation

Itamite couvre (partie hygiène) : antivirus, pare-feu, correctifs, chiffrement disque, verrouillage écran, configuration macros Office, contrôle USB. Tous mesurés automatiquement par l'agent. Hors périmètre : formation du personnel.

Art. 21.2.h — Chiffrement

Itamite couvre : Détection du chiffrement de disque (BitLocker, FileVault, LUKS) sur chaque actif. Version TPM, Secure Boot. Chiffrement in-transit et at-rest de la plateforme elle-même. BYOK optionnel.

Art. 21.2.i — Contrôle d'accès et MFA

Itamite couvre : Détection des comptes administrateur locaux, compte Guest, auto-login, politique de mots de passe. SSO/SAML pour l'accès à la console Itamite. MFA obligatoire pour les administrateurs. Audit des accès.

Art. 21.2.j — Communications sécurisées d'urgence

Itamite couvre (à venir) : Intégration avec Syphrax (messagerie voix/vidéo chiffrée E2E) prévue Q4 2026. En attendant : notifications via email chiffré, Slack, Teams.

PROCESSUS PRATIQUE

De zéro à NIS2-ready en 4-6 semaines

Semaine 1 : déploiement agent + inventaire

Déploiement de l'agent Itamite via GPO/Intune dans votre parc. En 24-48h vous disposez de l'inventaire complet de matériel, logiciels, configuration, correctifs.

Semaine 2 : activation NIS2 + mesure baseline

Vous activez le framework NIS2 dans Conformité → Frameworks. Itamite mappe automatiquement les contrôles de l'agent aux articles NIS2. Vous obtenez le baseline de conformité actuel.

Semaines 3-4 : remédiation

Vous appliquez des corrections massives via commandes à distance et politiques déclaratives (BitLocker, antivirus, correctifs, configuration SMB). Itamite recommande l'ordre selon le plus grand impact sur le pourcentage de conformité.

Semaine 5 : documentation organisationnelle

Pendant qu'Itamite maintient les mesures techniques, votre équipe prépare les politiques écrites, la formation du personnel, le plan de continuité, le registre des fournisseurs TIC. C'est du travail organisationnel non automatisable.

Semaine 6 : rapport final + communication

Vous générez le rapport NIS2 signé SHA-256 depuis Itamite. Vous le combinez avec la documentation organisationnelle. Vous communiquez votre conformité à votre autorité compétente (ANSSI en France).

QUESTIONS FRÉQUENTES

Doutes habituels sur NIS2

Mon entreprise est-elle soumise à NIS2 ?

Si vous opérez dans les secteurs : énergie, transport, banque, santé, eau, infrastructure numérique, gestion TIC B2B, administration publique numérique, alimentation, chimie, fabrication critique, espace, postal, déchets, recherche. Et avez 50+ employés ou 10M€+ de chiffre d'affaires. Certaines micro-entreprises également si critiques.

NIS2 oblige-t-elle à utiliser un outil concret comme Itamite ?

Non. NIS2 est agnostique de fournisseur. Mais elle exige des mesures techniques efficaces et mesurables, ce qui en pratique oblige à disposer d'une plateforme de gestion d'actifs et de posture. Itamite est une option européenne et souveraine conçue spécifiquement pour couvrir NIS2 avec preuves signées.

L'autorité compétente accepte-t-elle le rapport Itamite ?

Oui. Le rapport NIS2 généré par Itamite inclut des preuves techniques avec signature SHA-256 vérifiable, format compatible avec les modèles ANSSI/INCIBE-CERT. Accepté lors d'audits et de vérifications de conformité réalisés à ce jour.

Que se passe-t-il en cas d'incident NIS2 ?

NIS2 oblige à notifier le CSIRT en 24h (alerte précoce), 72h (rapport complet), et 1 mois (rapport final). Itamite vous aide avec l'audit immuable qui sert de preuve technique de l'incident, mais la notification administrative reste à votre charge.

Itrion Software est-elle un fournisseur TIC soumis à NIS2 ?

Oui. Itrion est une entité importante dans la catégorie "fournisseur de services TIC managés". Nous nous conformons à NIS2 en interne : audit externe, plan de réponse aux incidents, communication 24h au CSIRT, rapports semestriels à l'autorité. Documentation sous NDA disponible pour les clients Enterprise.

Avez-vous un audit NIS2 cette année ?

Démo de 45 min avec cas réel. Nous vous montrons le rapport NIS2 signé et le plan de remédiation.