Politique de conformité NIS 2 — Cybersécurité et gestion des incidents

Name: Politique de conformité NIS 2 — Cybersécurité et gestion des incidents
Brand: DossierJuridique.fr
SKU: nis2-cybersecurite-conformite
Price: 9.99 EUR
Availability: InStock

Modèle de politique de conformité NIS 2 conforme Directive UE 2022/2555 et Loi 2024-1039 : gouvernance, mesures Art. 21, déclaration ANSSI 24h/72h.

Ce modèle de Politique de conformité NIS 2 permet à une Entité Essentielle (EE) ou Entité Importante (EI) au sens de la Directive (UE) 2022/2555 de formaliser sa gouvernance cybersécurité, ses mesures techniques et organisationnelles, et sa procédure de déclaration des incidents à l'ANSSI. Niveau de complexité : élevé — relecture par un référent cybersécurité ou un avocat spécialisé recommandée.

Vérifié Me Sandy Lacroix

Word + PDF personnalisable

Téléchargement immédiat

Paiement Stripe sécurisé · Facture PDF · Mise à jour à vie

Contenu du modèle

Tout ce qu'un cabinet vous facturerait.
Pour 9.99€.

Un modèle prêt à publier, vérifié par avocate, articles de loi cités, jurisprudence à jour, conformité 2026 intégrée.

Document principal

Modèle juridique complet, articles de loi intégrés

Document Word personnalisable + PDF prêt à signer. Chaque clause sourcée Légifrance, vérifiée par Me Lacroix, mise à jour à chaque évolution législative.

Avoir qualifié l'Entité au regard des annexes I et II de la directive NIS 2 (secteur) et des seuils de taille (effectif/CA)
Disposer d'une cartographie à jour des systèmes d'information
Avoir désigné un référent cybersécurité (RSSI ou équivalent)
Avoir obtenu l'approbation de principe de l'organe de direction

Validation juridique

Vérifié par avocate inscrite

Maître Sandy Lacroix, Barreau de Tulle depuis 2011, valide chaque modèle et signe une attestation de conformité.

Format

Word + PDF, prêt à signer

Document Word personnalisable et PDF auto-rempli depuis votre profil. Archive ZIP avec LISEZ-MOI inclus.

MAJ légales

À vie, sans surcoût

Re-téléchargez la dernière version à chaque réforme.

Conformité 2026

Réformes intégrées

Ord. 2026-2, DSA, EAA, RGPD déjà inclus.

Paiement

Stripe + 3DS2

Paiement sécurisé, facture PDF automatique.

Comparatif

Pourquoi pas un modèle gratuit ou un avocat ?

Le bon réflexe dépend de votre situation. Trois options, trois rapports qualité-prix.

Modèle gratuit en ligne

0 €

Modèle générique, non-vérifié

Aucune vérification avocat
Lois souvent dépassées
Pas de MAJ légales
Risque clauses abusives
Téléchargement immédiat

DossierJuridique.fr

9.99€ TTC

Vérifié avocate · MAJ à vie

Validé Me Lacroix
Réformes 2026 intégrées
MAJ légales à vie gratuite
Word + PDF + auto-remplissage
Livraison immédiate par email

Avocat traditionnel

250–800 €

Sur-mesure, délai 1–3 semaines

Conseil personnalisé
Rédaction sur-mesure
Délai 1 à 3 semaines
Refacturé à chaque MAJ
Pertinent si litige complexe

Conformément à la loi 71-1130 art. 54, nos modèles ne constituent pas une consultation juridique. Pour une situation complexe, consultez un avocat.

Guide d'utilisation

Comment utiliser ce modèle, étape par étape

Confirmation par email
Après paiement, vous recevez un email avec votre facture et un lien direct vers votre compte.
Accès depuis « Mes templates achetés »
Votre modèle apparaît en tête de liste dans votre espace personnel, accessible à tout moment.
Deux modes au choix
Téléchargement DOCX brut (Word vide à remplir) ou PDF personnalisé via formulaire wizard.
Personnalisation rapide
Le wizard pré-remplit automatiquement les champs depuis votre profil DossierJuridique (raison sociale, SIRET, capital, adresse…).
Archive ZIP finalisée
Archive contenant votre document final accompagné d'un LISEZ-MOI avec disclaimers et normes légales applicables.

3 champs à personnaliser dans Politique de conformité NIS 2 — Cybersécurité et gestion des incidents

Qualification NIS 2

La qualification EE/EI dépend de deux critères cumulatifs : (1) le secteur (annexes I et II de la directive) et (2) la taille (effectif et/ou CA). Une grande entreprise (≥ 250 ETP ou CA ≥ 50 M€) dans un secteur d'annexe I est EE. Une moyenne entreprise (50-249 ETP ou CA 10-50 M€) dans un secteur d'annexe I ou II est EI. Certaines entités sont qualifiées indépendamment de leur taille (administrations centrales, fournisseurs DNS, registres TLD, etc.).

Exemple : Une SAS de 80 salariés dans le secteur 'Infrastructure numérique' (annexe I) → Entité Importante (EI)

Erreurs courantes :

Confondre annexe I (haute criticité) et annexe II (autres secteurs critiques)
Oublier les exceptions taille-indépendantes
Négliger l'enregistrement obligatoire ANSSI pour les EE/EI

Systèmes d'information couverts

Le périmètre de la Politique doit englober l'ensemble des SI utilisés pour la fourniture des services entrant dans le champ NIS 2. Inclure les SI cloud, les systèmes industriels (ICS/SCADA) si applicables, et les SI des sous-traitants critiques par cascade contractuelle.

Exemple : Pour un hébergeur cloud : 'Infrastructure réseau, Serveurs et postes de travail, Plateformes cloud, Sites web et applications publiques'

Erreurs courantes :

Oublier les SI hébergés chez des sous-traitants
Exclure les postes nomades et BYOD
Ne pas couvrir les SI industriels si pertinents

Référent cybersécurité

La directive impose la désignation d'un point de contact pour les autorités. En pratique, il s'agit du RSSI ou, à défaut, du DSI ou d'un Directeur de la conformité. Cette personne doit avoir un mandat clair et les moyens (budgétaires, humains) pour mettre en œuvre la politique.

Exemple : Jean DUPONT, RSSI

Erreurs courantes :

Désigner un RSSI sans pouvoir d'engagement budgétaire
Confondre rôle RSSI et rôle DPO (les deux fonctions sont distinctes et peuvent coexister)

Délais & envoi

Tout pour réussir l'envoi de votre dossier

3 délais à respecter sous peine d'irrecevabilité

Alerte précoce ANSSI dans les 24 heures à compter de la prise de connaissance de l'incident significatif (Art. 23 § 4 a) Directive (UE) 2022/2555) — point de départ : Prise de connaissance de l'incident
Notification d'incident ANSSI dans les 72 heures à compter de la prise de connaissance (Art. 23 § 4 b) Directive (UE) 2022/2555) — point de départ : Prise de connaissance de l'incident
Rapport final ANSSI dans le mois suivant la notification d'incident (Art. 23 § 4 d) Directive (UE) 2022/2555) — point de départ : Date de la notification d'incident

Continuer

Vos questions, nos réponses

Mon entreprise est-elle concernée par NIS 2 ?

Vous êtes concerné si votre entité (1) exerce dans un secteur listé aux annexes I (haute criticité : énergie, transports, banque, santé, infrastructure numérique, eau, etc.) ou II (autres secteurs critiques : services postaux, gestion des déchets, fabrication, etc.) de la Directive (UE) 2022/2555 ET (2) dépasse les seuils d'une moyenne entreprise (≥ 50 ETP ou CA ≥ 10 M€). Certaines entités sont concernées indépendamment de leur taille (administrations, fournisseurs DNS, registres TLD, prestataires de services de confiance qualifiés). Une auto-évaluation est disponible sur le portail ANSSI.

Quelle est la différence entre Entité Essentielle (EE) et Entité Importante (EI) ?

Les EE sont les grandes entreprises (≥ 250 ETP ou CA ≥ 50 M€) dans les secteurs d'annexe I (haute criticité) plus certaines entités spécifiques. Les EI regroupent les moyennes entreprises (50-249 ETP ou CA 10-50 M€) dans les secteurs d'annexe I ou II, et les grandes entreprises des secteurs d'annexe II. Conséquences : régime de supervision (a priori et a posteriori pour EE / a posteriori pour EI) et plafond de sanctions (10 M€ ou 2 % CA pour EE / 7 M€ ou 1,4 % CA pour EI).

Quels sont les délais pour déclarer un incident ?

Trois étapes cumulatives : (1) **alerte précoce sous 24 heures** à compter de la prise de connaissance de l'incident significatif (Art. 23 § 4 a), (2) **notification d'incident sous 72 heures** avec évaluation initiale (Art. 23 § 4 b), (3) **rapport final dans le mois** suivant la notification (Art. 23 § 4 d). Si l'incident emporte aussi violation de données personnelles, la **notification CNIL sous 72 heures** (Art. 33 RGPD) est cumulative.

NIS 2 remplace-t-elle le RGPD ?

Non. NIS 2 et RGPD sont complémentaires. NIS 2 traite de la sécurité des systèmes d'information et de la continuité des services critiques. Le RGPD traite de la protection des données à caractère personnel. Un incident cyber peut déclencher les deux régimes simultanément : notification ANSSI sous 24h/72h (NIS 2) ET notification CNIL sous 72h (Art. 33 RGPD) si des données personnelles sont compromises.

Quelles sont les sanctions en cas de non-conformité ?

Pour les **Entités Essentielles** : amende administrative jusqu'à **10 000 000 €** ou **2 % du chiffre d'affaires mondial annuel total**, le plus élevé étant retenu. Pour les **Entités Importantes** : amende jusqu'à **7 000 000 €** ou **1,4 % du CA mondial**. À ces sanctions financières peuvent s'ajouter des injonctions, suspensions de certifications, et, pour les EE en cas de manquement grave répété, une interdiction temporaire des fonctions de direction.

Dois-je former mes dirigeants à la cybersécurité ?

Oui, c'est une obligation explicite de l'**Art. 20 § 2 de la Directive NIS 2**. Les membres de l'organe de direction doivent suivre une formation cybersécurité régulière (au moins annuelle) et étendre cette obligation à leurs équipes. Conservez les justificatifs (attestations, contenus, listes d'émargement) pendant au moins 5 ans en cas de contrôle ANSSI.

Comment gérer la chaîne d'approvisionnement (sous-traitants) ?

L'Art. 21 § 2 d) NIS 2 impose de sécuriser la chaîne d'approvisionnement. Concrètement : (1) identifier les sous-traitants critiques (hébergeurs, éditeurs SaaS, prestataires de maintenance), (2) auditer leur niveau de sécurité (questionnaire, certifications ISO 27001/HDS/SecNumCloud), (3) insérer des clauses contractuelles spécifiques (obligations de sécurité, notification d'incident remontante sous 24h, droit d'audit, sous-traitance en cascade). Articuler avec les clauses Art. 28 RGPD si données personnelles.

Téléchargez votre modèle maintenant

9.99€ TTC, paiement Stripe sécurisé, archive ZIP livrée immédiatement par email. Vérifiée par avocate, prête à publier.

Je renonce expressément à mon droit de rétractation conformément à l'art. L.221-28 13° du Code de la consommation.

Document prêt en quelques minutesContenu numérique à exécution immédiate (L.221-28 13° C. conso)
MAJ légales à vieRe-téléchargeable à chaque réforme
Support 7 j/7Réponse sous 24 h
Paiement Stripe + 3DS2Données bancaires jamais stockées

Politique de conformité NIS 2 — Cybersécurité et gestion des incidents