Après plusieurs mois d'attente, la transposition française de la directive NIS2 (Network and Information Security 2) est désormais effective. L'ordonnance n°2026-412 du 29 avril 2026 publiée au Journal Officiel introduit un cadre renforcé de cybersécurité qui concerne directement une grande partie des entreprises membres de Flying squirrels.
Quelles ESN sont concernées ?
La directive distingue deux catégories d'entités :
- Entités essentielles (EE) : grandes entreprises numériques (CA > 50 M€ ou effectif > 250) opérant dans des secteurs critiques
- Entités importantes (EI) : PME et ETI des secteurs numériques (hébergement, cloud, MSP, télécoms)
Sont notamment désormais soumis : les fournisseurs de services cloud, les prestataires de services managés (MSP), les plateformes de services numériques et les centres de données.
Nouvelles obligations clés
- Notification des incidents : signalement à l'ANSSI dans les 24h pour les incidents significatifs
- Gestion des risques : politique documentée de sécurité des systèmes d'information
- Sécurité de la chaîne d'approvisionnement : évaluation des sous-traitants et fournisseurs
- Continuité d'activité : plan de reprise testé annuellement
Calendrier de mise en conformité
L'ANSSI accordera une période transitoire jusqu'au 1er novembre 2027 pour les entités importantes. Les entités essentielles devront démontrer leur conformité dès le 1er janvier 2027.
Flying squirrels met à disposition de ses adhérents un guide pratique NIS2 dans la bibliothèque documentaire de l'espace adhérent, ainsi qu'un diagnostic d'auto-évaluation en ligne.