POD-CA-05 désormais certifié NIS2 readiness.

Pourquoi NIS2 vous concerne probablement

La directive 2022/2555 (NIS2) entre en application effective via la transposition en droit interne français. Son périmètre est nettement élargi par rapport à la NIS originale, et concerne désormais un grand nombre de PME B2B services :

• Fournisseurs de services numériques (SaaS, cloud, hébergement, marketplace)
• Services de confiance qualifiés (signature électronique, horodatage, archivage)
• Fabricants et distributeurs de produits TIC critiques
• Acteurs de la santé numérique, des transports, de l'énergie, des télécoms
• Entités de taille moyenne dans les secteurs critiques listés à l'annexe

Si votre PME B2B vend du logiciel, héberge des données clients, ou opère dans la santé/énergie/finance/transport, NIS2 vous concerne probablement. Les sanctions prévues par la directive sont à un niveau dissuasif, indexées sur le CA, avec une possibilité de sanction personnelle des dirigeants en cas de manquement répété. Le détail exact des seuils est défini par la directive et sa transposition — votre conseil juridique reste la source à consulter.

Périmètre couvert par POD-CA-05

L'audit NIS2 livré par le pod couvre les mesures de gestion des risques cybersécurité imposées par l'art. 21 de la directive :

1. Politique de sécurité des systèmes d'information et analyse de risques
2. Gestion des incidents de sécurité (détection, notification ANSSI sous 24 h)
3. Continuité d'activité (sauvegarde, reprise après sinistre)
4. Sécurité de la chaîne d'approvisionnement numérique (sous-traitants)
5. Sécurité dans l'acquisition, le développement et la maintenance des systèmes
6. Évaluation de l'efficacité des mesures de gestion des risques
7. Pratiques d'hygiène informatique de base et formation à la cybersécurité
8. Cryptographie et chiffrement (politiques et mise en œuvre)
9. Sécurité des ressources humaines et contrôle d'accès
10. Authentification multifactorielle et systèmes de communication sécurisés

Pour chaque mesure : analyse de l'état actuel, écart vs exigence, plan de remédiation chiffré, échéancier réaliste. Le rapport final est signé électroniquement par un auditeur indépendant (eIDAS qualifié).

Ce qui n'est PAS couvert

Trois zones restent hors périmètre :

• L'implémentation des correctifs. POD-CA-05 audite et planifie ; la mise en œuvre des mesures techniques (firewall, MFA, segmentation réseau) reste de votre ressort ou nécessite un prestataire technique séparé.
• La notification d'incident en temps réel. Si un incident survient, c'est à votre RSSI ou DSI de notifier l'ANSSI dans les délais imposés par la directive. Le pod fournit le template et la procédure, pas la veille active.
• La certification ISO 27001. NIS2 readiness n'équivaut pas à ISO 27001. Si vous visez la certification, le pod peut servir de gap analysis préalable, mais la certification est délivrée par un organisme accrédité COFRAC séparé.

POD-CA-05 vous dit où vous en êtes vs NIS2, et combien il faudra investir pour combler l'écart. Vous gardez la décision et l'exécution.

Format de livraison

Au terme de l'audit, livré selon le SLA contractuel défini au devis :

• Rapport PDF complet, signé eIDAS qualifié
• Annexe Excel : matrice écarts × mesures, scoring par mesure
• Plan de remédiation chiffré (effort + délai par mesure, priorisation P0/P1/P2)
• Tableau de bord interactif (HTML statique) pour suivre l'avancement
• Session de restitution avec un auditeur senior (replay inclus)

L'audit NIS2 s'intègre au forfait trimestriel POD-CA-05. Voir la grille tarifaire dans le catalogue.