NIS2 compliance, end to end. Operated, not just documented.
The European NIS2 Directive obliges essential and important entities to implement ten cybersecurity measures, report incidents within 24 hours, and hold management personally accountable. CloudSoul delivers the measures, produces the evidence, and files the reports.
Are you in scope?
Essential entities
Large or mid-sized operators in sectors classified as highly critical: energy, transport, banking, healthcare, drinking water, digital infrastructure, public administration, space.
Proactive supervision. Full fine bracket.
Important entities
Medium and large entities in other critical sectors: postal, waste management, chemicals, food, manufacturing of critical products, digital providers, research.
Reactive supervision. Reduced fine bracket.
Most mid-market EU operators with over 50 employees in a covered sector will be in scope, as either essential or important. The specific classification turns on sector, size, turnover, and whether you operate critical infrastructure.
The ten measures you must implement.
Plus Article 20 (management accountability) and Article 23 (incident reporting). We cover all twelve.
| Art. | Measure | What the directive says (plain English) | How CloudSoul delivers it |
|---|---|---|---|
| 21(a) | Analyse des risques et politiques de sécurité | Établir des politiques écrites couvrant l’analyse des risques et la sécurité des systèmes d’information. | Le Compliance Core fournit des modèles de politiques pré-construits mappés à NIS2. Le registre des risques est configuré pendant l’onboarding et se met à jour en continu. |
| 21(b) | Gestion des incidents | Détecter, classifier, contenir, récupérer et tirer des leçons des incidents de cybersécurité. | Notre SOC 24/7 ingère les signaux SIEM et EDR, les trie et agit. Le rapport post-incident et les leçons apprises sont consignés dans le moteur de preuves. |
| 21(c) | Continuité d’activité et gestion de crise | Maintenir des sauvegardes, tester la restauration et disposer d’un plan de gestion de crise. | La surveillance des sauvegardes confirme l’atteinte des RPO. Les plans BCP/DRP sont versionnés et testés régulièrement. |
| 21(d) | Sécurité de la chaîne d’approvisionnement | Évaluer et surveiller les risques de sécurité liés aux fournisseurs et prestataires directs. | Évaluations des fournisseurs, surveillance de la posture, alertes d’incidents de la chaîne d’approvisionnement. Suit chaque fournisseur de votre graphe de dépendances. |
| 21(e) | Acquisition, développement et maintenance sécurisés | Intégrer la sécurité dans les achats, le développement et la maintenance, y compris la gestion et la divulgation des vulnérabilités. | Scan continu des vulnérabilités, surveillance des correctifs et CSPM. Les résultats alimentent automatiquement le plan d’action. |
| 21(f) | Évaluation de l’efficacité | Disposer de politiques et procédures pour évaluer si vos mesures de cybersécurité fonctionnent réellement. | Tests de contrôle récurrents, tableaux de bord KPI et rapports d’audit prêts. Votre plan d’alignement se met à jour automatiquement. |
| 21(g) | Hygiène informatique et formation | Former le personnel aux pratiques de base de cybersécurité, y compris la sensibilisation au phishing. | Simulation de phishing, suivi de la formation, formation NIS2 pour les dirigeants. Dossiers de complétion automatiquement attachés. |
| 21(h) | Cryptographie et chiffrement | Utiliser la cryptographie de manière appropriée, y compris le chiffrement le cas échéant. | Surveillance de la posture de chiffrement (en transit, au repos), suivi de la rotation des clés, inventaire des certificats. Les écarts apparaissent comme risques. |
| 21(i) | Sécurité RH, contrôle d’accès et gestion des actifs | Vérifications d’antécédents, contrôle d’accès basé sur les rôles et inventaire complet des actifs. | Surveillance IAM, workflows arrivée/changement/départ, découverte et inventaire des actifs alignés sur votre profil IT. |
| 21(j) | MFA et communications sécurisées | Utiliser l’authentification multifactorielle et les communications voix / vidéo / texte sécurisées le cas échéant. | Analyse de la couverture MFA dans tout votre IT, inventaire des communications sécurisées, rapports d’écart. Les recommandations apparaissent dans le plan d’action. |
| 20 | Responsabilité managériale | Les conseils approuvent les mesures de cybersécurité et supervisent leur mise en œuvre. Les membres encourent une responsabilité personnelle. | Pack pour le conseil généré automatiquement : posture de risque, couverture des contrôles, risque résiduel, journal des décisions. Signature consignée. |
| 23 | Notification d’incident (24h / 72h / 1 mois) | Signaler les incidents significatifs en trois étapes : alerte précoce sous 24h, notification complète sous 72h, rapport final sous 1 mois. | Auto-classification de la significativité. Modèles de soumission spécifiques par État membre pré-construits. Trace de soumission CSIRT capturée dans le moteur de preuves. |
Three clocks you cannot miss.
CloudSoul handles the clock. Classification is automatic. Regulator templates are pre-built for each member state. Submission trail is captured in the evidence engine.
Incident detected
Classification begins.
Early warning
To CSIRT / competent authority. Initial description only.
Full notification
Impact, indicators, severity, mitigation applied.
Final report
Lessons learned, remediation, residual risk.
The cost of non-compliance.
Maximum fine for essential entities, whichever is higher, applied to global annual turnover.
Maximum fine for important entities.
Management bodies approve and oversee cyber measures.
Built for this regulation specifically.
EU-operated data
Luxembourg HQ, EU-only hosting, no US Cloud Act exposure. For many NIS2 entities, this is a hard constraint.
We meet you where you are
Cloud-native at launch. Hybrid and on-premise deployments available on request for operators with specific constraints.
Operated, not documented
CloudSoul runs the SIEM, the SOC, the scans, the sims, and produces the evidence as a by-product. GRC vendors give you a checklist; CloudSoul runs the controls.
Multi-framework-ready
NIS2 today. Add ISO 27001 or DORA with a single framework toggle, your existing controls map across.
Already ISO 27001 certified? You’re close, not done.
ISO 27001 gives you most of the 10 measures.
Article 21 measures overlap heavily with ISO 27001 Annex A controls. If you already have a live ISO 27001 implementation, you likely satisfy 70–80% of NIS2 technical requirements.
NIS2 adds four gaps ISO 27001 does not close.
Personal management liability (Art. 20). The 24h/72h/1-month reporting workflow (Art. 23). Supply-chain monitoring depth (Art. 21(d)). Jurisdictional reporting, each member state has its own CSIRT and submission format.
Questions.
Mon organisation est-elle dans le champ d’application de NIS2 ?
Si vous opérez dans l’un des 18 secteurs critiques listés aux Annexes I et II ET disposez d’au moins 50 employés ou 10 M€ de chiffre d’affaires annuel, vous êtes probablement concerné, comme entité essentielle ou importante. Certains fournisseurs d’infrastructure numérique sont concernés indépendamment de la taille.
Quelle est la différence entre entités essentielles et importantes ?
Les entités essentielles (Annexe I, par ex. énergie, transport, santé) font l’objet d’une supervision proactive et de la tranche d’amendes supérieure : jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial. Les entités importantes (Annexe II, par ex. postal, alimentation, fabrication) ont une supervision réactive et une tranche réduite : jusqu’à 7 M€ ou 1,4 %.
Dans quel délai dois-je signaler un incident ?
L’Article 23 impose trois échéances : une alerte précoce sous 24h, une notification complète sous 72h, et un rapport final sous 1 mois. CloudSoul classifie automatiquement la significativité et pré-construit les modèles de soumission par État membre, pour que le chrono ne soit plus votre problème.
Nous sommes déjà certifiés ISO 27001. Sommes-nous conformes NIS2 ?
ISO 27001 couvre environ 70-80% des exigences techniques de l’Article 21 NIS2. Les quatre lacunes restantes sont : la responsabilité personnelle des dirigeants (Art. 20), le workflow de notification 24h/72h/1 mois (Art. 23), la profondeur de surveillance de la chaîne d’approvisionnement (Art. 21(d)), et les formats de notification CSIRT par État membre.
Quelles sont les amendes en cas de non-conformité NIS2 ?
Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le plus élevé) pour les entités essentielles ; jusqu’à 7 millions d’euros ou 1,4 % pour les entités importantes. Les États membres peuvent également suspendre des certifications et imposer des interdictions temporaires de gestion.
Devons-nous déployer les outils NIS2 sur site ?
Non. CloudSoul est cloud-native et fonctionne sur une infrastructure UE (Luxembourg par défaut). Des options hybrides et on-premise sont disponibles sur demande pour les opérateurs avec des contraintes spécifiques de résidence des données ou d’air-gap.
Combien de temps prend la mise en œuvre NIS2 avec CloudSoul ?
Du contrat signé à la conformité opérationnelle, comptez généralement 4 à 8 semaines pour les organisations cloud-first. L’onboarding produit le plan d’alignement la première semaine ; le déploiement des modules et la prise en main par le SOC s’étalent sur les semaines suivantes. Le Compliance Core est actif dès le premier jour.
Quand l’application de NIS2 commence-t-elle réellement ?
NIS2 devait être transposée en droit national d’ici le 17 octobre 2024, et l’application par les États membres est désormais active dans toute l’UE. Les dates spécifiques d’application et les autorités compétentes varient selon les pays ; votre autorité compétente est généralement le CSIRT national ou un régulateur sectoriel.
30-minute call · Includes scope classification · No deck.