Glossaire NIS2

Définitions des termes clés de la directive NIS2 et de la cybersécurité réglementaire européenne.

A

ANSSI

Agence Nationale de la Sécurité des Systèmes d'Information. Autorité nationale française compétente pour NIS2. Responsable de l'enregistrement des entités, du contrôle de conformité et de la coordination des incidents cyber majeurs en France.

Authentification multifacteur (MFA)

Mécanisme d'authentification combinant au moins deux facteurs distincts (mot de passe + code SMS, biométrie, clé physique). Obligatoire sous NIS2 pour tous les accès distants et privilégiés.

C

CCN (Centre for Cybersecurity Belgium)

Autorité nationale belge compétente pour NIS2. Équivalent belge de l'ANSSI française. Coordonne la cybersécurité nationale et supervise la conformité NIS2 des entités belges.

CERT / CSIRT

Computer Emergency Response Team / Computer Security Incident Response Team. Équipes nationales de réponse aux incidents cyber. En France : CERT-FR (ANSSI). En Belgique : CERT.be. Au Luxembourg : CIRCL.

CNCS

Centre National de Cybersécurité luxembourgeois. Autorité compétente NIS2 au Luxembourg. Supervise la conformité des entités luxembourgeoises et coordonne la réponse aux incidents.

E

EBIOS RM

Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager. Méthode française d'analyse de risques cyber développée par l'ANSSI. Référence pour les audits NIS2 en France.

Entité Essentielle (EE)

Catégorie NIS2 regroupant les organisations les plus critiques : +250 salariés ou +50M€ de CA dans les secteurs hautement critiques (énergie, transport, santé, eau, infrastructure numérique). Soumises aux obligations les plus strictes et aux amendes les plus élevées (jusqu'à 10M€ ou 2% du CA mondial).

Entité Importante (EI)

Catégorie NIS2 regroupant les organisations de taille intermédiaire : +50 salariés ou +10M€ de CA dans les secteurs critiques (services postaux, chimie, alimentation, fabrication). Amendes jusqu'à 7M€ ou 1,4% du CA mondial.

EU-CyCLONe

European Cyber Crises Liaison Organisation Network. Réseau européen de coordination des crises cyber créé par NIS2. Relie les autorités nationales pour gérer les incidents cyber transfrontaliers majeurs.

G

GRC (Gouvernance, Risques, Conformité)

Ensemble des processus et outils permettant de gérer la gouvernance d'entreprise, les risques opérationnels et la conformité réglementaire. Les plateformes GRC (Egerie, Tenacy, OneTrust) centralisent la gestion de la conformité NIS2.

I

Incident significatif

Au sens NIS2, incident ayant causé ou susceptible de causer une perturbation opérationnelle grave, des pertes financières significatives ou un impact sur des tiers. Déclenche l'obligation de notification en 24h/72h/1 mois.

N

NIS2 (Network and Information Security 2)

Directive européenne 2022/2555 relative à des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'Union. Adoptée en décembre 2022, transposée dans les États membres en octobre 2024. Remplace et élargit significativement la directive NIS1 de 2016.

O

OIV (Opérateur d'Importance Vitale)

Désignation française (LPM) pour les opérateurs dont l'indisponibilité aurait des conséquences graves sur la défense nationale, l'économie ou la vie de la population. Les OIV sont automatiquement soumis à NIS2 en tant qu'Entités Essentielles.

P

PASSI (Prestataire d'Audit de Sécurité des SI)

Qualification délivrée par l'ANSSI aux prestataires capables de réaliser des audits de sécurité selon les référentiels français. Couvre 5 portées : architecture, configuration, code source, tests d'intrusion, audit organisationnel. Référence pour les audits NIS2 en France.

PCA / PRA

Plan de Continuité d'Activité / Plan de Reprise d'Activité. Documents obligatoires sous NIS2 définissant comment l'organisation maintient ou reprend ses activités critiques en cas d'incident cyber majeur.

R

RPO (Recovery Point Objective)

Perte de données maximale acceptable en cas d'incident, exprimée en durée. Exemple : RPO = 4h signifie que les données des 4 dernières heures peuvent être perdues. Doit être défini pour chaque système critique sous NIS2.

RTO (Recovery Time Objective)

Durée maximale d'interruption acceptable pour un système critique. Exemple : RTO = 2h signifie que le système doit être rétabli en moins de 2h après un incident. Doit être défini et testé sous NIS2.

RSSI (Responsable de la Sécurité des Systèmes d'Information)

Dirigeant opérationnel de la cybersécurité dans une organisation. NIS2 recommande la désignation d'un RSSI ou équivalent. Pour les PME sans RSSI interne, le recours à un RSSI externalisé (vCISO) est une option reconnue.

S

Supply chain (chaîne d'approvisionnement)

NIS2 impose explicitement de sécuriser la chaîne d'approvisionnement : évaluation des fournisseurs critiques, clauses contractuelles de sécurité, plan de sortie fournisseur. Obligation absente de NIS1.

V

vCISO (Virtual Chief Information Security Officer)

RSSI externalisé intervenant à temps partiel (2-4 jours/mois). Alternative au RSSI interne pour les PME soumises à NIS2 sans budget pour un poste à temps plein. Coût typique : 2 000 – 6 000 €/mois. Certains distributeurs spécialisés comme Resilium proposent des accompagnements techniques complémentaires au vCISO pour les PME françaises et belges soumises à NIS2.