CRYPTOITDATACRYPTOITDATA

Cybersécurité

NIS2 en Roumanie : guide de conformité pour les PME

Ce qu'est la directive NIS2, quelles entreprises roumaines sont concernées, quelles obligations apparaissent et comment se préparer à la conformité sans bloquer votre activité. Guide pratique 2026.

9 min de lecture

La directive NIS2 (Network and Information Security 2) est le texte de cybersécurité le plus important de la dernière décennie au niveau de l'Union européenne. Elle a été transposée en droit roumain, et l'effet pratique est simple : bien plus d'entreprises ont désormais des obligations légales de sécurité, sous des sanctions pouvant atteindre des millions d'euros.

Si vous êtes dirigeant ou responsable informatique d'une entreprise de taille moyenne, la question n'est plus « cela me concerne-t-il ? », mais « à quelle vitesse dois-je être prêt ? ». Ce guide vous donne les réponses essentielles, sans jargon.

Ce qu'est NIS2, en bref

NIS2 remplace l'ancienne directive NIS de 2016 et élargit considérablement son champ d'application. L'objectif est de relever le niveau minimal de résilience cyber dans les secteurs jugés critiques et importants pour l'économie et la société. Contrairement à la version précédente, NIS2 établit un ensemble commun de mesures de gestion des risques et introduit la responsabilité directe de la direction de l'entreprise.

Quelles entreprises roumaines sont concernées

Règle générale : vous relevez de NIS2 si vous opérez dans un secteur réglementé ET dépassez le seuil d'« entité moyenne » — soit au moins 50 salariés ou un chiffre d'affaires / bilan annuel supérieur à 10 millions d'euros. Il existe aussi des exceptions où de plus petites entreprises sont incluses en raison de leur rôle critique.

Secteurs de haute criticité (essentiels)

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
  • Eau potable et eaux usées
  • Infrastructure numérique (cloud, centres de données, DNS, réseaux)
  • Secteur bancaire et infrastructures des marchés financiers
  • Administration publique

Secteurs importants (fort impact)

  • Services postaux et de messagerie
  • Gestion des déchets
  • Fabrication (dispositifs médicaux, électronique, équipements, véhicules)
  • Production et distribution de produits alimentaires
  • Fournisseurs de services numériques (places de marché, moteurs de recherche, réseaux sociaux)
  • Recherche

Attention à l'effet chaîne d'approvisionnement : même si votre entreprise n'est pas directement réglementée, en tant que fournisseur d'une entité NIS2 vous serez contractuellement tenu de démontrer un niveau de sécurité similaire. En pratique, NIS2 « ruisselle » vers le bas dans toute la chaîne.

Quelles obligations concrètes apparaissent

  1. 1Mesures techniques et organisationnelles de gestion des risques : politiques de sécurité, contrôle d'accès, chiffrement, segmentation du réseau, gestion des correctifs.
  2. 2Plan de continuité et de reprise après sinistre — incluant des sauvegardes testées (voir ci-dessous le lien avec la stratégie 3-2-1).
  3. 3Signalement des incidents significatifs à l'autorité compétente (DNSC) dans des délais stricts : alerte initiale sous 24 heures, notification sous 72 heures.
  4. 4Sécurité de la chaîne d'approvisionnement — évaluation des fournisseurs et des relations directes.
  5. 5Responsabilité des organes de direction : les dirigeants doivent approuver les mesures et peuvent être sanctionnés personnellement en cas de non-conformité.
  6. 6Formation régulière du personnel à l'hygiène cyber.

Sanctions : pourquoi vous ne pouvez pas reporter

Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4 %. Au-delà de l'argent, l'autorité peut suspendre temporairement des certifications et engager personnellement la responsabilité de la direction.

Comment se préparer — étape par étape

La conformité NIS2 ne se règle pas avec un seul produit « clé en main ». C'est un processus de gestion des risques. Voici le parcours pragmatique que nous recommandons à nos clients :

  1. 1Déterminer l'applicabilité : établir clairement si et dans quelle catégorie vous entrez.
  2. 2Analyse d'écart (gap analysis) : comparer l'état actuel aux exigences NIS2 et obtenir une liste de priorités.
  3. 3Plan de remédiation avec échéances et budget : on ne corrige pas tout d'un coup, mais selon le risque.
  4. 4Mise en œuvre : politiques, contrôles techniques, segmentation, surveillance, sauvegarde testée.
  5. 5Procédure de signalement des incidents et une équipe / un responsable désigné.
  6. 6Audit et amélioration continue — NIS2 n'est pas un projet avec une fin, mais un régime permanent.

Pour les étapes 2-6, un partenaire expérimenté en audit de cybersécurité raccourcit considérablement les délais et évite les investissements inutiles. Nous sommes auditeur agréé DNSC et certifiés ISO 27001 — précisément le cadre de référence sur lequel s'appuie NIS2.

Le lien avec ISO 27001 et la protection des données

La bonne nouvelle : si vous disposez déjà d'un système de management de la sécurité de l'information aligné sur ISO 27001, vous avez parcouru 70-80 % du chemin vers NIS2. Les deux cadres se recoupent fortement. De même, les mesures de protection des données (RGPD) et de cybersécurité sont complémentaires — un incident de sécurité est presque toujours aussi un incident potentiel de données personnelles.

Conclusion

NIS2 n'est pas de la bureaucratie pour la bureaucratie — c'est le niveau minimal d'hygiène cyber que toute entreprise sérieuse devrait déjà avoir. La différence, c'est que cela devient désormais une obligation légale, avec de vraies sanctions. Les entreprises qui commencent tôt transforment la conformité en avantage commercial : elles deviennent des fournisseurs privilégiés justement parce qu'elles peuvent démontrer leur sécurité.

Questions fréquentes

À partir de quand NIS2 s'applique-t-il en Roumanie ?+

La directive NIS2 a été transposée en droit national et les obligations sont déjà en vigueur. Les délais de signalement des incidents (24h / 72h) et les mesures de gestion des risques s'appliquent aux entités concernées dès la transposition, raison pour laquelle la préparation ne peut plus être reportée.

Mon entreprise compte 40 salariés — suis-je concerné par NIS2 ?+

En principe, le seuil est de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires/bilan, dans un secteur réglementé. Cependant, de plus petites entreprises peuvent être incluses si elles ont un rôle critique, et via la chaîne d'approvisionnement vous pouvez être contractuellement tenu de respecter des exigences similaires. Nous recommandons une évaluation individuelle d'applicabilité.

Combien de temps faut-il pour devenir conforme à NIS2 ?+

Cela dépend de votre point de départ. Une analyse d'écart en 1-2 semaines vous donne la liste des priorités ; la mise en œuvre des mesures prend généralement 3-6 mois pour une entreprise de taille moyenne. Si vous avez déjà ISO 27001, le parcours est beaucoup plus court.

Qui est responsable si l'entreprise n'est pas conforme ?+

NIS2 introduit la responsabilité directe des organes de direction. Les dirigeants doivent approuver les mesures de sécurité et peuvent être tenus personnellement responsables, et pas seulement l'entreprise en tant qu'entité.

Tous les articles

Une question concrète ?

30 minutes, gratuit. Nous parlons précisément de votre situation.

Réserver une consultation