Glossaire NIS2, RGPD, DORA

ACN

Agenzia per la Cybersicurezza Nazionale — autorité italienne en charge de la cybersécurité et de la transposition NIS2 en Italie.

Annexe 1

Liste des secteurs « hautement critiques » dans la directive NIS2 : énergie, transport, banque, santé, eau, infrastructures numériques, administrations publiques, espace. Les entités y figurant peuvent être classées EE.

Annexe 2

Liste des secteurs « critiques » dans la directive NIS2 : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication, fournisseurs numériques, recherche. Les entités y figurant sont en général EI.

ANSSI

Agence Nationale de la Sécurité des Systèmes d'Information — autorité française en charge de la cybersécurité et de la transposition NIS2 en France.

Article 21

Article de la directive NIS2 (UE 2022/2555) listant les 10 mesures techniques et organisationnelles de gestion des risques cyber que toute entité régulée doit mettre en œuvre.

BSI

Bundesamt für Sicherheit in der Informationstechnik — autorité fédérale allemande en charge de la cybersécurité. Pilote la transposition NIS2 via le BSIG.

BSIG

BSI-Gesetz, la loi allemande de sécurité informatique. Version révisée transposant NIS2 en vigueur depuis le 6 décembre 2025.

CCB

Centre for Cybersecurity Belgium — autorité belge en charge de la cybersécurité et de la transposition NIS2 en Belgique via le référentiel CyFun®.

CNCS

Centro Nacional de Cibersegurança — autorité portugaise en charge de la cybersécurité et de la transposition NIS2 au Portugal.

CNIL

Commission Nationale de l'Informatique et des Libertés — autorité française en charge du RGPD. Les sanctions CNIL et ANSSI peuvent se cumuler en cas d'incident.

CyFun®

Cyber Fundamentals — référentiel cybersécurité publié par le CCB belge, base de la transposition NIS2 en Belgique.

DORA

Digital Operational Resilience Act (Règlement UE 2022/2554) — règlement européen sur la résilience opérationnelle numérique du secteur financier. Entré en application le 17 janvier 2025.

DPIA

Data Protection Impact Assessment — analyse d'impact relative à la protection des données. Obligatoire RGPD (Art. 35) pour les traitements à risque élevé.

DPO

Data Protection Officer — délégué à la protection des données. Obligatoire pour les organismes publics et certaines entreprises (Art. 37 RGPD).

EBIOS RM

Méthode française d'analyse de risques cybersécurité publiée par l'ANSSI. EBIOS RM Express est la version allégée pour les PME.

EE

Entité Essentielle — statut NIS2 pour les organisations des secteurs hautement critiques (Annexe 1) dépassant 250 salariés ou 50M€ de CA. Soumises à des contrôles proactifs et aux sanctions les plus élevées (10M€ ou 2% du CA).

EI

Entité Importante — statut NIS2 pour les organisations de l'Annexe 2 ou les entités plus petites de l'Annexe 1. Contrôle post-incident uniquement, sanctions plafonnées à 7M€ ou 1,4% du CA.

ENS

Esquema Nacional de Seguridad — schéma national espagnol de sécurité, utilisé comme overlay national pour la transposition NIS2 en Espagne.

GDPR

General Data Protection Regulation — nom anglais du RGPD. Règlement européen sur la protection des données personnelles entré en vigueur le 25 mai 2018.

HACCP

Hazard Analysis Critical Control Point — démarche d'analyse des risques sanitaires en agroalimentaire. Cumulable avec NIS2 (qui couvre le volet cyber).

IAM

Identity and Access Management — gestion des identités et des accès. Composante centrale de la mesure 10 de l'Article 21 NIS2.

INCIBE

Instituto Nacional de Ciberseguridad — autorité espagnole en charge de la cybersécurité.

INDIRECT

Statut désignant un fournisseur qui n'est pas directement régulé NIS2 mais dont les clients EE/EI vont exiger contractuellement un niveau de sécurité comparable.

ISO 27001

Norme internationale de management de la sécurité de l'information. La certification ISO 27001 facilite la conformité NIS2 sans s'y substituer.

MAC

Moyens Acceptables de Conformité — dans le ReCyF ANSSI, mesures recommandées qui valent présomption de conformité aux Objectifs de Sécurité. 152 MAC actuellement définis. Non obligatoires mais fortement protecteurs en cas de contrôle.

MFA

Multi-Factor Authentication — authentification multi-facteurs. Quasi-obligatoire NIS2 pour tous les comptes à privilèges et accès distants.

MSP

Managed Service Provider — prestataire de services managés (infogérance, MSP). Explicitement listé en Annexe 1 NIS2 au titre de la gestion des services TIC.

MSSP

Managed Security Service Provider — variante MSP spécialisée en cybersécurité (SOC, MDR, gestion des incidents).

NCSC

National Cyber Security Centre — autorité britannique en charge de la cybersécurité. Le UK n'est plus soumis à NIS2 (post-Brexit) mais applique son propre cadre équivalent.

NIS1

Première directive Network and Information Security (UE 2016/1148), prédécesseur de NIS2. Bien plus restreinte en périmètre et en obligations.

NIS2

Directive (UE) 2022/2555 sur un niveau commun élevé de cybersécurité dans l'Union. Remplace NIS1, étend massivement le périmètre et les sanctions.

OIV

Opérateur d'Importance Vitale — statut français pré-NIS2, couvert par la LPM (Loi de Programmation Militaire). Les OIV sont automatiquement EE NIS2.

OS

Objectif de Sécurité — dans le ReCyF ANSSI, exigence réglementaire obligatoire fixée par décret. 24 OS actuellement définis. Tous doivent être atteints.

OT

Operational Technology — technologies industrielles (SCADA, automates) opposées à l'IT (informatique de gestion). NIS2 impose une isolation stricte OT/IT.

PCA

Plan de Continuité d'Activité — plan documentant comment l'organisation maintient ses activités en cas d'incident majeur. Obligation NIS2 (Mesure 3 Article 21).

PRA

Plan de Reprise d'Activité — plan documentant comment l'organisation redémarre après un sinistre majeur. Complémentaire au PCA.

PSSI

Politique de Sécurité des Systèmes d'Information — document fondateur de la cyber d'une organisation, signé par la direction. Obligation NIS2 (Mesure 1 Article 21).

ReCyF

Référentiel Cyber France — référentiel opérationnel publié par l'ANSSI le 17 mars 2026 pour décliner les obligations NIS2 en exigences concrètes. Version actuelle : v2.5. Comporte 24 OS et 152 MAC.

RGPD

Règlement Général sur la Protection des Données — règlement européen 2016/679. Cumulable avec NIS2 et DORA selon les cas.

RSSI

Responsable de la Sécurité des Systèmes d'Information — fonction recommandée par NIS2. Peut être externalisé (RSSI à temps partagé) pour les PME.

SCADA

Supervisory Control and Data Acquisition — systèmes de supervision industrielle (centrales, usines, réseaux de distribution). Cibles principales des attaques sur les opérateurs essentiels.

SOC

Security Operations Center — centre opérationnel de sécurité, qui surveille et répond aux incidents 24/7. Souvent externalisé (MSSP) pour les PME.

SOC 2

Standard d'audit américain (AICPA) couvrant la sécurité, la disponibilité et la confidentialité des SaaS. Non obligatoire en Europe mais souvent demandé par les clients internationaux.

SSO

Single Sign-On — authentification unique permettant d'accéder à plusieurs applications avec un seul identifiant. Recommandé NIS2 pour réduire la surface d'attaque.

TLPT

Threat-Led Penetration Testing — test d'intrusion piloté par la menace, exigé par DORA pour les grandes entités financières. Méthodologie TIBER-EU.

TPE

Très Petite Entreprise (< 10 salariés). Généralement exclue du périmètre NIS2 direct sauf cas particuliers (acteurs critiques de la confiance, prestataires uniques).

vCISO

Virtual CISO — RSSI virtuel ou à temps partagé. Modèle économique populaire pour les PME qui ne peuvent pas embaucher un RSSI à temps plein.

WAF

Web Application Firewall — pare-feu applicatif protégeant les services web exposés. Recommandé NIS2 pour les organisations exposant des services en ligne sensibles.