Directive NIS2 : ce que les PME et ETI doivent savoir
Entrée en application en octobre 2024, la directive européenne NIS2 (Network and Information Security) élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Là où NIS1 ne concernait qu'environ 500 entités en France, NIS2 en touche potentiellement plus de 15 000, dont de nombreuses PME et ETI. Voici tout ce qu'il faut savoir pour anticiper et se mettre en conformité.
Qu'est-ce que la directive NIS2 ?
NIS2 est la refonte de la directive européenne NIS de 2016. Son objectif : harmoniser et renforcer le niveau de cybersécurité à l'échelle de l'Union européenne face à l'augmentation exponentielle des cybermenaces. Elle impose des exigences renforcées en matière de gestion des risques, de notification des incidents et de gouvernance de la sécurité.
Contrairement à NIS1 qui ciblait uniquement les opérateurs de services essentiels (énergie, transport, santé), NIS2 étend son champ à 18 secteurs d'activité et introduit deux catégories d'entités : les entités essentielles et les entités importantes. Cette distinction détermine le niveau de supervision et les sanctions applicables.
En France, la transposition en droit national est assurée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), qui sera l'autorité compétente pour superviser la mise en conformité et sanctionner les manquements.
Votre entreprise est-elle concernée ?
La directive s'applique selon deux critères croisés : le secteur d'activité et la taille de l'entreprise. Sont concernées les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans l'un des secteurs suivants :
Secteurs hautement critiques
- • Énergie (électricité, gaz, pétrole, hydrogène)
- • Transports (aérien, ferroviaire, maritime, routier)
- • Banque et infrastructures des marchés financiers
- • Santé (hôpitaux, laboratoires, industrie pharma)
- • Eau potable et eaux usées
- • Infrastructure numérique (DNS, cloud, datacenters)
- • Administration publique
- • Espace
Autres secteurs critiques
- • Services postaux et d'expédition
- • Gestion des déchets
- • Fabrication de produits chimiques
- • Industrie agroalimentaire
- • Fabrication (dispositifs médicaux, électronique, machines, véhicules)
- • Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
- • Recherche
Attention : même si votre PME ne figure pas directement dans ces secteurs, vous pouvez être concerné en tant que sous-traitant ou fournisseur d'une entité régulée. Les grandes entreprises soumises à NIS2 devront évaluer la sécurité de leur chaîne d'approvisionnement, ce qui se traduira par des exigences contractuelles envers leurs prestataires.
Les obligations concrètes de NIS2
La directive impose un ensemble de mesures de gestion des risques que les entreprises doivent mettre en œuvre de manière proportionnée à leur taille et à leur exposition aux risques :
Analyse de risques et politiques de sécurité
Mettre en place une politique de sécurité des systèmes d'information (PSSI), réaliser des analyses de risques régulières et définir des mesures de sécurité adaptées. Cela inclut la classification des actifs, l'identification des menaces et la mise en place de contrôles proportionnés.
Gestion des incidents
Détecter, analyser et gérer les incidents de sécurité. Notification obligatoire à l'ANSSI sous 24h pour une alerte précoce, sous 72h pour un rapport détaillé, et sous 1 mois pour un rapport final. L'absence de notification peut entraîner des sanctions distinctes.
Continuité d'activité
Garantir la résilience des services essentiels avec des plans de continuité et de reprise d'activité (PCA/PRA), des sauvegardes testées régulièrement et des procédures de gestion de crise documentées.
Sécurité de la chaîne d'approvisionnement
Évaluer et gérer les risques liés aux fournisseurs et prestataires. Cela signifie auditer la sécurité de vos partenaires critiques, intégrer des clauses de sécurité dans les contrats et surveiller les accès accordés aux tiers.
Sécurité dans l'acquisition et le développement
Intégrer la sécurité dès la conception des systèmes (security by design), gérer les vulnérabilités avec une politique de mise à jour rigoureuse et réaliser des tests de sécurité (pentests, audits de code).
Formation et sensibilisation
Former les dirigeants et les collaborateurs aux enjeux de cybersécurité. NIS2 impose spécifiquement que les organes de direction suivent une formation en cybersécurité et valident les mesures prises — la responsabilité ne peut plus être déléguée entièrement au DSI.
Chiffrement et contrôle d'accès
Mettre en œuvre des politiques de chiffrement des données, d'authentification forte (MFA) et de gestion des accès basée sur le principe du moindre privilège.
Sanctions en cas de non-conformité
NIS2 introduit un régime de sanctions significatif, inspiré du RGPD, qui fait peser un risque financier réel sur les entreprises non conformes :
Entités essentielles
Jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial (le montant le plus élevé). L'ANSSI dispose en outre de pouvoirs de supervision renforcés : audits, inspections sur site, et possibilité de suspendre temporairement l'activité d'un dirigeant.
Entités importantes
Jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial (le montant le plus élevé). La supervision est réactive (sur signalement ou après incident), plutôt que proactive comme pour les entités essentielles.
Au-delà des sanctions financières, la directive prévoit la responsabilité personnelle des dirigeants. Les organes de direction peuvent être tenus responsables du non-respect des obligations de cybersécurité, ce qui constitue un changement majeur par rapport au cadre précédent.
Plan d'action en 6 étapes pour les PME
Évaluer votre éligibilité
Déterminez si votre entreprise entre dans le périmètre de NIS2 en croisant votre secteur d'activité avec les critères de taille. Si vous êtes fournisseur d'une entité régulée, anticipez les exigences contractuelles à venir.
Réaliser un audit de maturité cyber
Évaluez votre niveau actuel de sécurité par rapport aux exigences de NIS2. Un audit de maturité identifie les écarts et priorise les actions. C'est le point de départ indispensable pour un plan de mise en conformité réaliste.
Formaliser votre gouvernance
Nommez un responsable sécurité (RSSI interne ou externalisé), créez ou mettez à jour votre PSSI, et assurez l'implication des dirigeants via une formation dédiée. Documentez les rôles et responsabilités.
Mettre en place les mesures techniques
Déployez les mesures prioritaires : MFA, sauvegardes 3-2-1, segmentation réseau, EDR, gestion des vulnérabilités, chiffrement des données sensibles. Priorisez en fonction de votre analyse de risques.
Préparer la gestion d'incidents
Définissez un processus de détection, qualification et notification des incidents. Préparez les modèles de notification pour l'ANSSI (alerte 24h, rapport 72h, rapport final 1 mois). Testez votre procédure avec un exercice de crise.
Auditer et améliorer en continu
Planifiez des audits réguliers (pentest, audit de configuration), maintenez une veille réglementaire, et adaptez vos mesures au fil de l'évolution des menaces. La conformité NIS2 est un processus continu, pas un projet ponctuel.
Calendrier et échéances clés
Janvier 2023
Entrée en vigueur de la directive NIS2 au niveau européen
Octobre 2024
Date limite de transposition en droit national par les États membres
2025-2026
Publication des décrets d'application en France, enregistrement des entités auprès de l'ANSSI
2026-2027
Contrôles et premières sanctions possibles par l'ANSSI