Retour aux actualités
    Article

    Directive NIS2 : ce que les PME et ETI doivent savoir

    Entrée en application en octobre 2024, la directive européenne NIS2 (Network and Information Security) élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Là où NIS1 ne concernait qu'environ 500 entités en France, NIS2 en touche potentiellement plus de 15 000, dont de nombreuses PME et ETI. Voici tout ce qu'il faut savoir pour anticiper et se mettre en conformité.

    Qu'est-ce que la directive NIS2 ?

    NIS2 est la refonte de la directive européenne NIS de 2016. Son objectif : harmoniser et renforcer le niveau de cybersécurité à l'échelle de l'Union européenne face à l'augmentation exponentielle des cybermenaces. Elle impose des exigences renforcées en matière de gestion des risques, de notification des incidents et de gouvernance de la sécurité.

    Contrairement à NIS1 qui ciblait uniquement les opérateurs de services essentiels (énergie, transport, santé), NIS2 étend son champ à 18 secteurs d'activité et introduit deux catégories d'entités : les entités essentielles et les entités importantes. Cette distinction détermine le niveau de supervision et les sanctions applicables.

    En France, la transposition en droit national est assurée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), qui sera l'autorité compétente pour superviser la mise en conformité et sanctionner les manquements.

    Votre entreprise est-elle concernée ?

    La directive s'applique selon deux critères croisés : le secteur d'activité et la taille de l'entreprise. Sont concernées les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans l'un des secteurs suivants :

    Secteurs hautement critiques

    • • Énergie (électricité, gaz, pétrole, hydrogène)
    • • Transports (aérien, ferroviaire, maritime, routier)
    • • Banque et infrastructures des marchés financiers
    • • Santé (hôpitaux, laboratoires, industrie pharma)
    • • Eau potable et eaux usées
    • • Infrastructure numérique (DNS, cloud, datacenters)
    • • Administration publique
    • • Espace

    Autres secteurs critiques

    • • Services postaux et d'expédition
    • • Gestion des déchets
    • • Fabrication de produits chimiques
    • • Industrie agroalimentaire
    • • Fabrication (dispositifs médicaux, électronique, machines, véhicules)
    • • Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
    • • Recherche

    Attention : même si votre PME ne figure pas directement dans ces secteurs, vous pouvez être concerné en tant que sous-traitant ou fournisseur d'une entité régulée. Les grandes entreprises soumises à NIS2 devront évaluer la sécurité de leur chaîne d'approvisionnement, ce qui se traduira par des exigences contractuelles envers leurs prestataires.

    Les obligations concrètes de NIS2

    La directive impose un ensemble de mesures de gestion des risques que les entreprises doivent mettre en œuvre de manière proportionnée à leur taille et à leur exposition aux risques :

    Analyse de risques et politiques de sécurité

    Mettre en place une politique de sécurité des systèmes d'information (PSSI), réaliser des analyses de risques régulières et définir des mesures de sécurité adaptées. Cela inclut la classification des actifs, l'identification des menaces et la mise en place de contrôles proportionnés.

    Gestion des incidents

    Détecter, analyser et gérer les incidents de sécurité. Notification obligatoire à l'ANSSI sous 24h pour une alerte précoce, sous 72h pour un rapport détaillé, et sous 1 mois pour un rapport final. L'absence de notification peut entraîner des sanctions distinctes.

    Continuité d'activité

    Garantir la résilience des services essentiels avec des plans de continuité et de reprise d'activité (PCA/PRA), des sauvegardes testées régulièrement et des procédures de gestion de crise documentées.

    Sécurité de la chaîne d'approvisionnement

    Évaluer et gérer les risques liés aux fournisseurs et prestataires. Cela signifie auditer la sécurité de vos partenaires critiques, intégrer des clauses de sécurité dans les contrats et surveiller les accès accordés aux tiers.

    Sécurité dans l'acquisition et le développement

    Intégrer la sécurité dès la conception des systèmes (security by design), gérer les vulnérabilités avec une politique de mise à jour rigoureuse et réaliser des tests de sécurité (pentests, audits de code).

    Formation et sensibilisation

    Former les dirigeants et les collaborateurs aux enjeux de cybersécurité. NIS2 impose spécifiquement que les organes de direction suivent une formation en cybersécurité et valident les mesures prises — la responsabilité ne peut plus être déléguée entièrement au DSI.

    Chiffrement et contrôle d'accès

    Mettre en œuvre des politiques de chiffrement des données, d'authentification forte (MFA) et de gestion des accès basée sur le principe du moindre privilège.

    Sanctions en cas de non-conformité

    NIS2 introduit un régime de sanctions significatif, inspiré du RGPD, qui fait peser un risque financier réel sur les entreprises non conformes :

    Entités essentielles

    Jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial (le montant le plus élevé). L'ANSSI dispose en outre de pouvoirs de supervision renforcés : audits, inspections sur site, et possibilité de suspendre temporairement l'activité d'un dirigeant.

    Entités importantes

    Jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial (le montant le plus élevé). La supervision est réactive (sur signalement ou après incident), plutôt que proactive comme pour les entités essentielles.

    Au-delà des sanctions financières, la directive prévoit la responsabilité personnelle des dirigeants. Les organes de direction peuvent être tenus responsables du non-respect des obligations de cybersécurité, ce qui constitue un changement majeur par rapport au cadre précédent.

    Plan d'action en 6 étapes pour les PME

    1

    Évaluer votre éligibilité

    Déterminez si votre entreprise entre dans le périmètre de NIS2 en croisant votre secteur d'activité avec les critères de taille. Si vous êtes fournisseur d'une entité régulée, anticipez les exigences contractuelles à venir.

    2

    Réaliser un audit de maturité cyber

    Évaluez votre niveau actuel de sécurité par rapport aux exigences de NIS2. Un audit de maturité identifie les écarts et priorise les actions. C'est le point de départ indispensable pour un plan de mise en conformité réaliste.

    3

    Formaliser votre gouvernance

    Nommez un responsable sécurité (RSSI interne ou externalisé), créez ou mettez à jour votre PSSI, et assurez l'implication des dirigeants via une formation dédiée. Documentez les rôles et responsabilités.

    4

    Mettre en place les mesures techniques

    Déployez les mesures prioritaires : MFA, sauvegardes 3-2-1, segmentation réseau, EDR, gestion des vulnérabilités, chiffrement des données sensibles. Priorisez en fonction de votre analyse de risques.

    5

    Préparer la gestion d'incidents

    Définissez un processus de détection, qualification et notification des incidents. Préparez les modèles de notification pour l'ANSSI (alerte 24h, rapport 72h, rapport final 1 mois). Testez votre procédure avec un exercice de crise.

    6

    Auditer et améliorer en continu

    Planifiez des audits réguliers (pentest, audit de configuration), maintenez une veille réglementaire, et adaptez vos mesures au fil de l'évolution des menaces. La conformité NIS2 est un processus continu, pas un projet ponctuel.

    Calendrier et échéances clés

    Janvier 2023

    Entrée en vigueur de la directive NIS2 au niveau européen

    Octobre 2024

    Date limite de transposition en droit national par les États membres

    2025-2026

    Publication des décrets d'application en France, enregistrement des entités auprès de l'ANSSI

    2026-2027

    Contrôles et premières sanctions possibles par l'ANSSI

    Besoin d'un accompagnement NIS2 ?

    CyberSecure accompagne les PME et ETI dans leur mise en conformité NIS2 : audit de maturité, formalisation de la PSSI, mise en place des mesures techniques et organisationnelles, préparation aux notifications d'incidents.

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.