NIS2 : comment les PME peuvent se préparer sans attendre
La directive NIS2, adoptée à l’échelle de l’Union européenne, renforce les obligations de cybersécurité applicables aux entités critiques, y compris de nombreuses PME françaises. Son application prochaine implique une montée en maturité des organisations visées sur des sujets techniques, organisationnels et de gouvernance. En l’absence d’une préparation adéquate, les risques de sanctions juridiques et d’incidents majeurs augmentent sensiblement.
Télécharger Le guide complet ici
NIS2 : quels changements pour les PME françaises ?
La directive NIS2, successeur du texte de 2016, élargit considérablement le périmètre des entités concernées. Elle s’appliquera à des secteurs critiques et importants, incluant des entreprises de taille intermédiaire et des PME dans des domaines comme :
- la santé,
- l’énergie,
- les services numériques,
- les infrastructures de transport,
- la chaîne alimentaire ou la gestion de l’eau.
Concrètement, toute entreprise de plus de 50 salariés ou avec un chiffre d’affaires supérieur à 10 millions d’euros, exerçant dans un secteur désigné, peut être concernée.
Obligations principales : sécurité, incidents, gouvernance
NIS2 introduit des obligations renforcées en matière de cybersécurité opérationnelle :
- Évaluation des risques et mise en œuvre de mesures techniques adaptées,
- Gestion des incidents avec notification sous 24h d’un cyberévénement majeur,
- Sécurité de la chaîne d’approvisionnement,
- Politique de PRA / PCA en cas de perturbation numérique,
- Formation et sensibilisation du personnel,
- Responsabilité du top management avec des sanctions directes possibles en cas de négligence.
Autrement dit, la question de la cybersécurité ne peut plus rester cantonnée à l’IT, elle doit être intégrée à la gouvernance globale de l’entreprise.
Les premières étapes pour se mettre en conformité
1. Réaliser un audit de maturité cyber
Faire un audit de sécurité initial (technique et organisationnel) permet de cartographier les vulnérabilités existantes et de prioriser les actions. L’ANSSI et le CERT-FR recommandent des référentiels comme EBIOS Risk Manager ou ISO 27001.
2. Structurer un plan de continuité d’activité (PCA)
Documenter un plan de reprise en cas d’attaque ou de panne permet de réagir rapidement, limiter les impacts et répondre aux exigences de résilience de NIS2.
3. Mettre en œuvre des contrôles techniques de base
- Mise à jour des systèmes et clôture des ports inutiles,
- Utilisation systématique de MFA (authentification multifacteur),
- Analyse de logs, firewall, segmentation du réseau,
- Surveillance des accès et déploiement d’un SOC si possible (interne ou externalisé).
4. Renforcer la sécurité de la chaîne de fournisseurs
Les prestataires critiques (hébergeurs, SaaS, sous-traitants IT) doivent être évalués selon leurs garanties de sécurité, par contrat et par audit le cas échéant. Des clauses spécifiques, similaires à celles du RGPD, sont recommandées.
5. Impliquer la direction générale
Le texte prévoit la responsabilité directe des dirigeants. La cybersécurité devient un enjeu de gouvernance : budgétisation, politique de conformité, nomination d’un référent cyber ou d’un pilote interne sont essentiels.
À retenir
- NIS2 impose des obligations claires pour les PME « essentielles » ou « importantes ».
- La mise en conformité implique une approche globale : technique, organisationnelle et humaine.
- L’anticipation est clé : audit, PRA, sensibilisation doivent démarrer bien avant l’échéance légale.
- L’implication de la direction est centrale pour mobiliser les ressources nécessaires.
- Des guides ANSSI, ENISA ou CNIL peuvent être utilisés comme feuilles de route fiables.
Checklist
- ✅ MFA, journalisation et patching des systèmes
- ✅ Audit de maturité cyber initial
- ✅ Contrats tiers revus avec clauses cyber
- 🧭 Développement d’un PCA/PRA formalisé
- 🧭 Stratégie Zero Trust progressive
- 🏛️ Comité de pilotage cybersécurité actif
- 🏛️ Budget cybersécurité pluriannuel défini
Besoin d’aide pour construire votre feuille de route conformité ? Contactez notre équipe pour une évaluation sur mesure de votre exposition réglementaire NIS2.
Qui est concerné par NIS2 ?
Entités essentielles (Annexe I)
Énergie : électricité (prod/transport/distribution), gaz (dont GNL), pétrole, hydrogène, chauffage/refroidissement urbain.
Eau : eau potable et eaux usées.
Transports : aérien (aéroports, compagnies, contrôle aérien), ferroviaire (GI & exploitants), maritime (ports, armateurs), routier (gestionnaires de réseau, transport).
Banques (établissements de crédit).
Infrastructures de marchés financiers (ex. chambres de compensation, dépositaires centraux).
Santé : hôpitaux et prestataires de soins.
Infrastructures numériques : FAI/opérateurs télécom publics, IXP, DNS, registres/bureaux d’enregistrement, cloud, data centers, CDN, services de confiance (eIDAS), MSP/MSSP.
Administration publique : autorités centrales et régionales (selon la transposition nationale).
Espace : opérateurs d’infrastructures spatiales (segment sol).
Entités importantes (Annexe II)
Poste & messagerie.
Gestion des déchets.
Agroalimentaire : production/transform./distribution à grande échelle.
Chimie : fabrication/commerce de produits chimiques.
Industrie critique : fabricants de dispositifs médicaux, informatique/électronique/optique, équipements électriques, machines, automobile et autres matériels de transport.
Fournisseurs numériques : places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux.
Règle de taille & exceptions
La “size-cap rule” : en général, ≥ 50 salariés et ≥ 10 M€ → dans le périmètre si le secteur est listé.
Sont inclus même en dessous des seuils : certaines entités critiques (p. ex. DNS/TLD, clouds, télécoms, services de confiance, MSP/MSSP) ou si l’État les désigne au regard du risque.
