NIS2 : quelles obligations pour les PME et comment s’y préparer

La plupart des dirigeants de PME ont entendu parler de NIS2 sans savoir si leur entreprise est réellement concernée. Beaucoup partent du principe que cette réglementation vise uniquement les grands groupes ou les opérateurs d’infrastructures critiques. C’est précisément cette supposition qui pose problème.

NIS2 élargit fortement le périmètre des entreprises soumises à des obligations de cybersécurité en Europe. Certaines PME entrent directement dans son champ d’application. Beaucoup d’autres sont concernées indirectement, en tant que fournisseurs ou sous-traitants d’entités régulées. Dans les deux cas, la question dépasse le simple cadre réglementaire : elle touche à la capacité de l’entreprise à conserver ses clients et à démontrer son niveau de sécurité.

NIS2 : de quoi parle-t-on exactement

La directive NIS2 (Network and Information Security 2) est un texte européen adopté fin 2022 pour renforcer et harmoniser le niveau de cybersécurité des organisations au sein de l’Union européenne. Sur le plan juridique, il s’agit de la directive (UE) 2022/2555. Elle remplace la première directive NIS, adoptée en 2016, devenue trop limitée face à l’évolution des menaces.

La logique de NIS2 repose sur un constat simple : la sécurité d’une économie ne dépend plus de quelques grands opérateurs, mais d’un réseau d’entreprises interconnectées. Un incident sur un fournisseur peut se propager à l’ensemble de ses clients. C’est cette réalité qui explique l’élargissement du texte.

Là où la première directive ne visait qu’un nombre restreint d’opérateurs, NIS2 étend considérablement son application : davantage de secteurs, davantage d’entreprises, et des obligations plus précises en matière de gestion des risques et de déclaration des incidents.

Qui est concerné par NIS2 ?

NIS2 introduit deux catégories d’entités régulées : les entités essentielles et les entités importantes. Cette distinction détermine le niveau de contrôle exercé par les autorités et l’ampleur des sanctions encourues, mais les obligations de fond restent globalement similaires entre les deux.

Entités essentielles et entités importantes

Les entités essentielles regroupent généralement les organisations les plus grandes opérant dans les secteurs jugés les plus critiques. Elles sont soumises à un régime de supervision proactif : les autorités peuvent contrôler leur conformité sans attendre qu’un incident survienne.

Les entités importantes rassemblent les autres organisations entrant dans le champ de la directive. Leur supervision est principalement effectuée a posteriori, c’est-à-dire à la suite d’un incident ou d’un signalement. Cette catégorie reste néanmoins pleinement soumise aux obligations de gestion des risques et de déclaration.

Les secteurs couverts

Le champ sectoriel a été fortement élargi. NIS2 distingue les secteurs « hautement critiques » et d’« autres secteurs critiques ».

Les secteurs hautement critiques comprennent notamment :

– l’énergie, les transports et le secteur bancaire
– les infrastructures des marchés financiers et la santé
– l’eau potable et les eaux usées
– les infrastructures numériques et la gestion des services TIC
– les administrations publiques et le secteur spatial

Les autres secteurs critiques concernent notamment :

– les services postaux et d’expédition
– la gestion des déchets et le secteur des produits chimiques
– le secteur alimentaire et l’industrie manufacturière (dispositifs médicaux, informatique et électronique, machines, véhicules, etc.)
– les fournisseurs numériques (places de marché, moteurs de recherche, plateformes de réseaux sociaux) et la recherche

Les seuils de taille

En principe, NIS2 s’applique aux entreprises de taille moyenne et grande opérant dans ces secteurs, c’est-à-dire à partir de 50 salariés ou de 10 millions d’euros de chiffre d’affaires. Certaines entités restent concernées quelle que soit leur taille, en raison de leur rôle particulièrement critique.

Une petite entreprise de moins de 50 salariés, située en dehors des secteurs listés, n’entre donc généralement pas directement dans le champ de la directive. Cette lecture est toutefois incomplète si l’on s’arrête là.

Le vrai point d’attention pour les PME : l’effet en cascade

Même sans être directement soumise à NIS2, une PME peut être concernée par ricochet. La directive impose aux entités régulées de sécuriser leur chaîne d’approvisionnement, y compris leurs fournisseurs et prestataires. Concrètement, une entreprise soumise à NIS2 va exiger de ses sous-traitants un niveau de sécurité cohérent avec ses propres obligations.

Pour une PME qui travaille avec des clients de secteurs régulés, cela change la donne : la cybersécurité devient un critère contractuel, parfois une condition pour continuer la collaboration. Ce mécanisme prolonge une tendance déjà bien installée, celle des attaques qui progressent par rebond via les prestataires.

Cyberattaques supply chain : un risque sous-estimé pour les entreprises

Ce que NIS2 impose concrètement

Les obligations de NIS2 s’organisent autour de trois grands volets : des mesures de gestion des risques, une obligation de déclaration des incidents et une responsabilisation directe des dirigeants.

Des mesures de gestion des risques

NIS2 ne se contente pas d’exiger « de la sécurité » de manière vague. Elle impose des mesures techniques et organisationnelles proportionnées au risque, parmi lesquelles :

– l’analyse des risques et les politiques de sécurité des systèmes d’information
– la gestion des incidents, de la détection à la remédiation
– la continuité d’activité et la gestion des sauvegardes
– la sécurité de la chaîne d’approvisionnement
– la sécurité liée à l’acquisition et à la maintenance des systèmes
– le recours à l’authentification multifacteur et à des communications sécurisées

Ces exigences recoupent largement les fondamentaux d’une bonne hygiène de sécurité. Une entreprise qui a déjà structuré la protection de ses accès, ses sauvegardes et sa capacité de détection a parcouru une grande partie du chemin.

MFA : indispensable ou contraignant pour les PME ?

Une obligation de déclaration des incidents

NIS2 encadre précisément la déclaration des incidents significatifs auprès de l’autorité compétente, avec des délais volontairement courts :

– une alerte précoce dans les 24 heures suivant la détection
– une notification plus complète dans les 72 heures
– un rapport final dans un délai d’un mois

Respecter ces délais suppose d’être capable de détecter un incident rapidement, puis de le qualifier. Une entreprise incapable de repérer une compromission avant plusieurs jours ne pourra pas, dans les faits, tenir ces échéances. C’est là que la question de la supervision devient déterminante.

SOC cybersécurité PME : à quoi ça sert vraiment ?

La responsabilité des dirigeants

C’est l’un des changements les plus marquants du texte. NIS2 place la cybersécurité au niveau de la direction. Les organes de direction doivent approuver les mesures de gestion des risques, en superviser la mise en œuvre et peuvent être tenus responsables en cas de manquement. La sécurité cesse d’être un sujet délégué exclusivement à l’informatique pour devenir une responsabilité de gouvernance.

Les sanctions prévues par NIS2

NIS2 prévoit des sanctions dissuasives, différenciées selon la catégorie d’entité. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires.

Au-delà des montants, les autorités disposent de pouvoirs de contrôle et peuvent imposer des mesures correctives. Le risque n’est donc pas uniquement financier : un manquement peut également peser sur la réputation de l’entreprise et fragiliser sa relation avec ses clients régulés.

NIS2 en France : où en est-on

La transposition de NIS2 en droit national relève de chaque État membre. En France, l’ANSSI a été désignée comme autorité de référence pour la mise en œuvre du dispositif et l’accompagnement des entités concernées.

La transposition française a pris du retard par rapport à l’échéance européenne, et le calendrier d’application précis pour les entreprises concernées a évolué au fil du processus législatif. Ce point étant susceptible d’avoir changé récemment, il est recommandé de vérifier le statut exact de la transposition et les échéances applicables directement auprès de l’ANSSI, qui publie des informations officielles à destination des entités concernées.

Comment se préparer à NIS2, même sans être directement concerné

Attendre d’être formellement identifié comme entité régulée pour agir serait une erreur, pour deux raisons. La mise en conformité prend du temps. Et les exigences que NIS2 fait descendre le long de la chaîne d’approvisionnement s’appliquent, dans les faits, bien avant toute obligation légale directe. La préparation repose sur quelques étapes structurantes.

Déterminer précisément son exposition

Première question à trancher : l’entreprise est-elle concernée directement, indirectement, ou pas du tout ? Cela suppose d’examiner son secteur et sa taille, mais aussi la nature de ses clients. Une PME qui fournit des services à des acteurs de la santé, de l’énergie ou du secteur bancaire a tout intérêt à anticiper des exigences contractuelles renforcées.

Évaluer son niveau de sécurité actuel

On ne peut pas se mettre en conformité avec ce que l’on ne mesure pas. Un audit permet d’objectiver l’écart entre les pratiques en place et les exigences attendues, puis de hiérarchiser les actions à mener. C’est la base d’une démarche de conformité réaliste, qui évite de disperser les efforts sans lien avec les risques réels.

Audit de cybersécurité : que contient-il vraiment pour une PME ?

Renforcer les fondamentaux

La plupart des mesures attendues par NIS2 correspondent à des briques de sécurité éprouvées : protection des accès, sécurisation des postes de travail et des serveurs, sauvegardes isolées et testées, capacité de détection. Une PME qui consolide ces fondamentaux répond simultanément à une grande partie des attentes réglementaires et à la réalité des menaces.

Sécurité des postes et serveurs : pourquoi ils sont au cœur des compromissions

Structurer la gouvernance et la réponse aux incidents

NIS2 insiste sur la capacité à détecter, déclarer et gérer un incident. Cela suppose une supervision continue et des procédures définies à l’avance. Pour les entreprises qui ne disposent pas des ressources internes nécessaires, l’externalisation de tout ou partie de ces fonctions — supervision, RSSI externalisé — constitue une réponse adaptée à la contrainte de temps et de compétences.

Pourquoi externaliser sa cybersécurité en PME ?

Contrainte réglementaire ou levier de confiance

NIS2 est souvent perçue comme une contrainte supplémentaire. Cette lecture est incomplète. Pour une PME, pouvoir démontrer un niveau de sécurité conforme devient un argument commercial, en particulier face à des clients eux-mêmes soumis à la directive. La conformité se transforme alors en facteur de différenciation plutôt qu’en simple coût, au moment même où les donneurs d’ordre cherchent à réduire leur exposition via leurs fournisseurs.

Ce qu’il faut retenir

NIS2 marque un changement d’échelle dans la réglementation cyber européenne. Elle élargit le nombre d’entreprises concernées, précise les obligations et engage directement la responsabilité des dirigeants.

Pour une PME, trois questions méritent d’être tranchées sans attendre : suis-je concerné directement ou via mes clients, quel est l’écart entre mes pratiques actuelles et les exigences attendues, et par quoi commencer pour le réduire. Y répondre tôt évite de subir la mise en conformité dans l’urgence, ou pire, sous la pression d’un client prêt à changer de fournisseur.

Que l’entreprise soit régulée ou non, la logique de NIS2 rejoint celle d’une cybersécurité bien pensée : protéger les accès, détecter vite, savoir réagir. La réglementation ne fait qu’en formaliser l’exigence.

Cybersécurité PME : stratégies, outils et bonnes pratiques pour se protéger

Partager