La directive européenne NIS2 (Network and Information Security, 2e version) est entrée en application en octobre 2024. Elle concerne potentiellement des dizaines de milliers d'entreprises françaises qui n'en ont pas encore entendu parler - y compris des PME qui pensaient être trop petites pour être concernées. Voici ce que vous devez savoir.
Qu'est-ce que NIS2 ?
NIS2 est une directive européenne adoptée en décembre 2022, qui remplace et élargit considérablement la directive NIS1 de 2016. Son objectif : élever le niveau de cybersécurité de toutes les entités critiques au sein de l'Union européenne, en couvrant un spectre d'activités bien plus large que la première version.
En France, la transposition s'opère via la loi SREN (Sécurité et Régulation de l'Espace Numérique), qui confie à l'ANSSI le rôle d'autorité compétente pour contrôler et sanctionner les entités concernées. NIS2 couvre 18 secteurs d'activité, contre 7 pour NIS1 - incluant désormais la gestion des déchets, les services postaux, l'alimentation, la recherche ou encore la fabrication industrielle.
Qui est concerné par NIS2 ?
NIS2 distingue deux catégories d'entités, avec des seuils différents :
Entités Essentielles (EE) - Seuils : Plus de 250 salariés OU plus de 50 M€ de chiffre d'affaires
Secteurs : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administrations publiques, espace.
Régime de contrôle : Contrôle a priori. Sanctions jusqu'à 10 M€ ou 2 % du CA mondial.
Entités Importantes (EI) - Seuils : Plus de 50 salariés OU plus de 10 M€ de chiffre d'affaires
Secteurs : services postaux et de messagerie, gestion des déchets, fabrication (dispositifs médicaux, produits chimiques, véhicules), alimentation, numérique (marchés en ligne, moteurs de recherche, réseaux sociaux), recherche.
Régime de contrôle : Contrôle a posteriori (sur incident ou plainte). Sanctions jusqu'à 7 M€ ou 1,4 % du CA mondial.
Ce que NIS2 impose concrètement
NIS2 impose une approche de gestion du risque cyber, pas une liste de cases à cocher. Voici les principales obligations :
Analyse de risques et politique de sécurité : Documenter les risques cyber pesant sur l'organisation et formaliser une politique de sécurité des systèmes d'information (PSSI). Ce document doit être approuvé par la direction.
Gestion des incidents : Mettre en place des procédures de détection, de notification et de réponse aux incidents. Pour les entités essentielles, la notification à l'ANSSI doit intervenir dans les 24 heures suivant la découverte d'un incident significatif.
Continuité d'activité : Disposer d'un plan de continuité (PCA) et d'un plan de reprise d'activité (PRA) documentés et testés. Les sauvegardes doivent être régulières, isolées et vérifiées.
Sécurité de la chaîne d'approvisionnement : Évaluer les risques liés aux fournisseurs et prestataires IT. Inclure des clauses de sécurité dans les contrats. C'est cette obligation qui impacte indirectement les PME sous-traitantes.
Formation et sensibilisation : Les membres de la direction doivent suivre une formation à la cybersécurité. L'ensemble du personnel doit être sensibilisé aux risques (phishing, mots de passe, signalement d'incidents).
Chiffrement et contrôle d'accès : Utiliser le chiffrement pour les données sensibles en transit et au repos. Mettre en place une politique de contrôle d'accès avec authentification forte (MFA) sur les comptes critiques.
Les sanctions
Les sanctions NIS2 sont significativement plus élevées que sous NIS1, et suivent le modèle RGPD en retenant le plus élevé entre un montant fixe et un pourcentage du chiffre d'affaires mondial.
Entités Essentielles
Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé est retenu). La direction peut être personnellement mise en cause en cas de manquements graves.
Entités Importantes
Jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel. Le contrôle est a posteriori mais les sanctions s'appliquent dès qu'un incident révèle un non-respect des obligations.
Ce qu'Evoir peut faire pour votre conformité NIS2
La conformité NIS2 n'est pas un projet informatique : c'est un projet de gouvernance qui implique la direction, les RH, les équipes IT et les fournisseurs. Evoir accompagne les PME franciliennes dans :
- L'audit de périmètre NIS2 : déterminer si votre entité est concernée, dans quelle catégorie, et quel est l'écart entre votre posture actuelle et les exigences.
- La rédaction de la PSSI : politique de sécurité adaptée à votre taille et votre secteur, approuvée par la direction.
- Le plan d'actions priorisé : feuille de route avec effort estimé, coût, et impact sur la conformité.
- La documentation des processus : gestion des incidents, continuité d'activité, gestion des accès - les documents exigibles lors d'un contrôle ANSSI.
- L'audit technique de cybersécurité : vérification des configurations, des accès, des mises à jour et des sauvegardes.
Questions fréquentes sur NIS2
Une PME de 30 salariés est-elle concernée par NIS2 ?
Pas directement si son CA est inférieur à 10 M€ et qu'elle n'est pas sous-traitante d'une entité essentielle ou importante. En revanche, si elle fournit des services à une entreprise couverte par NIS2, cette dernière peut lui imposer contractuellement des exigences de sécurité issues de la directive.
Quand entrent en vigueur les sanctions NIS2 en France ?
La directive NIS2 devait être transposée avant le 17 octobre 2024. En France, la loi SREN pose le cadre législatif et les décrets d'application précisent les modalités de contrôle et de sanction. Les inspections par l'ANSSI sont progressivement mises en oeuvre à partir de 2025-2026.
Faut-il nommer un RSSI pour être conforme à NIS2 ?
NIS2 n'impose pas explicitement la nomination d'un RSSI, mais exige que la direction assume la responsabilité de la sécurité et suive une formation adéquate. Pour une entité importante, un référent sécurité interne ou externe est fortement recommandé pour piloter la conformité.
Comment savoir si on est sous-traitant d'une entité concernée par NIS2 ?
Si vous fournissez des services IT, de télécoms, d'énergie, de logistique, de santé ou de services financiers à une grande entreprise ou une administration, vous êtes probablement dans la chaîne d'approvisionnement d'une entité couverte. Vos clients vous feront remonter leurs exigences NIS2 sous forme d'annexes sécurité ou de questionnaires de conformité.
Audit de conformité NIS2 pour votre PME
Evoir évalue votre périmètre NIS2, identifie les écarts et vous remet un plan d'actions concret. Intervention à Paris et en Île-de-France.