NIS2conformitéPMEETIréglementation

Directive NIS2 en France : êtes-vous concerné ? Guide complet PME et ETI

Lecture 14 min

La directive NIS2 entre en application en France. Découvrez si votre entreprise est concernée, quelles sont vos obligations et comment vous mettre en conformité.

La directive NIS2 (Network and Information Security) est le texte européen le plus ambitieux en matière de cybersécurité. Adoptée en janvier 2023, elle remplace la directive NIS1 de 2016 et élargit considérablement le périmètre des organisations concernées. En France, sa transposition concerne désormais des milliers de PME et ETI qui n'étaient pas visées par NIS1.

L'ampleur du changement : NIS1 concernait environ 300 entités en France (OIV et OSE). NIS2 étend ce périmètre à plus de 15 000 entités, incluant des PME à partir de 50 salariés dans les secteurs critiques.

Qu'est-ce que NIS2 change concrètement ?

Un périmètre élargi

NIS2 introduit deux catégories d'entités : les entités « essentielles » (EE) et les entités « importantes » (EI). Les critères de taille sont simples : toute entreprise de plus de 50 salariés ou 10M€ de CA dans un secteur couvert est potentiellement concernée.

Des obligations renforcées

Gouvernance cyber formalisée, analyse de risques, gestion des incidents, sécurité de la chaîne d'approvisionnement, continuité d'activité, formation et sensibilisation, chiffrement et contrôle d'accès.

Des sanctions dissuasives

Jusqu'à 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles, 7 millions ou 1,4 % du CA pour les entités importantes. La responsabilité personnelle des dirigeants peut être engagée.

Les 18 secteurs couverts par NIS2

NIS2 distingue les secteurs « à haute criticité » et les « autres secteurs critiques ». Voici la liste complète :

Haute criticité (Annexe I)

  • • Énergie (électricité, gaz, pétrole, hydrogène)
  • • Transports (aérien, ferroviaire, maritime, routier)
  • • Banque et infrastructures de marchés financiers
  • • Santé
  • • Eau potable et eaux usées
  • • Infrastructures numériques
  • • Gestion de services TIC (B2B)
  • • Administration publique
  • • Espace

Autres secteurs critiques (Annexe II)

  • • Services postaux et d'expédition
  • • Gestion des déchets
  • • Fabrication, production et distribution de produits chimiques
  • • Production, transformation et distribution de denrées alimentaires
  • • Fabrication (dispositifs médicaux, produits informatiques, équipements électriques, machines, véhicules)
  • • Fournisseurs numériques
  • • Recherche

Comment savoir si votre entreprise est concernée ?

Posez-vous ces trois questions :

Question 1 : Votre activité principale entre-t-elle dans l'un des 18 secteurs ci-dessus ?

Question 2 : Votre entreprise compte-t-elle plus de 50 salariés OU réalise-t-elle plus de 10 millions d'euros de chiffre d'affaires annuel ?

Question 3 : Êtes-vous sous-traitant ou fournisseur d'une entité elle-même soumise à NIS2 ?

Attention à l'effet cascade :même si votre PME n'entre pas directement dans le périmètre, vos clients grands comptes soumis à NIS2 devront sécuriser leur chaîne d'approvisionnement. Ils vous imposeront des exigences cyber dans leurs contrats.

Les 10 mesures de sécurité imposées par NIS2

L'article 21 de la directive définit 10 catégories de mesures que les entités doivent mettre en œuvre :

1

Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information

2

Gestion des incidents (prévention, détection, réponse)

3

Continuité des activités et gestion des crises

4

Sécurité de la chaîne d'approvisionnement

5

Sécurité dans l'acquisition, le développement et la maintenance des réseaux et SI

6

Politiques et procédures d'évaluation de l'efficacité des mesures

7

Pratiques de base en cyberhygiène et formation

8

Politiques d'utilisation de la cryptographie et du chiffrement

9

Sécurité des ressources humaines, contrôle d'accès et gestion des actifs

10

Utilisation de solutions d'authentification multi-facteurs (MFA) et de communications sécurisées

Notification des incidents : le nouveau cadre

NIS2 impose un processus de notification en trois étapes pour tout incident significatif :

24h

Alerte précoce

Notification initiale à l'ANSSI dans les 24 heures suivant la détection de l'incident

72h

Notification complète

Rapport détaillé avec évaluation initiale de la gravité, de l'impact et des indicateurs de compromission

1m

Rapport final

Analyse complète de l'incident, cause racine, mesures de remédiation appliquées et impact transfrontalier éventuel

Se mettre en conformité : par où commencer ?

Phase 1 : Évaluation (1-2 mois)

Déterminer si vous êtes concerné, cartographier votre SI et vos flux, réaliser une analyse d'écart (gap analysis) par rapport aux exigences NIS2.

Phase 2 : Planification (2-3 mois)

Analyse de risques formalisée (EBIOS RM recommandé par l'ANSSI), rédaction de la politique de sécurité, plan de remédiation priorisé et budgétisé.

Phase 3 : Implémentation (3-6 mois)

Déploiement des mesures techniques (MFA, chiffrement, segmentation, détection), mise en place des procédures (incidents, crise, continuité), formation des équipes.

Phase 4 : Maintien (continu)

Audits réguliers, exercices de crise annuels, veille sur les vulnérabilités, mise à jour de l'analyse de risques, amélioration continue.

NIS2 vous concerne ? On vous accompagne.

NetMeSafe réalise des diagnostics de conformité NIS2 adaptés aux PME et ETI : évaluation de votre périmètre, gap analysis, et feuille de route de mise en conformité.

Évaluer ma conformité NIS2