NIS2 : mise en conformité cybersécurité pour PME
La directive européenne NIS2 élargit fortement le nombre d'entreprises soumises à des obligations de cybersécurité, et beaucoup de PME sont concernées sans le savoir, directement ou comme sous-traitant d'un acteur régulé. Voici, sans jargon, ce que NIS2 demande vraiment et comment s'y conformer concrètement.
Demander un audit de conformité offertÉvaluez votre conformité NIS2
- Audit de votre infrastructure, sans engagement
- Un expert vous rappelle sous 24h
- 3 mois d'essai, réversible à tout moment
Une question directe ? Appelez le 04 28 29 40 72
Audit de conformité offert
Un expert vous rappelle sous 24h.
Données confidentielles. Aucun spam.
NIS2, c'est quoi exactement ?
NIS2 est une directive européenne de cybersécurité. Elle remplace et durcit la première directive NIS, adoptée quelques années plus tôt, dont le périmètre était jugé trop étroit. L'idée de départ est simple : à mesure que l'économie devient numérique, une attaque informatique sur un acteur clé peut paralyser un secteur entier. NIS2 cherche donc à relever le niveau de sécurité d'un grand nombre d'organisations en Europe, et à harmoniser les règles entre les États membres.
Le changement majeur par rapport à la version précédente, c'est l'élargissement du périmètre. Là où l'ancienne directive ne visait qu'un cercle restreint d'opérateurs essentiels, NIS2 couvre beaucoup plus de secteurs et abaisse le seuil d'entrée. Résultat, des entreprises de taille moyenne se retrouvent désormais dans le champ, alors qu'elles ne se sentaient jusqu'ici concernées par aucune réglementation cyber spécifique.
NIS2 distingue deux catégories d'organisations soumises à obligations : les entités essentielles et les entités importantes. La logique est la même pour les deux, mêmes mesures de sécurité attendues, mêmes obligations de notification. Ce qui change, ce sont surtout l'intensité de la surveillance par l'autorité et le plafond des sanctions, plus élevés pour les entités essentielles, jugées plus critiques.
Comme toute directive européenne, NIS2 doit être transposée dans le droit de chaque pays. En France, c'est la transposition nationale qui fixe le calendrier précis et certaines modalités, et l'ANSSI est l'autorité de référence sur le sujet. Nous restons donc prudents sur les dates et chiffres exacts dans cette page : ils relèvent du texte national, qui précise le cadre applicable.
L'effet sous-traitance : comment NIS2 rattrape les PME
C'est le point que beaucoup de dirigeants découvrent tard. Même si votre entreprise n'entre pas directement dans une catégorie NIS2 par sa taille ou son secteur, elle peut être concernée indirectement, parce qu'elle fournit un acteur qui, lui, est régulé.
NIS2 demande en effet aux entités soumises de sécuriser leur chaîne d'approvisionnement. En clair, un grand donneur d'ordre régulé doit s'assurer que ses fournisseurs et prestataires ne sont pas le maillon faible par lequel une attaque pourrait entrer. Pour se mettre lui-même en conformité, il va donc répercuter des exigences de sécurité par contrat sur ses sous-traitants, y compris des PME.
Concrètement, cela se traduit par des questionnaires de sécurité, des clauses contractuelles, des audits demandés avant de signer ou de renouveler un marché. Une PME qui ne sait pas y répondre risque tout simplement de perdre le contrat au profit d'un concurrent mieux préparé. La conformité devient alors un argument commercial autant qu'une obligation, et c'est souvent par là que la PME entre vraiment dans le sujet NIS2.
Suis-je concerné par NIS2 ?
Pas de réponse automatique, mais un faisceau d'indices qui aide à se situer.
Il n'existe pas de bouton magique pour savoir si une entreprise tombe sous NIS2. La réponse dépend de votre secteur d'activité, de votre taille, et de votre place dans des chaînes de valeur régulées. Plutôt qu'une promesse fausse, voici les indices à examiner. S'ils s'accumulent, le sujet doit être traité sérieusement, idéalement avec un accompagnement.
Votre secteur
NIS2 couvre de nombreux secteurs : énergie, transport, santé, eau, infrastructures numériques, fournisseurs de services TIC, agroalimentaire, fabrication, gestion des déchets, services postaux, espace, administration publique, entre autres. Si votre activité touche l'un d'eux, regardez de près.
Votre taille
La directive vise des seuils d'effectif et de chiffre d'affaires qui font entrer beaucoup d'entreprises moyennes dans le champ. Les seuils exacts relèvent de la transposition nationale, mais la logique est d'élargir bien au-delà des seules grandes structures.
Votre chaîne de valeur
Si vous êtes fournisseur, prestataire ou sous-traitant d'un acteur régulé, ses obligations de sécurité de la chaîne d'approvisionnement vont vous être répercutées par contrat, même si vous n'êtes pas vous-même classé entité NIS2.
Le réflexe utile n'est pas de chercher à tout prix à se déclarer hors champ, mais d'évaluer son exposition réelle. Même une PME non soumise directement a tout intérêt à atteindre le niveau de sécurité attendu : c'est le même socle qui protège des rançongiciels et qui rassure clients et assureurs. La conformité bien menée est d'abord une bonne hygiène de sécurité.
Entité essentielle ou entité importante
Deux statuts, des obligations communes, une intensité de contrôle différente.
| Aspect | Entité essentielle | Entité importante |
|---|---|---|
| Mesures de sécurité attendues | Les mêmes (article 21) | Les mêmes (article 21) |
| Obligation de notification d'incident | Oui | Oui |
| Surveillance par l'autorité | Plus stricte, contrôles proactifs possibles | Surveillance plutôt a posteriori |
| Plafond de sanctions | Plus élevé | Élevé mais inférieur |
| Logique de classement | Acteurs jugés les plus critiques | Acteurs importants mais moins critiques |
À retenir pour une PME : que vous soyez classé essentiel ou important, le travail technique à mener est quasiment identique. La différence joue surtout sur la pression réglementaire et le risque financier en cas de manquement. Autrement dit, ne pas savoir dans quelle case on tombe n'est pas une raison pour attendre, puisque le socle de mesures à mettre en place est le même.
Ce que NIS2 exige concrètement
Les mesures de l'article 21, traduites en actions compréhensibles.
Le cœur des obligations techniques de NIS2 tient dans son article 21 : les entités doivent prendre des mesures de gestion des risques cyber, appropriées et proportionnées. Le texte ne fournit pas une liste de produits à acheter, mais un ensemble de domaines à couvrir. Voici comment ces exigences se traduisent dans la vie réelle d'une PME.
Gouvernance et analyse de risque
Identifier ce qui doit être protégé, évaluer les menaces et formaliser une politique de sécurité. La direction doit savoir où sont les risques, pas juste l'équipe technique.
Gestion des incidents
Être capable de détecter, traiter et tracer un incident de sécurité. Cela suppose une supervision et des procédures, pas seulement un antivirus installé.
Continuité et sauvegarde
Garantir la reprise d'activité après un incident : sauvegardes testées, plan de continuité, gestion de crise. Une sauvegarde jamais restaurée ne compte pas.
Sécurité de la chaîne d'approvisionnement
S'assurer que fournisseurs et prestataires ne sont pas un point d'entrée. C'est ce qui répercute NIS2 sur les sous-traitants.
Contrôle d'accès et MFA
L'authentification multifacteur, la gestion des droits et des comptes à privilèges figurent parmi les mesures attendues. Un mot de passe seul ne suffit plus.
Chiffrement
Protéger les données sensibles par le chiffrement, au repos comme en transit, pour limiter l'impact d'un vol ou d'une fuite.
Supervision et détection
Surveiller en continu le système pour repérer une attaque tôt. Sans détection, l'obligation de notifier vite devient impossible à tenir.
Sensibilisation et hygiène
Former les équipes aux bons réflexes : phishing, mots de passe, mises à jour. L'humain reste le premier vecteur d'attaque, donc le premier levier.
Maintenance et vulnérabilités
Tenir le système à jour, gérer les correctifs et les failles connues. Beaucoup d'attaques exploitent une vulnérabilité non corrigée depuis des mois.
Notification d'incident : la règle des 24h et 72h
Au-delà des mesures de protection, NIS2 impose une obligation qui change beaucoup de choses au quotidien : notifier les incidents significatifs à l'autorité, dans des délais courts. La logique est progressive, pour ne pas exiger un rapport complet quand l'incident est encore en cours.
Alerte précoce sous 24 heures. Dès qu'un incident significatif est repéré, l'entité doit émettre une première alerte rapide. Il ne s'agit pas d'un rapport détaillé, mais d'un signalement initial indiquant qu'il se passe quelque chose, avec les premiers éléments connus.
Notification sous 72 heures. Dans les trois jours, une notification plus complète doit suivre : nature de l'incident, gravité, impact, premières mesures prises. C'est là que la capacité à investiguer compte vraiment, car sans chronologie de l'attaque, remplir cette notification sérieusement est presque impossible.
Des étapes ultérieures sont également prévues, comme un rapport final une fois l'incident traité. L'esprit du dispositif est clair : l'autorité veut être informée vite, puis disposer d'une analyse de ce qui s'est passé et de ce qui a été corrigé.
La responsabilité du dirigeant. Point essentiel de NIS2 : la conformité n'est plus une affaire reléguée à l'informatique. La directive engage la responsabilité des organes de direction, qui doivent approuver les mesures de gestion des risques, en superviser la mise en oeuvre et se former. En cas de manquement, la responsabilité peut remonter jusqu'aux dirigeants. La cybersécurité devient un sujet de gouvernance, au même titre que les finances.
Sanctions et risques de non-conformité
Soyons mesurés sur ce point, car c'est souvent là que circulent des chiffres approximatifs. NIS2 prévoit des sanctions qui peuvent être lourdes, et c'est ce qui explique l'attention soudaine portée au sujet. Selon les analyses du texte, les amendes peuvent atteindre des montants élevés, de l'ordre de plusieurs millions d'euros ou d'un pourcentage du chiffre d'affaires mondial, avec un plafond plus haut pour les entités essentielles que pour les entités importantes.
Au-delà des amendes, l'autorité dispose de leviers de contrainte : injonctions, audits imposés, voire des mesures touchant la direction selon ce que prévoit le droit national. Et puis il y a la responsabilité personnelle des dirigeants, déjà évoquée, qui rend le sujet difficile à ignorer au plus haut niveau de l'entreprise.
Mais réduire NIS2 à une menace d'amende serait passer à côté de l'essentiel. Le vrai risque de la non-conformité, pour une PME, c'est le risque opérationnel : un rançongiciel qui arrête l'activité plusieurs jours, des données volées, des clients régulés qui rompent le contrat parce que vous ne pouvez pas démontrer votre niveau de sécurité. Les mesures demandées par NIS2 sont précisément celles qui réduisent ce risque. Vue ainsi, la conformité est un investissement de protection autant qu'une obligation légale.
La démarche de mise en conformité, étape par étape
Pas un grand chantier abstrait, mais une progression concrète et maîtrisée.
1. Audit d'écart
On compare votre situation actuelle aux exigences de NIS2 : ce qui est déjà en place, ce qui manque, ce qui est insuffisant. C'est le point de départ qui évite de dépenser au hasard.
2. Plan d'action priorisé
On traduit les écarts en feuille de route, en commençant par ce qui réduit le plus de risque pour le moins d'effort. La conformité n'est pas un mur, c'est une suite d'étapes hiérarchisées.
3. Déploiement des mesures
On met en place les briques techniques et organisationnelles : EDR, MFA, sauvegarde, supervision, politiques de sécurité, sensibilisation des équipes.
4. Documentation
On formalise ce qui est fait : politiques, procédures, registre des incidents, preuves. NIS2 attend que vous puissiez démontrer votre conformité, pas seulement l'affirmer.
5. Procédure d'incident
On prépare à l'avance le scénario de notification 24h/72h : qui fait quoi, qui prévient l'autorité, comment investiguer. Improviser le jour de l'attaque coûte cher.
6. Amélioration continue
La conformité n'est pas une photo, c'est un film. Les menaces évoluent, le système aussi : on révise les mesures, on rejoue les exercices, on tient la documentation à jour.
Comment Infranat vous met en conformité
La plupart des PME n'ont ni l'équipe ni le temps de mener seules un chantier de conformité NIS2. Notre rôle est de transformer une obligation réglementaire en un dispositif de sécurité réel, opéré pour vous, et documenté pour prouver que les mesures sont en place.
Nous partons d'un audit d'écart offert qui situe votre maturité face aux exigences, puis nous déployons les mesures techniques attendues et nous en assurons l'exploitation dans la durée. Vous gardez la main sur les décisions, nous portons la charge opérationnelle.
Surtout, nous fournissons la traçabilité qui manque souvent : politiques écrites, supervision active, registre des incidents, comptes rendus. C'est exactement ce qui permet de répondre à un audit, à un assureur ou à un donneur d'ordre régulé.
Notre accompagnement NIS2
- Audit d'écart et plan d'action priorisé
- EDR et MDR managés pour la détection et la réponse
- Sauvegarde testée selon la règle 3-2-1
- Supervision 24/7 et gestion des incidents
- MFA, contrôle d'accès et chiffrement
- Politique de sécurité et documentation
- Sensibilisation des équipes
Le détail de notre offre sécurité : voir notre page expert cybersécurité.
La sauvegarde 3-2-1, pilier de la continuité NIS2
Parce que la résilience est une exigence explicite de la directive.
NIS2 demande de garantir la continuité d'activité après un incident. En pratique, pour une PME, le filet de sécurité décisif reste la sauvegarde, à condition qu'elle soit conçue pour résister à une attaque, pas seulement à une panne de disque. C'est tout l'intérêt de la règle 3-2-1 : trois copies des données, sur deux types de supports différents, dont une copie hors site et idéalement déconnectée ou immuable.
Pourquoi tant d'insistance ? Parce que les attaquants modernes cherchent justement à détruire ou chiffrer les sauvegardes avant de frapper, sachant que c'est le seul moyen de restauration. Une sauvegarde accessible depuis le même réseau, avec les mêmes accès, tombe en même temps que le reste. Une copie isolée, elle, reste intacte et permet de redémarrer.
Et puis il y a la règle d'or trop souvent oubliée : une sauvegarde ne vaut que par sa restauration testée. Tant qu'on n'a pas vérifié qu'on peut réellement remonter les données dans un délai acceptable, on a une fausse assurance. Nous intégrons ces tests de restauration dans l'accompagnement, parce que c'est ce que NIS2, comme le bon sens, attend vraiment.
NIS2 et RGPD : deux textes, deux objectifs
On confond souvent les deux, parce que les deux parlent de protection et d'obligations. Pourtant ils ne visent pas la même chose. Le RGPD protège les données à caractère personnel et la vie privée des individus. Son angle, c'est la donnée personnelle : comment elle est collectée, traitée, sécurisée, et ce qui se passe en cas de fuite.
NIS2 a un objectif plus large : la cybersécurité et la résilience des organisations jugées importantes pour l'économie et la société. Son angle, c'est la sécurité du système d'information dans son ensemble, qu'il y ait ou non des données personnelles en jeu.
Les deux se recouvrent en partie : une bonne mise en conformité NIS2 renforce mécaniquement la protection des données personnelles, et donc le volet sécurité du RGPD. Mais ils ne se remplacent pas. Une entreprise peut être soumise aux deux, et devra alors articuler ses obligations, notamment sur la gestion et la notification des incidents, qui obéissent à des délais et des destinataires différents. L'avantage, c'est qu'un socle de sécurité solide sert les deux à la fois.
NIS2 pour les PME, vos questions
Pour aller plus loin
Les briques concrètes qui servent une mise en conformité NIS2.