NIS2 et PME : ce que la directive européenne change pour votre sécurité informatique

La directive NIS2 (Network and Information Security 2) est entrée en vigueur au niveau européen en octobre 2024. Elle remplace la directive NIS1 de 2016 et élargit considérablement le périmètre des entreprises concernées par des obligations de cybersécurité.

Jusqu'ici, seuls les grands opérateurs de services essentiels étaient visés. Avec NIS2, des milliers de PME françaises entrent dans le périmètre : entreprises de 50 salariés et plus, dans 18 secteurs d'activité, mais aussi certains de leurs sous-traitants.

Votre PME est-elle concernée ? Quelles sont les obligations concrètes ? Comment se préparer sans y consacrer un budget démesuré ? Voici ce que vous devez savoir.

Qu'est-ce que la directive NIS2 ?

NIS2 est une directive européenne adoptée en novembre 2022 et applicable depuis octobre 2024. Elle vise à élever le niveau global de cybersécurité en Europe en imposant des obligations minimales aux entités jugées importantes pour le fonctionnement de l'économie et de la société.

En France, la transposition en droit national est en cours. Le texte sera piloté par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Contrairement à NIS1, qui ne concernait qu'environ 300 entités en France, NIS2 devrait s'appliquer à plus de 10 000 entités, dont une grande partie de PME et ETI.

L'objectif est clair : face à la multiplication des cyberattaques (ransomwares, attaques sur la supply chain, espionnage industriel), l'Europe considère que la cybersécurité ne peut plus être optionnelle pour les entreprises qui jouent un rôle dans l'économie.

Votre PME est-elle concernée ?

Deux critères principaux déterminent si vous entrez dans le périmètre NIS2 :

Critère de taille : votre entreprise compte 50 salariés ou plus, OU réalise un chiffre d'affaires supérieur à 10 millions d'euros.

Critère sectoriel : votre activité relève de l'un des 18 secteurs définis par la directive. Les secteurs « hautement critiques » :

• Énergie (électricité, gaz, pétrole, hydrogène)
• Transports (aérien, ferroviaire, maritime, routier)
• Secteur bancaire et infrastructures des marchés financiers
• Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
• Eau potable et eaux usées
• Infrastructures numériques (DNS, datacenters, cloud, télécoms)
• Administration publique
• Espace

Les secteurs « importants » :

• Services postaux et d'expédition
• Gestion des déchets
• Industrie chimique
• Industrie alimentaire
• Fabrication (dispositifs médicaux, produits électroniques, machines, véhicules)
• Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
• Recherche

Point crucial : même si votre PME ne relève pas directement de ces secteurs, si vous êtes sous-traitant ou fournisseur d'une entité concernée, vous serez soumis à des exigences de sécurité par effet de cascade. NIS2 impose en effet la sécurisation de toute la chaîne d'approvisionnement.

Les 10 obligations clés de NIS2

La directive impose un socle minimal de mesures de cybersécurité. Voici les 10 obligations principales que les entités concernées devront mettre en œuvre :

• 1. Analyse de risques : réaliser et maintenir à jour une analyse des risques pesant sur votre système d'information.
• 2. Politique de sécurité : définir et appliquer une politique de sécurité des systèmes d'information documentée.
• 3. Gestion des incidents : mettre en place des procédures de détection, de gestion et de signalement des incidents de sécurité.
• 4. Continuité d'activité : disposer d'un plan de continuité et de reprise d'activité (PRA/PCA), incluant la gestion des sauvegardes.
• 5. Sécurité de la chaîne d'approvisionnement : évaluer et gérer les risques liés à vos fournisseurs et sous-traitants.
• 6. Formation des dirigeants : les organes de direction doivent être formés à la cybersécurité et approuver les mesures de gestion des risques.
• 7. Chiffrement : mettre en œuvre le chiffrement des données sensibles en transit et au repos.
• 8. Gestion des vulnérabilités : détecter et corriger les vulnérabilités de vos systèmes (patch management).
• 9. Tests réguliers : réaliser des tests de sécurité périodiques (audits, tests d'intrusion, exercices de crise).
• 10. Notification des incidents : signaler tout incident significatif à l'autorité compétente dans un délai de 24 heures (alerte initiale), puis fournir un rapport complet sous 72 heures.

Ces obligations ne sont pas toutes au même niveau d'exigence selon que vous êtes classé « entité essentielle » ou « entité importante ». Mais le socle commun reste exigeant. Un audit de sécurité initial permet de mesurer votre écart par rapport à ces obligations.

Les sanctions en cas de non-conformité

NIS2 introduit un régime de sanctions significativement plus sévère que NIS1 :

• Entités essentielles : amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé).
• Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel.

Mais au-delà des amendes, la vraie nouveauté de NIS2 est la responsabilité personnelle des dirigeants. Les organes de direction peuvent être tenus personnellement responsables en cas de manquement aux obligations de cybersécurité. C'est un changement majeur : la cybersécurité n'est plus un sujet technique délégué à l'IT. C'est une responsabilité de la direction.

En pratique, cela signifie que les dirigeants de PME doivent s'impliquer directement dans la stratégie de cybersécurité de leur entreprise, sous peine d'engager leur responsabilité civile, voire pénale.

Comment se préparer concrètement

Si votre PME entre dans le périmètre NIS2 (directement ou par effet de cascade), voici les quatre actions à engager dès maintenant :

• 1. Réaliser un audit de sécurité initial : mesurez votre niveau actuel de maturité en cybersécurité face aux 10 obligations NIS2. Identifiez les écarts et les priorités. Notre accompagnement en cybersécurité inclut cet audit initial.
• 2. Définir un plan de mise en conformité : priorisez les actions selon votre niveau de risque et vos moyens. Tout ne doit pas être fait en une fois. Commencez par les fondamentaux : sauvegardes, patch management, authentification multi-facteurs.
• 3. Nommer un responsable sécurité : même à temps partiel, quelqu'un doit porter le sujet. Dans une PME, un DSI externalisé peut remplir ce rôle sans le coût d'un poste à temps plein.
• 4. Former les équipes : NIS2 exige la formation des dirigeants. Mais la sensibilisation de tous les collaborateurs est tout aussi importante : 90 % des incidents de sécurité ont une composante humaine. Nos formations certifiées Qualiopi couvrent la cybersécurité pour dirigeants et collaborateurs.

Le coût de la mise en conformité dépend de votre point de départ. Pour une PME de 50 postes partant de zéro, comptez 15 000 à 40 000 € la première année (audit + mise en œuvre + formation), puis 5 000 à 15 000 € par an pour le maintien. C'est un investissement significatif, mais inférieur au coût moyen d'un incident de cybersécurité (150 000 €) et incomparablement inférieur aux sanctions NIS2. Consultez notre article sur le budget informatique d'une PME en 2026 pour intégrer ces coûts dans votre planification.