NIS2 et PME : obligations, délais et comment se préparer concrètement

Qu'est-ce que la directive NIS2 ?

NIS2 (Network and Information Security Directive 2) est la directive européenne de cybersécurité adoptée en novembre 2022 et transposée en droit français en 2024. Elle remplace et élargit considérablement la première directive NIS de 2016.

Son objectif : renforcer le niveau commun de cybersécurité à travers l'Union européenne en imposant des obligations de sécurité et de notification aux entités opérant dans des secteurs jugés critiques.

La grande nouveauté : l'élargissement massif du périmètre. Là où NIS1 concernait quelques centaines d'OSE et FSN, NIS2 s'applique à environ 160 000 entités en France — dont une majorité de PME et ETI.

Qui est concerné parmi les PME ?

Entités essentielles (EE)

Organisations de taille intermédiaire ou grande (plus de 250 salariés ou plus de 50M€ de CA ou plus de 43M€ de bilan) dans les secteurs hautement critiques : énergie, transports, banques, santé, eau, infrastructure numérique, administration publique, espace.

Entités importantes (EI)

Organisations moyennes (plus de 50 salariés ou plus de 10M€ de CA ou plus de 10M€ de bilan) dans les secteurs critiques : services postaux, gestion des déchets, fabrication, produits chimiques, alimentation, fournisseurs numériques (cloud, data centers, e-commerce).

À retenir : si vous dépassez 50 salariés ou 10M€ de CA et opérez dans un secteur listé, vous êtes probablement concerné. En cas de doute, un audit de positionnement réglementaire lève rapidement l'incertitude.

Quelles sont les obligations concrètes ?

NIS2 impose des mesures dans 10 domaines :

1. Politiques de sécurité (PSSI) — rédaction et maintien d'une PSSI documentée avec gouvernance identifiée.
2. Gestion des incidents — détection, gestion et notification des incidents significatifs. Délai : notification préliminaire à l'ANSSI sous 24h, rapport complet sous 72h.
3. Continuité des activités — PCA et PRA documentés, testés et maintenus à jour.
4. Sécurité de la chaîne d'approvisionnement — évaluation des risques liés aux fournisseurs et prestataires. Clauses contractuelles de sécurité.
5. Sécurité des réseaux et SI — gestion des vulnérabilités, contrôle des accès, chiffrement, MFA.
6. Évaluation de l'efficacité — audits et tests réguliers du dispositif.
7. Hygiène informatique et formation — programme de sensibilisation des collaborateurs.
8. Cryptographie — protection des données en transit et au repos.
9. Sécurité des ressources humaines — contrôles à l'embauche, gestion des accès, procédures de départ.
10. Authentification forte — déploiement du MFA sur tous les accès.

Quelles sanctions en cas de non-conformité ?

• Entités essentielles : amendes jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel.
• Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial.

NIS2 introduit également la responsabilité personnelle des dirigeants pour les manquements aux obligations de cybersécurité — une nouveauté majeure qui concerne directement les PDG et DG de PME.

Plan d'action en 5 étapes

1. Déterminer si vous êtes concerné — vérifiez votre secteur d'activité (code NAF) et votre taille.
2. Évaluer votre maturité actuelle — audit des 10 domaines NIS2, scoring des écarts les plus critiques.
3. Construire votre feuille de route — plan d'actions priorisé selon l'impact et les délais. Budgétisation et allocation des ressources.
4. Mettre en place les mesures prioritaires — MFA sur tous les accès, gestion des sauvegardes, procédure de notification, sensibilisation des équipes.
5. Documenter et maintenir — la conformité NIS2 est un processus continu. Documentez, testez et révisez régulièrement.

NIS2 et ISO 27001 : une complémentarité forte

Les organisations qui ont déjà entamé une démarche ISO 27001 ont une longueur d'avance : la certification couvre la majorité des exigences NIS2 (gestion des risques, politique de sécurité, gestion des incidents, continuité d'activité, audit…).

Inversement, une mise en conformité NIS2 bien menée pose les bases d'une future certification ISO 27001. Combiner les deux démarches optimise significativement l'effort global.