Directive NIS 2 : Votre PME est-elle concernée ?

Directive NIS 2 : qui est concerné et que faire pour se conformer ?

Face à la multiplication des cyberattaques et à la dépendance croissante des organisations aux systèmes numériques, l’Union européenne a renforcé son cadre réglementaire en matière de cybersécurité. La directive NIS 2 (Network and Information Security), entrée en vigueur en janvier 2023 et applicable dans les États membres depuis octobre 2024, marque un tournant majeur.

Plus large, plus contraignante et assortie de sanctions significatives, NIS 2 impose aux organisations concernées de revoir en profondeur leur gouvernance de la cybersécurité.

Qu’est-ce que la directive NIS 2 ?

La directive NIS 2 succède à la directive NIS de 2016. Son objectif est d’élever le niveau global de cybersécurité au sein de l’Union européenne, en renforçant la résilience des réseaux et systèmes d’information utilisés par des entités critiques ou importantes.

Elle harmonise les exigences de sécurité entre les États membres et impose des obligations claires en matière de gestion des risques, de gouvernance, de notification des incidents et de responsabilité des dirigeants.

Qui est concerné par NIS 2 ?

L’un des changements majeurs de NIS 2 réside dans l’élargissement significatif du périmètre des organisations concernées.

La directive s’applique aux entités essentielles et aux entités importantes, dès lors qu’elles dépassent un certain seuil de taille (en général plus de 50 employés ou 10 millions d’euros de chiffre d’affaires).

Exemples d’entités essentielles

• Énergie (électricité, gaz, pétrole, hydrogène)
• Transports (aérien, ferroviaire, maritime, routier)
• Secteur bancaire et infrastructures financières
• Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
• Infrastructures numériques (opérateurs télécoms, DNS, data centers)
• Eau potable et eaux usées
• Administration publique

Exemples d’entités importantes

• Services numériques (éditeurs de logiciels, plateformes cloud)
• Industrie manufacturière critique
• Logistique et distribution
• Services postaux et messagerie
• Prestataires IT et MSP

Quelles sont les obligations imposées par NIS 2 ?

Les organisations concernées doivent mettre en œuvre des mesures techniques, organisationnelles et humaines adaptées aux risques.

• Analyse et gestion des risques cyber
• Sécurisation des systèmes d’information et des réseaux
• Gestion des incidents et des plans de continuité
• Sécurité de la chaîne d’approvisionnement
• Politiques de sauvegarde et de reprise d’activité
• Formation et sensibilisation des collaborateurs
• Notification des incidents significatifs dans des délais stricts

Un point clé de NIS 2 concerne la responsabilité des dirigeants. La direction doit être impliquée, valider les mesures de cybersécurité et peut être tenue responsable en cas de manquement.

Quelles sanctions en cas de non-conformité ?

La directive prévoit des sanctions financières dissuasives, pouvant atteindre :

• 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités importantes
• 20 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles

Des mesures administratives peuvent également être imposées : audits obligatoires, injonctions, voire suspension temporaire de certaines activités.

Que faire concrètement pour se mettre en conformité ?

La mise en conformité avec NIS 2 doit être abordée comme un projet structurant, impliquant la direction générale, l’IT et les métiers.

• Identifier si l’organisation entre dans le périmètre NIS 2
• Réaliser un audit de cybersécurité et une analyse de risques
• Mettre à jour la gouvernance et les politiques de sécurité
• Renforcer les mesures techniques et organisationnelles
• Formaliser les procédures de gestion et de notification des incidents
• Former les équipes et sensibiliser les dirigeants