NIS2 : la cybersécurité devient une obligation légale pour beaucoup plus d’entreprises

La directive européenne NIS2 (Network and Information Security 2), transposée en droit français, multiplie par 10 le nombre d’entreprises soumises à des obligations de cybersécurité. Si NIS1 ne concernait que quelques centaines d’opérateurs critiques, NIS2 s’applique à des milliers de PME et ETI françaises.

Êtes-vous concerné ?

Votre entreprise est soumise à NIS2 si elle opère dans l’un de ces secteurs :

Entités essentielles (obligations maximales)

  • Énergie, transports, banques, infrastructures des marchés financiers
  • Santé, eau potable, eaux usées
  • Infrastructure numérique, gestion des services TIC
  • Administration publique, espace

Entités importantes (obligations adaptées)

  • Services postaux, gestion des déchets
  • Fabrication de produits chimiques, alimentaires, électroniques
  • Fournisseurs numériques : hébergeurs, moteurs de recherche, réseaux sociaux, marketplaces
  • Recherche

Critère de taille : entreprises de plus de 50 salariés OU chiffre d’affaires > 10M€ dans ces secteurs.

Les obligations concrètes

  1. Gouvernance : la direction est personnellement responsable de la cybersécurité
  2. Gestion des risques : analyse de risques formalisée et plans de traitement
  3. Gestion des incidents : détection, réponse et notification sous 24h (alerte initiale) puis 72h (rapport complet)
  4. Continuité d’activité : PRA/PCA documenté et testé
  5. Sécurité de la chaîne d’approvisionnement : vos fournisseurs IT doivent aussi être sécurisés
  6. Formation : sensibilisation obligatoire des dirigeants et des équipes

Les sanctions

  • Entités essentielles : jusqu’à 10 millions d’euros ou 2% du CA mondial
  • Entités importantes : jusqu’à 7 millions d’euros ou 1,4% du CA mondial
  • Responsabilité personnelle des dirigeants : possible interdiction temporaire d’exercer

Plan de mise en conformité

  1. Auto-évaluation : déterminez si vous êtes concerné et à quel niveau
  2. Audit de sécurité : identifiez vos lacunes par rapport aux exigences NIS2
  3. Plan d’action : priorisez les mesures à mettre en place
  4. Implémentation : déployez les solutions techniques et organisationnelles
  5. Déclaration ANSSI : enregistrez-vous sur le portail de l’ANSSI

FAQ

Les sous-traitants IT sont-ils concernés par NIS2 ?

Oui, c’est l’une des grandes nouveautés. Si vous fournissez des services IT (hébergement, infogérance, développement) à une entité soumise à NIS2, vous devez vous aussi respecter des exigences de sécurité. La chaîne d’approvisionnement est explicitement couverte.
Quel budget prévoir pour la mise en conformité NIS2 ?

Pour une PME, comptez entre 10 000 et 50 000€ pour la mise en conformité initiale (audit, plan d’action, solutions techniques). Puis 2 000 à 10 000€/mois pour le maintien (monitoring, formation, mises à jour). Un investissement significatif mais bien inférieur aux sanctions en cas de non-conformité.

Préparez votre conformité NIS2 avec Odyssix. Audit de sécurité, plan d’action, déploiement des solutions et accompagnement continu. Demandez votre audit NIS2 gratuit.

Articles complémentaires

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter