NIS2 : ce que les PME doivent faire avant 2025

La directive NIS2 (Network and Information Security 2) est en vigueur depuis octobre 2024 dans la majorité des États membres de l'UE. Si votre entreprise opère dans un secteur critique, vous êtes probablement concerné — et les sanctions peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.

Qui est concerné par NIS2 ?

NIS2 distingue deux catégories d'entités :

Entités essentielles (secteurs critiques) : énergie, transports, banque, santé, eau, infrastructure numérique, administrations publiques. Ces entités sont soumises à une surveillance active et proactive.

Entités importantes : services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs de services numériques. Surveillance réactive en cas d'incident.

Les PME sont généralement exemptées si elles comptent moins de 50 salariés et réalisent moins de 10M€ de chiffre d'affaires — sauf si elles opèrent dans un secteur critique ou sont des fournisseurs de services clés pour des entités NIS2.

Les 10 mesures obligatoires (Article 21)

1. Politique de sécurité des systèmes d'information

Documenter votre politique de sécurité, définir les rôles et responsabilités, mettre à jour annuellement.

2. Gestion des incidents

Procédures de détection, d'analyse et de réponse aux incidents. Notification obligatoire sous 24h pour les incidents significatifs, rapport complet sous 72h.

3. Continuité d'activité et gestion des crises

Plan de reprise d'activité (PRA), sauvegardes testées régulièrement, procédures de gestion de crise documentées.

4. Sécurité de la chaîne d'approvisionnement

Évaluation des risques de vos fournisseurs et sous-traitants. Clauses contractuelles de sécurité obligatoires.

5. Sécurité des réseaux et systèmes d'information

Segmentation réseau, protection périmétrique, surveillance du trafic. WarDek scanne automatiquement votre exposition réseau.

6. Politiques et procédures d'évaluation

Tests de sécurité réguliers (scans de vulnérabilités, audits), évaluation continue des risques.

7. Pratiques de base de cyberhygiène

Mises à jour régulières, gestion des mots de passe (MFA obligatoire pour les accès critiques), principe de moindre privilège.

8. Cryptographie et chiffrement

Chiffrement des données sensibles en transit (TLS 1.2+ minimum) et au repos. Gestion sécurisée des clés cryptographiques.

9. Sécurité des ressources humaines

Sensibilisation et formation régulière des employés. Vérifications d'antécédents pour les postes à accès privilégiés.

10. Authentification multi-facteurs

MFA obligatoire pour tous les accès aux systèmes critiques, accès à distance, et interfaces d'administration.

Les sanctions prévues

Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA mondial.

En France, c'est l'ANSSI qui est l'autorité compétente pour la surveillance et les sanctions.

Les dirigeants sont personnellement responsables : l'Article 20 impose aux organes de direction d'approuver les mesures de cybersécurité et de suivre une formation. En cas de manquement grave, les dirigeants peuvent se voir interdire l'exercice de fonctions managériales.

Calendrier de mise en conformité

La transposition nationale varie selon les pays, mais le calendrier général est le suivant :

• Octobre 2024 : Entrée en vigueur dans la majorité des États membres
• Avril 2025 : Les États membres doivent publier la liste des entités essentielles et importantes
• Octobre 2025 : Premières inspections et contrôles par les autorités nationales
• 2026+ : Audits réguliers et sanctions effectives

Chaque État membre désigne un ou plusieurs CSIRT (Computer Security Incident Response Team) nationaux. En France, le CERT-FR assure ce rôle sous la supervision de l'ANSSI.

Différences entre NIS1 et NIS2

NIS2 élargit considérablement le périmètre de la directive originale :

| Aspect | NIS1 (2016) | NIS2 (2022) | |--------|-------------|-------------| | Secteurs couverts | 7 secteurs | 18 secteurs | | Entreprises concernées | ~10 000 en UE | ~160 000 en UE | | Sanctions maximales | Variables par pays | Harmonisées (10M€/2% CA) | | Notification incident | Pas de délai précis | 24h + 72h + 1 mois | | Responsabilité dirigeants | Non prévue | Personnelle (Art. 20) | | Supply chain | Non couverte | Obligations explicites |

Cas pratique : PME de 80 salariés dans l'alimentation

Une entreprise agroalimentaire de 80 salariés avec 15M€ de CA entre dans le périmètre NIS2 comme entité importante. Ses obligations concrètes :

1. Nommer un responsable cybersécurité (même à temps partiel)
2. Réaliser un audit de sécurité initial de ses systèmes
3. Mettre en place le MFA sur tous les accès administrateurs
4. Documenter sa politique de sécurité et la faire approuver par la direction
5. Identifier et évaluer ses fournisseurs IT critiques
6. Tester son plan de sauvegarde et de reprise d'activité
7. Former ses employés aux bonnes pratiques de cyberhygiène

Le coût estimé de mise en conformité pour une PME de cette taille : entre 15 000€ et 50 000€, selon le niveau de maturité existant. Un investissement modeste comparé aux sanctions potentielles.

Par où commencer ?

1. Évaluer votre exposition : Lancez un scan WarDek pour identifier les failles techniques immédiates (headers de sécurité, TLS, ports exposés).
2. Cartographier vos actifs : Inventaire complet des systèmes, données, et fournisseurs critiques.
3. Prioriser les actions : Corriger en priorité les vulnérabilités critiques avant d'adresser les processus organisationnels.
4. Documenter : NIS2 exige la preuve des mesures mises en place, pas seulement leur existence.

La checklist NIS2 de WarDek vous guide à travers les 10 mesures obligatoires avec un score de conformité en temps réel.