La directive européenne NIS2 (Network and Information Systems) a été transposée en droit français par la loi de programmation militaire 2024. Elle étend considérablement le périmètre des entreprises concernées par des obligations de cybersécurité.
Êtes-vous concerné par NIS2 ?
NIS1 (2016) ne ciblait qu'une poignée d'opérateurs d'importance vitale (OIV) — énergie, transport, santé. NIS2 élargit massivement le périmètre.
Entités essentielles (obligations renforcées) :
- Énergie, transport, santé, eau, infrastructure numérique
- Administrations publiques centrales
Entités importantes (nouvelles dans NIS2) :
- Services postaux et de messagerie
- Gestion des déchets
- Fabrication (agroalimentaire, chimie, dispositifs médicaux, automobile, électronique)
- Fournisseurs de services numériques (places de marché, moteurs de recherche, réseaux sociaux)
- Sous-traitants et fournisseurs des catégories ci-dessus
Ce dernier point est crucial : si vous êtes prestataire d'un secteur essentiel, vous pouvez être dans le périmètre NIS2 même si votre activité principale ne l'est pas.
Ce que NIS2 exige concrètement
Mesures techniques obligatoires
- Politique de sécurité des systèmes d'information documentée
- Gestion des incidents : procédures de détection, signalement (ANSSI sous 24h) et réponse
- Continuité des activités : sauvegardes, plans de reprise
- Sécurité de la chaîne d'approvisionnement : évaluation des prestataires
- Contrôle des accès : authentification forte, gestion des privilèges
- Chiffrement des données sensibles en transit et au repos
- Mise à jour et patching régulier et documenté
Gouvernance
Les dirigeants sont personnellement responsables de la conformité. En cas d'incident majeur sur une entité non conforme, des sanctions peuvent viser le dirigeant directement.
Les sanctions
| Entité | Amende maximale |
|---|---|
| Entité essentielle | 10 M€ ou 2% du CA mondial |
| Entité importante | 7 M€ ou 1.4% du CA mondial |
L'ANSSI et le BSI (équivalent allemand) coordonnent les contrôles. Les premières procédures de sanction sont attendues pour 2026.
Comment se préparer
Étape 1 — Cartographier vos systèmes (S1)
Inventaire de tous les systèmes, applications, et données. Identifier les flux critiques et les dépendances tierces.
Étape 2 — Évaluer les risques (S2)
Analyse de risque formelle (méthode EBIOS RM recommandée par l'ANSSI). Identifier les actifs critiques et les menaces pesant dessus.
Étape 3 — Mettre en place les mesures techniques (S3-S6)
Chiffrement des postes, segmentation réseau, gestion des patches, authentification forte, sauvegardes déconnectées.
Étape 4 — Documenter et tester (ongoing)
La documentation est la différence entre une entreprise conforme et une entreprise sanctionnable. Chaque mesure doit être tracée, testée, et révisée annuellement.
Nous accompagnons les PME dans leur mise en conformité NIS2. Audit de conformité gratuit sous 48h.