Aller au contenu

Sekost

Logo Sekost
Flash offert
Accueil Règlementation NIS 2 : qui est concerné et comment s’y préparer ?

NIS 2 : qui est concerné et comment s’y préparer ?

La directive NIS2 s’apprête à transformer en profondeur les obligations de cybersécurité pour un grand nombre d’entreprises en Europe. Bien plus large que la version précédente, elle concerne désormais non seulement les opérateurs dits essentiels (santé, énergie, transport), mais aussi des entités importantes, y compris dans des secteurs comme le numérique, la logistique, l’eau ou les services financiers. Résultat : des milliers d’organisations, y compris des PME et des prestataires, vont devoir se mettre en conformité sans tarder.

 Drapeaux de l’UE devant la Commission européenne 
Directive européenne NIS2 : votre entreprise est-elle concernée ?

Pensée pour renforcer la résilience collective face aux cybermenaces, NIS2 impose des exigences précises en matière de gouvernance, de gestion des risques, de déclaration d’incident et de supervision. Ce cadre s’accompagne d’un niveau de responsabilité accru pour les dirigeants, et de sanctions administratives en cas de manquement. Autrement dit, ne pas savoir si vous êtes concerné n’est plus une option.

Dans cet article, vous allez découvrir :

  • Ce qu’est concrètement la directive NIS2 et ce qu’elle implique pour les entreprises ;
  • Qui est concerné, en fonction de l’activité, de la taille ou du rôle dans une chaîne de valeur ;
  • Comment savoir si votre entreprise entre dans le périmètre ;
  • Et enfin, comment vous préparer efficacement, même sans équipe cybersécurité dédiée.

Objectif : vous permettre d’anticiper, de structurer une première démarche, et de limiter les risques de non-conformité.

1. Qu’est-ce que la directive NIS2 ?

1.1 Une directive européenne pour renforcer la cybersécurité des entités critiques

La directive NIS2 (pour « Network and Information Security ») est une directive européenne adoptée en décembre 2022 qui vise à renforcer la cybersécurité des infrastructures et services essentiels au fonctionnement de la société. Elle remplace la directive NIS1, en vigueur depuis 2016, qui posait les premières bases d’une approche commune de la cybersécurité dans l’Union européenne.

NIS1 a permis de faire émerger des politiques nationales de cybersécurité et des capacités de réponse aux incidents dans plusieurs États membres. Mais elle s’est révélée incomplète et inégale dans son application. Certains secteurs clés n’étaient pas couverts, et de nombreuses entreprises n’étaient pas soumises à des exigences spécifiques, malgré leur rôle critique.

Avec NIS2, l’objectif est clair : renforcer l’harmonisation entre les pays de l’UE, étendre le périmètre des entités concernées, et imposer des exigences plus strictes en matière de sécurité des systèmes d’information. Cette directive s’inscrit dans un contexte de hausse des cyberattaques, de dépendance croissante au numérique, et de tensions géopolitiques qui rendent les infrastructures numériques plus vulnérables.

Pour consulter le texte officiel de la directive : Directive (UE) 2022/2555 – EUR-Lex

1.2 Ce que la directive impose

NIS2 instaure un cadre plus exigeant et plus homogène pour la gestion de la cybersécurité dans les entreprises concernées. Voici les principales obligations introduites par le texte :

  • Gouvernance de la cybersécurité
    Les organes de direction doivent s’assurer que la cybersécurité est intégrée à la stratégie globale. Ils doivent être formés et impliqués dans les décisions. La responsabilité ne peut plus être déléguée entièrement à un prestataire ou au service IT.
  • Gestion des risques et des incidents
    Les entités doivent évaluer leurs risques cyber, mettre en place des politiques de sécurité, assurer la continuité d’activité, et détecter les incidents. En cas d’attaque ou de compromission, elles ont l’obligation de la signaler rapidement à l’autorité compétente (en France, l’ANSSI ou le CERT-FR selon les cas).
  • Supervision et contrôle
    Les États membres désignent des autorités de contrôle qui peuvent auditer les entités, vérifier leur niveau de préparation, et imposer des mesures correctrices.
  • Sanctions en cas de manquement
    Les entreprises qui ne respectent pas la directive s’exposent à des sanctions administratives importantes. En cas de négligence grave, les dirigeants peuvent également être personnellement mis en cause.

En somme, NIS2 ne se contente pas d’un cadre théorique : elle engage concrètement la responsabilité des entreprises et place la cybersécurité au cœur des priorités stratégiques. Avec ce cadre, on ne pourra plus dire qu’on ne savait pas. Les règles sont là, les attentes aussi. À chaque organisation de s’en saisir, avant que ce ne soit imposé dans l’urgence.

NIS2 qui est concerné : Trois personnes travaillant dans un service public de cybersécurité, avec des écrans en arrière plan
NI22 : quelles étapes pour se mettre en conformité ?

2. Êtes-vous concerné par NIS2 ? Comprendre les critères et évaluer votre situation

La directive NIS2 repose sur un principe d’auto-identification. Ce n’est pas une autorité qui viendra vous notifier formellement : c’est à vous d’évaluer si votre entreprise entre dans le périmètre. Pour cela, trois leviers doivent être examinés avec attention : le secteur d’activité, la taille de l’organisation et le rôle que vous jouez dans une chaîne de valeur critique.

2.1 Les deux grandes catégories d’entités visées par la directive

La directive distingue deux types d’acteurs :

  • Les entités essentielles, qui exercent dans des secteurs jugés critiques pour le fonctionnement de la société et de l’économie.
  • Les entités importantes, qui relèvent de secteurs sensibles, sans être aussi stratégiques, mais qui doivent néanmoins appliquer des mesures strictes de cybersécurité.

Les secteurs concernés incluent notamment :

  • Entités essentielles : Énergie, transport, santé, eau, banques, administrations publiques
  • Entités importantes : Fournisseurs de services numériques, hébergeurs cloud, data centers, services postaux, gestion des déchets, industries manufacturières critiques

Mais attention : la directive ne vise pas uniquement les entreprises « en première ligne ». Si vous êtes un prestataire, sous-traitant ou éditeur travaillant pour l’une de ces structures (par exemple une PME éditrice de logiciel de gestion hospitalière), vous pouvez être indirectement concerné. Et donc soumis aux mêmes obligations.

2.2 Les seuils d’éligibilité

En plus du secteur, la NIS2 définit des seuils de taille. Une entreprise est concernée si elle remplit les deux conditions suivantes :

  • Elle compte au moins 50 salariés
  • Elle réalise plus de 10 millions d’euros de chiffre d’affaires annuel

Si ces seuils sont atteints, et que votre entreprise opère dans un secteur critique ou sensible, vous entrez automatiquement dans le champ de la directive. Il n’est pas nécessaire d’attendre une désignation formelle. Ce principe d’application directe constitue l’une des grandes nouveautés de NIS2.

À noter également : une entreprise plus petite peut être concernée par exception, si elle fournit des services critiques à une entité soumise (ex. un infogéreur de mairie ou un éditeur SaaS travaillant pour une agence régionale de santé).

2.3 Comment savoir si vous êtes concerné ?

Pour le savoir, vous devez croiser plusieurs informations :

  • Votre secteur d’activité
  • Vos effectifs et votre chiffre d’affaires
  • Votre rôle dans l’écosystème de vos clients

Même si le doute subsiste, il est fortement conseillé d’anticiper. Pourquoi ?

  • Vos clients peuvent exiger de vous des preuves de conformité, notamment dans les marchés publics ou appels d’offres sensibles
  • Vous pouvez faire l’objet d’un audit externe, à la demande d’une autorité ou d’un client
  • Un incident de sécurité peut vous placer, de facto, sous le regard des régulateurs

Pour s’orienter, vous pouvez utiliser le simulateur officiel mis en ligne par l’ANSSI. Il vous aide à évaluer si votre entreprise entre dans le périmètre : Simulateur NIS2 – ANSSI

Check-list : suis-je concerné par NIS2 ?

  • Mon entreprise a-t-elle plus de 50 salariés ?
  • Est-ce que mon chiffre d’affaires dépasse 10 millions d’euros ?
  • Mon activité ou celle de mes clients relève-t-elle d’un secteur couvert par la directive ?
  • Suis-je prestataire technique ou numérique d’une entité essentielle ou importante ?
  • Mes clients m’ont-ils demandé des garanties de sécurité ou de conformité récemment ?

Si vous répondez oui à au moins deux de ces questions, il est très probable que vous soyez concerné. Mieux vaut structurer dès maintenant une première démarche de mise en conformité.

3. Comment se préparer à NIS2 ?

La directive NIS2 impose des obligations précises, mais sa mise en œuvre peut être progressive, à condition d’engager une démarche structurée dès maintenant. Inutile d’attendre d’être en conformité totale pour agir : ce qui compte, c’est de montrer que vous avez identifié vos risques et lancé un plan de mise en conformité adapté à votre structure.

3.1 Les obligations principales à anticiper

Voici les trois blocs réglementaires majeurs que la directive impose à toutes les entités concernées :

  • Désigner un responsable cybersécurité
    L’entreprise doit identifier une personne (interne ou externe) chargée du pilotage de la cybersécurité. Ce rôle ne nécessite pas forcément un expert dédié, mais une responsabilité claire doit être définie.
  • Mettre en place une gestion des risques documentée
    Vous devez recenser vos actifs critiques, évaluer les risques associés (impact et probabilité), et formaliser les mesures de protection en place. Ce travail peut commencer avec un simple tableau ou un outil de type Excel.
  • Préparer un dispositif de détection et de notification d’incident
    En cas d’incident significatif, vous devrez informer les autorités dans un délai court. Cela implique de savoir identifier les incidents, tracer les événements et avoir une procédure de notification claire.

3.2 Ce que vous pouvez faire concrètement, même sans être expert

Même si vous n’avez pas d’équipe cybersécurité dédiée, des actions simples et accessibles permettent de structurer une première réponse :

  • Réaliser un audit d’exposition pour identifier les services exposés sur internet et les vulnérabilités connues
  • Documenter une politique de sécurité de base : mots de passe, gestion des accès, sauvegardes, MFA, sensibilisation
  • Identifier vos dépendances critiques : quels prestataires ou outils sont essentiels au bon fonctionnement de votre activité ?
  • Planifier un plan d’action progressif, avec des priorités claires (par criticité ou par échéance réglementaire)

Des plateformes comme Sekost permettent d’automatiser cet audit d’exposition initial à partir de votre nom de domaine, sans installation, et avec des résultats compréhensibles, même sans expertise technique. Cette démarche ne constitue qu’un point de départ : elle doit être complétée par d’autres actions pour répondre pleinement aux exigences de NIS2.

📌 Vous pensez être concerné ? Voilà les 5 premières actions utiles à lancer

  • Cartographier vos services exposés
  • Désigner un référent cybersécurité dans l’équipe ou auprès de votre prestataire IT
  • Centraliser les accès sensibles et mettre en place l’authentification à deux facteurs
  • Identifier vos outils critiques (hébergeur, logiciel métier, fournisseurs SaaS)
  • Élaborer un plan de gestion des incidents simple (qui prévenir, comment réagir, quoi tracer)

3.3 Ressources utiles pour accompagner la mise en conformité

Vous n’êtes pas seul face à la directive. Plusieurs organismes publics et solutions spécialisées peuvent vous guider :

  • L’ANSSI met à disposition des guides de bonnes pratiques, des modèles de politique de sécurité, et un simulateur pour vous aider à comprendre si votre entreprise entre dans le périmètre de la directive NIS2
    cyber.gouv.fr
  • Cybermalveillance.gouv.fr propose des contenus pédagogiques pour sensibiliser vos équipes et structurer une démarche adaptée aux PME
    cybermalveillance.gouv.fr
  • Des prestataires et outils souverains comme Sekost peuvent accompagner votre cartographie initiale et vous aider à hiérarchiser vos priorités, sans bouleverser votre organisation actuelle

L’essentiel est de commencer avec les bons réflexes, même modestes, et de progresser par étapes. NIS2 est un cadre exigeant, mais il s’adapte aussi à une montée en maturité progressive. Mieux vaut être en train d’avancer que rester dans l’inaction.

Conclusion

La directive NIS2 représente un véritable tournant dans la gestion de la cybersécurité en Europe. Elle ne s’adresse plus uniquement aux grandes infrastructures critiques, mais à un ensemble élargi d’entreprises, incluant de nombreuses PME, prestataires ou acteurs intermédiaires. Même si vous ne vous considérez pas comme « essentiel », vous pouvez l’être aux yeux de vos clients, de vos partenaires ou d’un régulateur.

Ce cadre impose de nouvelles obligations, mais il offre aussi l’opportunité de structurer une cybersécurité plus solide, alignée avec les réalités de votre activité. En prenant les devants, vous gagnez du temps, vous réduisez les risques et vous montrez à votre écosystème que vous prenez la sécurité numérique au sérieux. C’est aussi un levier de confiance commerciale, en plus d’un enjeu de conformité.Attendre l’incident ou l’audit surprise n’est jamais une bonne stratégie. À l’inverse, lancer une première démarche, même modeste, vous permet d’identifier vos priorités et de construire une feuille de route réaliste. Face à NIS2, mieux vaut progresser par étapes que de subir dans l’urgence. La cybersécurité devient un sujet de pilotage, et non un simple sujet IT.

une jauge graduée du vert au rouge foncé qui point vers le rouge clair

Besoin d’un audit cyber ?

Notre équipe identifie les failles avant les attaquants. 100% à distance, sans rien installer.

Demander un audit gratuit