NIS2 : ce que les PME françaises doivent mettre en place avant la mise en conformité
NIS2 : ce que les PME françaises doivent mettre en place avant la mise en conformité
nnnnLa directive européenne NIS2 (Network and Information Security 2) est entrée en vigueur en France fin 2024. Elle élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité renforcées. Contrairement à NIS1 qui ne concernait qu’une poignée d’opérateurs critiques, NIS2 touche désormais plusieurs milliers de PME et ETI françaises dans de nombreux secteurs d’activité.
nnnnQui est concerné par NIS2 ?
nnnnNIS2 distingue deux catégories d’entités : les entités essentielles (grandes entreprises dans des secteurs critiques comme l’énergie, les transports, la santé) et les entités importantes, qui incluent les PME de taille moyenne (50 à 250 salariés, ou chiffre d’affaires entre 10 et 50 M€) opérant dans des secteurs comme la fabrication, le numérique, les services postaux ou la restauration collective.
nnnnSi vous faites partie de la chaîne d’approvisionnement d’une grande entreprise déjà soumise à NIS2, vous pouvez également être indirectement impacté. En cas de doute, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) publie régulièrement des guides sectoriels pour vous aider à déterminer votre statut.
nnnnLes obligations concrètes imposées par NIS2
nnnnLes entreprises concernées doivent mettre en place un ensemble de mesures techniques et organisationnelles, parmi lesquelles :
nnnn- Gouvernance cyber : nommer un responsable de la sécurité informatique (RSSI ou équivalent) et former la direction aux risques cyber.
- Gestion des risques : réaliser une analyse de risques régulière et documenter les mesures de protection en place.
- Continuité d’activité : disposer d’un plan de reprise d’activité (PRA) et le tester au moins une fois par an.
- Sécurité de la chaîne d’approvisionnement : évaluer la sécurité de vos fournisseurs et prestataires informatiques.
- Gestion des incidents : être en mesure de détecter, signaler et répondre à un incident de sécurité dans des délais stricts (24h pour la notification initiale à l’ANSSI).
- Chiffrement et authentification forte : déployer le MFA (authentification multi-facteurs) sur tous les accès critiques.
Quelles sanctions en cas de non-conformité ?
nnnnLes sanctions prévues sont significatives : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % du CA pour les entités importantes. Au-delà des amendes, une violation de NIS2 peut entraîner une suspension temporaire des activités et une atteinte sévère à la réputation de l’entreprise.
nnnnPar où commencer ? Le plan d’action recommandé
nnnnFace à l’ampleur des exigences, beaucoup de dirigeants ne savent pas par où commencer. Voici le plan d’action en 4 étapes que nous recommandons chez 1FOPRESTA :
nnnn- Déterminer votre périmètre NIS2 avec l’aide de l’ANSSI ou d’un prestataire certifié.
- Réaliser un audit de votre système d’information pour identifier les écarts par rapport aux exigences.
- Prioriser les actions correctives selon le niveau de risque (authentification forte, sauvegardes, mises à jour).
- Documenter et tester : mettre en place les procédures et les tester régulièrement.
Chez 1FOPRESTA, nous accompagnons les PME françaises dans leur mise en conformité NIS2 : audit initial, plan d’action sur mesure, déploiement des solutions techniques et formation des équipes. Contactez-nous pour un diagnostic gratuit.
nn