Réglementation— Équipe Secivda

Directive NIS2 : ce que ça change pour votre entreprise

La directive européenne NIS2 est entrée en vigueur en France en 2025. Qui est concerné ? Quelles obligations ? Quelles sanctions ? Tour d'horizon clair pour les dirigeants de PME.

La directive NIS2 (Network and Information Security) est le cadre européen de cybersécurité qui s’applique depuis octobre 2024 dans tous les États membres. En France, sa transposition dans le droit national est en cours via l’ANSSI. Voici ce que vous devez savoir.

NIS2 en quelques mots

NIS2 succède à la directive NIS de 2016 et élargit considérablement son champ d’application. Là où NIS1 ciblait principalement les opérateurs d’infrastructures critiques, NIS2 descend jusqu’aux PME dans de nombreux secteurs.

L’objectif est simple : renforcer la résilience cybersécurité de l’ensemble de l’économie européenne, en imposant des obligations concrètes aux organisations.

Qui est concerné ?

NIS2 distingue deux catégories d’entités :

Entités essentielles (EE) : énergie, transport, santé, eau, infrastructures numériques, administrations… Elles sont soumises aux obligations les plus strictes et aux contrôles proactifs.

Entités importantes (EI) : services postaux, gestion des déchets, chimie, industrie manufacturière, prestataires numériques… Contrôles réactifs (après incident).

Une PME peut être concernée si elle :

  • Opère dans un secteur listé dans les annexes de la directive
  • Dépasse 50 salariés ou 10 M€ de chiffre d’affaires
  • Fournit des services à des entités essentielles (supply chain)

Quelles obligations concrètes ?

Les entités soumises à NIS2 doivent mettre en place :

1. Une gouvernance de la cybersécurité

Les dirigeants sont personnellement responsables de la mise en conformité. La direction doit approuver et superviser les mesures de sécurité.

2. Une gestion des risques documentée

Identification, évaluation et traitement des risques cyber avec un registre à jour. Pas d’improvisation : la démarche doit être formalisée.

3. Des mesures de sécurité techniques

  • Authentification multi-facteurs (MFA) généralisée
  • Chiffrement des données sensibles
  • Gestion des accès et des identités
  • Sécurité des chaînes d’approvisionnement (vos prestataires IT sont aussi concernés)

4. Un plan de continuité d’activité

Comment votre entreprise fonctionne-t-elle en cas de cyberattaque ? Ce plan doit être testé régulièrement.

5. La notification des incidents

Tout incident significatif doit être signalé à l’ANSSI dans des délais stricts : 24h pour l’alerte initiale, 72h pour le rapport détaillé.

Quelles sanctions en cas de non-conformité ?

Les amendes peuvent atteindre :

  • 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles
  • 7 M€ ou 1,4 % du CA mondial pour les entités importantes

Les dirigeants peuvent également être tenus personnellement responsables et temporairement interdits d’exercer.

Par où commencer ?

  1. Vérifiez si vous êtes concerné : consultez les annexes de la directive ou contactez un prestataire spécialisé
  2. Réalisez un audit de votre posture cybersécurité actuelle
  3. Établissez une feuille de route priorisée selon vos risques et ressources
  4. Documentez : NIS2 exige la traçabilité de vos actions

Chez Secivda, nous accompagnons les PME dans leur mise en conformité NIS2 : audit initial, plan d’actions, mise en oeuvre technique et documentation. Discutons de votre situation.

Tags :

NIS2réglementationconformitécybersécuritéANSSI
// 04_ARTICLE_FINARTICLE_FIN

Un projet IT ou une question de cybersécurité ?

Notre équipe répond à vos questions et vous accompagne dans vos projets informatiques.