La directive NIS (Network and Information Security), révisée en 2022 et transposée progressivement dans les pays membres, élargit considérablement le périmètre des organisations soumises à des obligations de cybersécurité. En France, la transposition est en cours et les premières obligations s'appliquent par vagues.
Qui est concerné par NIS2 ?
NIS2 distingue deux catégories d'entités :
Entités essentielles (EE)
Grandes entreprises (250+ salariés ou CA supérieur à 50M€) dans des secteurs critiques : énergie, transport, santé, eau, infrastructure numérique, administration publique.
Entités importantes (EI)
C'est là que beaucoup de PME peuvent être concernées : entreprises de taille moyenne (50 à 249 salariés, CA entre 10M et 50M€) dans les secteurs : services postaux, gestion des déchets, fabrication de produits critiques, fournisseurs numériques, agroalimentaire.
Mais aussi : la supply chain
C'est le point le plus important pour les PME qui ne sont pas directement dans le périmètre : si vous êtes fournisseur d'une entité essentielle ou importante, votre client pourra vous imposer de respecter des exigences de cybersécurité. NIS2 se propage dans la chaîne de sous-traitance.
Quelles obligations concrètes ?
- Mise en place d'une gestion des risques cyber documentée
- Plan de continuité et de reprise d'activité
- Sécurité de la chaîne d'approvisionnement
- Gestion des vulnérabilités et des correctifs
- Formation et sensibilisation des équipes
- Notification des incidents sous 24 heures (alerte initiale) et 72 heures (rapport détaillé)
Les sanctions
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires.
Comment se préparer
La bonne nouvelle : les obligations NIS2 correspondent largement aux bonnes pratiques de cybersécurité que nous recommandons déjà. Si vous avez un contrat d'infogérance incluant la sécurité proactive, une sauvegarde externalisée et un plan de réponse aux incidents, vous avez déjà une bonne base.
Leader System peut vous accompagner dans l'évaluation de votre exposition à NIS2 et la mise en conformité progressive.