La directive NIS 2 (Network and Information Security) est entrée en vigueur en France en 2024 via sa transposition dans la loi nationale. Elle est présentée comme une réglementation destinée aux grandes infrastructures critiques — hôpitaux, réseaux énergétiques, opérateurs télécoms. Mais des dizaines de milliers de PME françaises sont concernées sans le savoir, via leurs relations avec des entités régulées. Voici ce que vous devez comprendre et faire.
1. NIS 2 : de quoi parle-t-on ?
NIS 2 est la révision de la première directive sur la sécurité des réseaux et de l'information (NIS 1, 2016). Elle élargit considérablement le périmètre des entités concernées — passant d'environ 300 Opérateurs de Services Essentiels (OSE) en France à potentiellement plus de 15 000 entités — et durcit les obligations de cybersécurité et de notification d'incidents.
Énergie, transport, santé, eau, infrastructure numérique, administration publique, espace.
Services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, finance.
Tout fournisseur ou sous-traitant d'une entité régulée peut se voir imposer des exigences contractuelles de sécurité.
2. Pourquoi votre PME est peut-être concernée
Voici le mécanisme crucial que la plupart des dirigeants de PME ignorent : NIS 2 ne s'arrête pas aux frontières de l'entité régulée. Elle impose à ces entités de gérer la sécurité de leur chaîne d'approvisionnement — ce qui signifie qu'elles doivent auditer leurs fournisseurs et leur imposer des exigences de sécurité contractuelles.
Êtes-vous un fournisseur indirect d'une entité NIS 2 ?
- Vous fournissez des services informatiques, de maintenance, de nettoyage, de gardiennage ou de logistique à un hôpital, une administration, une entreprise énergétique ou télécom
- Vous hébergez, traitez ou avez accès aux données d'une entité régulée
- Vous développez ou maintenez des logiciels utilisés par des entités des secteurs essentiels ou importants
- Même si votre entreprise fait moins de 50 salariés et moins de 10 M€ de CA, vous pouvez être concerné via vos clients
3. Le calendrier d'application en France
4. Les 10 mesures de sécurité imposées par NIS 2
Pour les entités directement régulées, NIS 2 impose un socle de 10 mesures. Pour les PME sous-traitantes, ces mêmes mesures peuvent être exigées contractuellement par leurs clients régulés.
| Mesure NIS 2 | Ce que cela signifie concrètement | Maturité TPE/PME typique |
|---|---|---|
| Politique de sécurité des SI | Documenter qui a accès à quoi, comment, et pourquoi | Partielle |
| Gestion des incidents | Procédure de détection, réponse et notification en moins de 24h | Rare |
| Continuité d'activité | Plan de reprise (PRA/PCA) testé au moins annuellement | Très rare |
| Sécurité de la chaîne d'approvisionnement | Auditer et contractualiser la sécurité des fournisseurs | Quasi absente |
| Sécurité des réseaux et systèmes | Cloisonnement réseau, chiffrement, accès restreints | Variable |
| Gestion des vulnérabilités | Processus de mise à jour et de correction des failles | Partielle |
| Authentification forte | MFA sur tous les accès distants et comptes privilégiés | En progrès |
| Chiffrement des données | Données sensibles chiffrées au repos et en transit | Rare en TPE |
| Formation et sensibilisation | Formation cyber au moins annuelle pour tous les collaborateurs | Rare |
| Contrôle d'accès | Principe du moindre privilège : chaque utilisateur n'accède qu'à ce dont il a besoin | Partielle |
5. Ce que vous devez faire maintenant
Listez vos clients des secteurs réglementés (santé, énergie, transport, finance, télécom, administration). Si vous en avez, vous êtes potentiellement dans le périmètre.
Des clauses de sécurité informatique ont peut-être déjà été insérées dans vos contrats par vos clients régulés. Identifiez celles que vous ne respectez pas encore.
MFA, sauvegardes testées, mises à jour, documentation des accès, procédure d'incident : ces 5 mesures couvrent 70 % des exigences les plus fréquemment demandées.
NIS 2 valorise l'effort documenté autant que la conformité totale. Un registre de vos mesures de sécurité, même partiel, démontre votre engagement.
Évaluez votre exposition NIS 2 en 48h
S@FE Digitalisation réalise un audit de votre niveau de maturité par rapport aux exigences NIS 2 et vous remet un plan d'action priorisé — pour répondre aux exigences de vos clients et renforcer durablement votre sécurité.
Demander un audit de sécurité →