PROGESPLUS
Blue Serve / Actualités /

Directive NIS 2 : ce que les PME, établissements de santé et collectivités doivent savoir (et faire) avant 2027

Directive NIS 2 : ce que les PME, établissements de santé et collectivités doivent savoir (et faire) avant 2027

Qu'est-ce que la directive NIS 2 ?

La directive NIS 2 (Network and Information Security 2, ou SRI 2 en français) est une réglementation européenne adoptée en décembre 2022 par le Parlement européen. Elle constitue le plus grand chantier réglementaire en matière de cybersécurité depuis le RGPD.

Son objectif est clair : obliger les organisations à renforcer leur niveau de protection face à la montée en puissance des cyberattaques.
En France, la transposition en droit national est en cours via le projet de loi “Résilience”. Les entreprises concernées auront jusqu’à fin 2027 pour être totalement en conformité, mais l’obligation de notifier l’ANSSI en cas d’incident significatif est déjà effective. Il n’est pas trop tôt pour agir.

Directive NIS 2 cybersécurité

Qui est concerné ?

C’est là le changement majeur par rapport à la directive NIS 1 : le périmètre est démultiplié et concerne maintenant plusieurs milliers d’entités sur 18 secteurs d’activité.

Les entités sont classées en deux catégories selon leur taille et leur secteur :

  • Entités Essentielles (EE) : grandes organisations dans des secteurs hautement critiques (énergie, santé, eau, transports, banque, infrastructures numériques…).
  • Entités Importantes (EI) : organisations de taille intermédiaire dans des secteurs critiques élargis (industrie manufacturière, services postaux, agroalimentaire, chimie, gestion des déchets…).

Êtes-vous concerné ? Si vous êtes une PME industrielle, un établissement de santé (clinique, cabinet de radiologie, centre d’imagerie…) ou une collectivité locale, il y a de fortes chances que vous entriez dans le périmètre NIS 2 : soit directement, soit en tant que fournisseur ou sous-traitant d’une entité réglementée.

Quelles sont les nouvelles obligations concrètes de la directive NIS 2 ?

NIS 2 impose des mesures à la fois techniques et organisationnelles. Voici les principaux axes :

1. Gouvernance et responsabilité des dirigeants
La direction n’est plus en retrait sur les questions de cybersécurité. Les membres du conseil d’administration deviennent personnellement responsables en cas de manquement grave. Ils doivent suivre des formations en cybersécurité et superviser activement la mise en œuvre des mesures.

2. Gestion des risques
Les organisations doivent mettre en place une politique formelle de gestion des risques : identification des actifs critiques, évaluation des vulnérabilités, plan d’action priorisé. Cela commence par un audit complet de votre infrastructure informatique.

3. Mesures de sécurité techniques
Parmi les mesures attendues : authentification multifacteur (MFA), chiffrement des données sensibles, gestion fine des droits d’accès, déploiement d’un antivirus performant (EDR), pare-feu adapté, sauvegardes régulières et testées.

4. Plan de reprise d’activité (PRA) et de continuité (PCA)
En cas de cyberattaque, votre organisation doit être capable de redémarrer rapidement. NIS 2 exige la formalisation d’un PRA (Plan de Reprise d’Activité) et d’un PCA (Plan de Continuité d’Activité), avec des procédures documentées et testées.

5. Notification obligatoire des incidents
Tout incident de sécurité significatif doit être signalé à l’ANSSI dans des délais très courts (alerte préliminaire sous 24h, rapport complet sous 72h). Cette obligation est déjà en vigueur.

6. Sensibilisation et formation du personnel
NIS 2 reconnaît que 90 % des cyberattaques exploitent l’erreur humaine. La directive impose que l’ensemble du personnel reçoive régulièrement des formations appropriées en cybersécurité.

Quelles sanctions en cas de non-conformité ?

Les sanctions sont dissuasives et s’appliquent aux organisations comme à leurs dirigeants :

  • Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles.
  • Jusqu’à 7 millions d’euros ou 1,4 % du CA mondial pour les entités importantes.
  • Responsabilité personnelle des dirigeants, pouvant aller jusqu’à une interdiction temporaire d’exercer des fonctions de direction.
  • Des audits de sécurité et inspections de contrôle seront réalisés par l’ANSSI.

Quelles sanctions en cas de non-conformité ?

La mise en conformité n’est pas un projet ponctuel, c’est une démarche structurée dans le temps. Voici les grandes étapes :

  • Étape 1 : évaluer son niveau de maturité. Suis-je concerné par NIS 2 ? En tant qu’entité essentielle ou importante ? Quel est l’état réel de ma sécurité informatique aujourd’hui ?
  • Étape 2 : réaliser un audit complet. Passer en revue l’ensemble de votre infrastructure (matériels, logiciels, réseaux, sauvegardes, droits d’accès…) et obtenir un rapport de préconisations priorisées.
  • Étape 3 : mettre en œuvre les mesures techniques. Déploiement des solutions de protection, renforcement des accès, mise en place des sauvegardes…
  • Étape 4 : former vos équipes. Sensibiliser les collaborateurs aux cybermenaces, aux bons réflexes, à l’identification du phishing.
  • Étape 5 : formaliser PRA et PCA. Documenter les procédures de réponse à incident pour garantir la continuité de votre activité même en cas de crise.
  • Étape 6 : s’inscrire sur MonEspaceNIS2. La plateforme de l’ANSSI permet aux entités concernées d’effectuer leur déclaration en ligne.

NIS 2 : ne subissez pas la réglementation, anticipez-la

La directive NIS 2 n’est pas une contrainte supplémentaire imposée de l’extérieur. C’est une opportunité de remettre la cybersécurité au cœur de votre stratégie d’entreprise, de protéger vos opérations, vos données et vos clients et de le démontrer à vos partenaires et donneurs d’ordre.

Avec une échéance à fin 2027 et un chantier qui peut prendre plusieurs mois, le bon moment pour commencer, c’est maintenant !

Demander un diagnostic à nos experts

FAQ NIS 2

Mon entreprise est-elle concernée par la directive NIS 2 ?
Votre entreprise est concernée par NIS 2 si elle appartient à l'un des secteurs listés par la directive et qu'elle dépasse certains seuils de taille. En France, la directive cible entre 15 000 et 18 000 organisations, réparties en deux catégories : les entités essentielles (grande taille, secteurs hautement critiques comme la santé, l'énergie ou les infrastructures numériques) et les entités importantes (taille intermédiaire, secteurs comme l'industrie manufacturière, l'agroalimentaire ou les services postaux). Les collectivités locales de taille significative sont également concernées. En cas de doute, l'ANSSI met à disposition l'outil MonEspaceNIS2 pour vous aider à identifier votre statut.
Quelle est la différence entre NIS 1 et NIS 2 ?
NIS 1 (2016) ne s'appliquait qu'à environ 300 opérateurs de services essentiels en France. NIS 2 multiplie ce périmètre par plus de 10, visant désormais 15 000 à 18 000 entités. Au-delà de l'élargissement du scope, NIS 2 renforce les exigences : gouvernance obligatoire au niveau des dirigeants, responsabilité personnelle en cas de manquement, délais de notification des incidents beaucoup plus courts (24h pour l'alerte préliminaire), et obligations explicites sur toute la chaîne d'approvisionnement. Les sanctions sont également bien plus élevées.
NIS 2 s'applique-t-elle aux sous-traitants et fournisseurs ?
Oui. C'est l'un des points les plus importants et les moins connus de NIS 2. La directive impose aux entités concernées de gérer les risques liés à leurs fournisseurs et prestataires. Concrètement, si vous êtes sous-traitant ou fournisseur d'une entité soumise à NIS 2, votre client peut vous imposer contractuellement de respecter des exigences de sécurité équivalentes. De nombreuses PME industrielles et prestataires informatiques entreront dans le périmètre NIS 2 par ce biais, même si leur taille ne les y oblige pas directement.
Quelles sont les sanctions en cas de non-conformité à NIS 2 ?
Les sanctions prévues par NIS 2 sont significatives. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu). Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du CA mondial. Au-delà des amendes, la directive prévoit la responsabilité personnelle des dirigeants, pouvant aller jusqu'à une interdiction temporaire d'exercer. Des contrôles et audits pourront être diligentés par l'ANSSI.
NIS 2 concerne-t-elle les établissements de santé ?
Oui. Le secteur de la santé figure explicitement parmi les secteurs hautement critiques de NIS 2. Sont concernés : les hôpitaux, cliniques, centres d'imagerie médicale, laboratoires, mais aussi les fabricants de dispositifs médicaux et les organismes de recherche en santé. Pour ces entités, NIS 2 vient s'ajouter aux obligations existantes (HDS, RGPD, recommandations ANSSI pour les structures de santé) et impose des mesures renforcées : PRA formalisé, gestion des accès, sauvegardes testées, sensibilisation des équipes.
Par où commencer pour se mettre en conformité avec NIS 2 ?
La mise en conformité NIS 2 se déroule en plusieurs étapes. La première consiste à déterminer si votre organisation est concernée (entité essentielle ou importante) via la plateforme MonEspaceNIS2 de l'ANSSI. Ensuite, il faut réaliser un audit de cybersécurité complet pour évaluer votre niveau de maturité et identifier les écarts par rapport aux exigences de la directive. Sur cette base, un plan d'action priorisé peut être établi, couvrant les mesures techniques (firewall, EDR, MFA, sauvegardes…), organisationnelles (PRA, PCA, politique de gestion des risques) et humaines (formation des équipes). Il est recommandé de s'appuyer sur un partenaire spécialisé labellisé ExpertCyber pour structurer cette démarche.
Besoin d'informations supplémentaires ?
Notre équipe commerciale est à votre disposition pour répondre à vos questions.
Contactez-nous

Découvrez nos autres articles