Vous dirigez une PME de 60 salariés dans le secteur de la logistique ou de la santé ? Mauvaise nouvelle : vous êtes probablement concerné par la directive NIS2, et vous ne le savez peut-être même pas. Cette réglementation européenne va bouleverser les obligations de cybersécurité de 15 000 à 18 000 entreprises sur le territoire. Le compte à rebours a commencé.
Ce que NIS2 change concrètement pour les PME françaises
La première directive NIS, adoptée en 2016, ne touchait qu’environ 300 opérateurs d’importance vitale. Avec NIS2, le périmètre explose. Désormais, toute entreprise de plus de 50 salariés ou réalisant plus de 10 millions d’euros de chiffre d’affaires dans l’un des 18 secteurs visés entre dans le radar du régulateur.
Et la liste est longue : énergie, transports, santé, mais aussi gestion des déchets, services postaux, fabrication de dispositifs médicaux ou encore fournisseurs de services numériques. Même les sous-traitants de ces secteurs devront démontrer leur conformité pour conserver leurs contrats.
Les sanctions qui font réfléchir
L’ANSSI, chargée de superviser l’application de NIS2 en France, disposera de pouvoirs d’audit renforcés. Côté portefeuille, la note peut être salée : le texte prévoit des pénalités financières allant jusqu’à la plus élevée des deux sommes entre un montant forfaitaire de plusieurs millions d’euros et un pourcentage du chiffre d’affaires annuel mondial. Pour une PME réalisant 15 millions d’euros par an, l’addition pourrait dépasser les 300 000 euros en cas de manquement grave.
Comment savoir si votre entreprise est concernée par la directive NIS2
Avant de paniquer ou d’investir dans des solutions coûteuses, il faut établir un diagnostic précis.
L’auto-évaluation sur MonEspaceNIS2
L’ANSSI a mis en ligne un portail dédié permettant aux entreprises de vérifier leur statut. En renseignant votre code NAF et quelques informations sur votre activité, vous saurez en quelques minutes si vous êtes classé comme « entité essentielle » ou « entité importante ». Les obligations diffèrent selon cette classification.
Les critères à vérifier immédiatement
Trois questions simples permettent un premier tri : votre secteur d’activité figure-t-il parmi les 18 listés par la directive ? Votre effectif dépasse-t-il 50 personnes ? Votre CA excède-t-il 10 millions d’euros ? Si vous cochez deux de ces cases, la probabilité d’être concerné par NIS2 est élevée.
Les premières actions à lancer dès janvier
L’ANSSI a annoncé un délai de tolérance de trois ans pour atteindre la conformité complète. Trois ans, cela semble confortable. En réalité, structurer une gouvernance cybersécurité, former ses équipes, documenter ses processus de gestion d’incidents et sécuriser sa chaîne d’approvisionnement prend du temps. Les entreprises qui attendent le vote définitif de la loi Résilience pour réagir se retrouveront dans l’urgence. Celles qui lancent leur audit de maturité maintenant transformeront cette contrainte réglementaire en avantage concurrentiel. Car face à un client qui doit lui-même prouver sa conformité NIS2, le prestataire déjà aligné sur les exigences remportera systématiquement le marché.
Lire plis d’articles sur DigiTechnologie :
– Le fonctionnement de MonIdenum Kbis, cliquez-ici
– L’attaque cyber du ministère de l’intérieur, cliquez-ici
– Les meilleurs alternatives à Google Workspace, cliquez-ici