Qui est concerné par NIS2 ?
La directive NIS2, entrée en application en octobre 2024, remplace la directive NIS1 et élargit fortement le périmètre des entités soumises à des obligations de cybersécurité en Europe. En France, sa mise en oeuvre est pilotée par l'ANSSI, avec une logique beaucoup plus structurante pour les directions générales et les responsables SI.
Là où NIS1 visait essentiellement un nombre limité d'opérateurs critiques, NIS2 introduit deux grands niveaux d'entités :
- Les entités essentielles : énergie, transports, santé, infrastructures numériques, administrations publiques et autres secteurs à forte criticité.
- Les entités importantes : une liste élargie incluant plusieurs fournisseurs de services numériques, acteurs industriels et prestataires intervenant dans des chaînes de valeur sensibles.
Pour une PME Tech, la vraie question n'est donc pas seulement "sommes-nous directement dans le champ ?", mais aussi "sommes-nous un maillon critique pour un client déjà concerné ?". Dans de nombreux cas, les exigences arrivent d'abord par la chaîne d'approvisionnement, via des questionnaires, clauses contractuelles, audits ou demandes de preuves.
Point de vigilance : même lorsque la taille de l'entreprise semble l'écarter du périmètre direct, son rôle opérationnel ou la nature de ses services peut la faire remonter dans la cartographie de risque de ses clients.
Les obligations clés de NIS2
NIS2 repose sur une logique simple : la cybersécurité ne peut plus être traitée comme un sujet purement technique. La directive organise la responsabilité, la preuve et la capacité de réaction autour de quatre blocs.
- La gouvernance cyber : les organes de direction doivent approuver les mesures de gestion des risques et suivre leur déploiement.
- La maîtrise des risques : sécurité des systèmes, gestion des incidents, continuité d'activité, sécurité des fournisseurs, sauvegardes, gestion des accès et chiffrement.
- La notification des incidents : signalement rapide des incidents significatifs à l'autorité compétente selon des délais encadrés.
- La coopération : capacité à partager des informations utiles et à s'inscrire dans une logique de coordination sectorielle et nationale.
La vraie nouveauté de NIS2 n'est pas seulement le niveau d'exigence technique. C'est la responsabilisation explicite des dirigeants sur la préparation et la réaction.
La chaîne d'approvisionnement devient un sujet central
Beaucoup de PME seront confrontées à NIS2 par le biais de leurs clients. Un éditeur SaaS, un hébergeur, un prestataire IT ou un intégrateur peut devenir un point d'attention critique si son indisponibilité ou sa compromission affecte un acteur déjà dans le périmètre. Cela change le niveau d'attente sur la documentation, le PCA/PRA, la gestion de crise et la traçabilité des décisions.
Calendrier de mise en oeuvre
Le bon réflexe n'est pas d'attendre un courrier officiel pour démarrer. NIS2 se déploie progressivement, mais la pression opérationnelle est déjà visible dans les demandes des clients et des partenaires.
- Octobre 2024 : entrée en vigueur du cadre européen et intensification des travaux de transposition.
- 2025 : phase de structuration et d'identification progressive des entités concernées, avec montée en charge des exigences contractuelles dans les écosystèmes critiques.
- 2026 et au-delà : accélération des attentes de preuve, des contrôles et des audits de maturité sur les dispositifs cyber et de continuité.
Notre lecture : pour une PME Tech, le calendrier utile est souvent plus court que le calendrier réglementaire. Dès qu'un client sensible vous interroge sur votre continuité ou vos mesures de cybersécurité, le sujet est déjà devenu immédiat.
Risques et sanctions
NIS2 durcit le régime de sanctions par rapport à NIS1, mais l'enjeu ne se limite pas au risque financier. Les impacts les plus immédiats sont souvent commerciaux, contractuels et réputationnels.
- Des amendes significatives pour les structures relevant du périmètre direct.
- Une exposition renforcée des dirigeants sur les choix de gouvernance et de pilotage.
- Des exigences accrues de la part des clients qui veulent sécuriser leur chaîne de sous-traitance.
- Un risque de blocage business si l'entreprise ne sait pas démontrer sa maturité ou sa capacité à gérer un incident.
Autrement dit, même avant de parler sanction publique, l'absence de préparation peut déjà coûter des opportunités commerciales, ralentir des signatures ou fragiliser la relation avec des comptes stratégiques.
Par où commencer ?
Pour une PME Tech, l'approche la plus utile est progressive. L'objectif n'est pas de produire un dossier théorique, mais d'identifier les écarts réellement critiques pour l'entreprise et ses clients.
- Vérifier votre exposition : activités, taille, rôle dans la chaîne d'approvisionnement, clients sensibles, services critiques fournis.
- Évaluer votre maturité actuelle : gouvernance, gestion des incidents, documentation, PCA/PRA, dépendances clés, sécurité des accès et des tiers.
- Tester votre capacité de réaction : un exercice de simulation ou une revue de continuité permet souvent de révéler très vite les angles morts réels.
Ce qu'il faut retenir
NIS2 n'est pas une couche réglementaire de plus à empiler. C'est un changement de posture : les entreprises doivent être capables de prouver qu'elles gouvernent leurs risques cyber, qu'elles savent réagir et qu'elles ne fragilisent pas la chaîne de valeur dont elles font partie.
Pour les PME Tech, cela signifie deux choses. D'abord, comprendre rapidement si elles sont concernées directement ou indirectement. Ensuite, construire un niveau de préparation crédible, proportionné et démontrable, avant que le sujet ne devienne un frein commercial ou contractuel.
La bonne nouvelle, c'est que les chantiers NIS2 les plus utiles sont aussi de bons fondamentaux de pilotage : meilleure continuité, rôles clarifiés, dépendances visibles, réaction plus structurée en cas d'incident.