En octobre 2024, la directive européenne NIS2 est entrée en vigueur en France. Des milliers d'entreprises sont désormais soumises à de nouvelles obligations de cybersécurité — sans toujours le savoir. NIS2 élargit massivement le périmètre de son prédécesseur. Là où la première directive ne touchait qu'une centaine d'opérateurs critiques, NIS2 pourrait concerner plus de 15 000 entités en France. PME, ETI, sous-traitants : personne n'est à l'abri d'être dans le viseur.
Comment savoir si vous êtes concerné ?
Deux critères principaux déterminent votre assujettissement à NIS2 :
- Votre secteur d'activité
- Secteurs essentiels : énergie, transports, banque, santé, eau, infrastructures numériques...
- Secteurs importants : services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques...
- Votre taille
- Vous employez plus de 50 salariés OU
- Votre chiffre d'affaires dépasse 10 millions d'euros
Si vous cochez les deux cases, vous êtes très probablement concerné.
Et si vous êtes sous-traitant ?
C'est là que beaucoup de PME se trompent. Même si vous n'êtes pas directement visé par NIS2, vos clients le sont peut-être. Et NIS2 les oblige à sécuriser leur chaîne d'approvisionnement — c'est-à-dire vous.
Concrètement :
- Vos clients vont vous demander des preuves de votre niveau de sécurité
- Un contrat peut être refusé ou suspendu si vous ne répondez pas à leurs exigences
- La pression réglementaire descend dans toute la chaîne, jusqu'aux plus petits acteurs
Quelles sont les obligations concrètes ?
Si vous êtes concerné, NIS2 vous impose notamment :
- Déclarer vos incidents de sécurité à l'ANSSI sous 24 heures
- Mettre en place une gouvernance cyber au niveau de la direction
- Réaliser des analyses de risques régulières
- Sécuriser vos accès : authentification forte, gestion des prestataires, cloisonnement des systèmes
- Tester vos plans de continuité et de reprise d'activité
Quelles sanctions en cas de non-conformité ?
Les amendes peuvent atteindre 10 millions d'euros ou 2 % de votre chiffre d'affaires mondial pour les entités essentielles. Pour les entités importantes, le plafond est de 7 millions d'euros ou 1,4 %.
Au-delà de l'amende, les dirigeants peuvent être mis en cause personnellement.
Par où commencer ?
Si vous n'avez pas encore évalué votre niveau de conformité NIS2, la première étape est simple : réaliser un diagnostic de votre situation actuelle. Cela permet de savoir où vous en êtes, ce qui manque, et quelles actions prioriser.
Un prestataire de cybersécurité peut vous accompagner dans cette démarche — et souvent, les résultats sont plus accessibles qu'on ne le pense.
👉 C'est quoi le risque cyber ?
👉 Comment sécuriser les données sensibles de son entreprise ?
👉 ISO27001 ou NIS2 : laquelle s'applique à votre entreprise ?