NIS2 est une directive européenne (directive UE 2022/2555) qui oblige un grand nombre d'entreprises à muscler leur cybersécurité et à signaler leurs incidents. Si vous dirigez une PME ou une ETI de plus de 50 salariés ou 10 M€ de chiffre d'affaires dans un secteur jugé sensible (énergie, santé, transport, eau, numérique, industrie, agroalimentaire, services postaux...), vous êtes probablement concerné. Et cette fois, la responsabilité pèse directement sur la direction, pas seulement sur la DSI.
La bonne nouvelle : NIS2 ne vous demande pas l'impossible, mais des mesures de bon sens, formalisées et prouvables. La mauvaise : beaucoup d'entreprises découvrent qu'elles sont dans le périmètre sans l'avoir anticipé.
La première directive NIS (2016) ne visait qu'une poignée de très grands opérateurs. NIS2 élargit massivement le périmètre : on parle de plusieurs milliers d'entités concernées en France, contre quelques centaines auparavant.
Trois nouveautés qui comptent pour vous :
NIS2 distingue deux catégories, avec des obligations proches mais un régime de contrôle et de sanction différent.
| Critère | Entités essentielles | Entités importantes |
|---|---|---|
| Taille indicative | Grandes entreprises (≥ 250 salariés ou > 50 M€ de CA) dans les secteurs les plus critiques | Moyennes entreprises (≥ 50 salariés ou > 10 M€ de CA) |
| Contrôle | Supervision a priori, plus stricte | Supervision a posteriori, sur incident ou signalement |
| Sanctions financières | Jusqu'à 10 M€ ou 2 % du CA mondial | Jusqu'à 7 M€ ou 1,4 % du CA mondial |
Ces seuils et montants sont ceux prévus par la directive et sa transposition française, en cours de finalisation en 2024-2025. Les critères exacts secteur par secteur restent à confirmer : ne vous fiez pas à une lecture rapide, vérifiez votre situation précise auprès de l'ANSSI, qui est l'autorité de référence en France.
Concrètement, posez-vous trois questions :
Ce dernier point est le plus sous-estimé : même si NIS2 ne vous vise pas directement, vos clients concernés vont vous demander des garanties. Autant s'y préparer.
NIS2 ne fournit pas une checklist figée, mais un socle de mesures de gestion des risques. En clair, vous devez pouvoir démontrer que vous maîtrisez au moins ces domaines :
Rien d'exotique. Ce sont les fondamentaux de la cybersécurité, mais formalisés, documentés et prouvables en cas de contrôle. La difficulté n'est pas technique, elle est organisationnelle : passer de « on le fait à peu près » à « on peut le prouver ».
Pour les entités essentielles, les amendes peuvent atteindre 10 M€ ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé des deux). Pour les entités importantes, le plafond est de 7 M€ ou 1,4 % du CA mondial. Au-delà de l'argent, l'autorité peut imposer des mesures correctrices, des audits, et engager la responsabilité des dirigeants.
L'objectif de ces sanctions n'est pas de vous piéger, mais de faire de la cybersécurité un sujet de direction. C'est d'ailleurs comme ça que nous l'abordons chez Reboot Conseil : un enjeu de gouvernance avant d'être un enjeu d'outils.
La directive est entrée en vigueur au niveau européen fin 2022. Les États membres devaient la transposer en droit national pour octobre 2024. En France, la transposition et ses décrets d'application se finalisent sur 2024-2025 : les obligations deviennent réellement contraignantes au fil de leur publication. Autrement dit, l'échéance n'est plus lointaine, et attendre le décret final pour s'y mettre est le meilleur moyen de se retrouver en retard.
Voici la marche à suivre que nous recommandons, dans l'ordre :
Ce n'est pas un projet qui se boucle en une semaine, mais ce n'est pas non plus un gouffre. Une PME bien accompagnée met en place l'essentiel en quelques mois, en avançant par étapes.
Les deux. C'est justement le changement majeur par rapport à la première directive NIS. À partir de 50 salariés ou 10 M€ de CA dans un secteur listé, une PME peut être classée « entité importante » et soumise aux obligations. Et même sous les seuils, vous pouvez être concerné par ricochet si un client soumis à NIS2 vous impose des exigences contractuelles.
Cela dépend de votre point de départ. Une entreprise qui a déjà des bases solides (MFA, sauvegardes, procédures) peut viser quelques mois pour formaliser et combler les écarts. Une entreprise partant de zéro doit prévoir plus de temps et une feuille de route par étapes. Le premier réflexe utile est un audit de maturité pour chiffrer précisément l'effort.
La direction. NIS2 rend explicite que les dirigeants doivent approuver et superviser les mesures de gestion des risques, et peuvent voir leur responsabilité engagée en cas de manquement grave. Concrètement, vous désignez un pilote opérationnel (RSSI ou équivalent), mais le sujet reste sous la responsabilité de la direction générale.
Ce ne sont pas des concurrents. NIS2 est une obligation réglementaire, ISO 27001 est une norme de management de la sécurité. Une démarche ISO 27001 couvre une grande partie des exigences NIS2 et vous donne un cadre reconnu. Si vous visez déjà une certification, elle sert de socle. Sinon, on part directement des exigences NIS2 pour rester efficace.
Chez Reboot Conseil (ESN fondée en 2020, 100+ consultants à Strasbourg, Toulouse et Paris, organisme de formation certifié Qualiopi), on accompagne des PME et ETI du Grand Est sur ces sujets au quotidien, aux côtés de clients comme Schmidt Groupe, Crédit Mutuel ou Hager. Si vous voulez savoir où vous en êtes, découvrez notre offre cybersécurité ou parlons-en directement : prenez un échange avec nous pour caler un premier diagnostic NIS2.
Fondateur et capitaine des Sociétés Reboot Conseil & Lamalo, Yaniv donne le cap depuis Strasbourg avec une vision claire : bâtir un cabinet de conseil IT, IA & Cyber - où autogouvernance, transparence et ambition ne sont pas que des mots. Diplômé de l'Université Paris Cité, il mêle leadership et passion tech au quotidien.
LinkedInKrieg unseri beschte Artikel jede Monet.
Voir en temps réel ce qui se passe dans les entrailles de la production. Un projet de visibilité critique.
ProjetLe premier produit propre de Reboot Conseil. Une solution innovante née de la collaboration.
ProjetSensibiliser aux risques IA bancaire. Un projet pédagogique démontrant 9 vulnérabilités LLM.
ProjetModerniser une plateforme éducative pour 23 000 utilisateurs. Un projet combinant DDD et sécurité bancaire.
ProjetCréer une plateforme IA accessible sur web et mobile. Un projet combinant orchestration IA et mobilité.
ProjetAssurer la maintenance et l'évolution de l'infrastructure commune. Un ingénieur industrialisant les environnements.