NIS2 : ce que les entreprises doivent avoir mis en place dès maintenant

NIS2 : ce que les entreprises doivent avoir mis en place dès maintenant

Qu’est-ce que NIS2 ?

La directive NIS2 marque un tournant majeur dans la régulation de la cybersécurité en Europe. Publiée fin 2022 et applicable après transposition nationale depuis octobre 2024, elle élargit considérablement le périmètre des entreprises concernées et renforce les exigences opérationnelles et de gouvernance.

Pour les PME et ETI, il ne s’agit plus seulement d’anticiper une conformité future. Certaines mesures doivent déjà être effectives, sous peine de sanctions financières et de mise en cause de la responsabilité des dirigeants.

Alors, concrètement, qu’est-ce qui doit être en place dès maintenant ?

Le cadre de la directive NIS2

La directive NIS2 (Network and Information Security) vise à élever le niveau global de cybersécurité au sein de l’Union européenne, face à l’augmentation des attaques ciblant les chaînes d’approvisionnement, les infrastructures critiques et les entreprises intermédiaires.

Contrairement à NIS1, NIS2 s’applique à :

  • des entités essentielles (énergie, transports, santé, eau, numérique…)
  • des entités importantes, incluant de nombreuses PME et ETI dès lors qu’elles opèrent dans un secteur listé et dépassent certains seuils (≥ 50 salariés ou ≥ 10 M€ de CA).

L’auto-évaluation du statut est donc une première action immédiate.

Les mesures de cybersécurité déjà exigées par NIS2

NIS2 impose une approche par le risque, alignée avec les standards de cybersécurité reconnus.

1. Une gestion formalisée des risques cyber

Les entreprises doivent démontrer qu’elles ont :

  • identifié leurs actifs critiques
  • évalué les risques cyber associés
  • défini des mesures de protection proportionnées

Cela implique, dès maintenant :

  • une cartographie du SI
  • une analyse de risques documentée

Sans analyse de risques, aucune conformité NIS2 n’est possible.

2. Des mesures techniques et organisationnelles minimales

Les mesures attendues incluent notamment :

  • gestion des accès et des identités
  • politiques de sauvegarde et de reprise
  • sécurité des réseaux et des systèmes
  • gestion des vulnérabilités et des correctifs
  • protection contre les incidents et continuité d’activité

Ces exigences sont déjà applicables, même si les contrôles nationaux se renforcent progressivement.

3. Une gouvernance cyber au niveau de la direction

C’est l’un des apports majeurs de NIS2.

Les dirigeants doivent :

  • valider les mesures de cybersécurité
  • être formés aux risques cyber
  • être responsables en cas de manquement grave

Autrement dit, la cybersécurité n’est plus un sujet uniquement IT, mais un sujet de gouvernance d’entreprise.

Notification des incidents : un dispositif à activer sans attendre

NIS2 impose des délais stricts :

  • 24 heures : notification initiale
  • 72 heures : rapport détaillé
  • 1 mois : rapport final

Si vous mettez plus de 24h à détecter une intrusion / si votre temps moyen de détection dépasse les 24h, vous avez un problème.

Pour être prêt, les entreprises doivent déjà disposer :

  • d’un processus de détection des incidents
  • d’une chaîne de décision claire
  • d’un point de contact désigné

Sans cela, le respect des délais est irréaliste.

Réaliser un audit cybersécurité

Checklist NIS2 “dès maintenant”

✅ Avez-vous un numéro de téléphone à appeler à 3h du matin le dimanche, si tout le Système d’Information est chiffré ? (Si non, vous avez un problème)

✅ Réaliser une analyse de risques cyber documentée

✅ Votre Directeur Général a-t-il signé une validation des risques cyber le mois dernier ? (Si non, il est exposé)

✅ Formaliser des politiques de sécurité (PSSI, PRA/PCA)

✅ Mettre en place un processus de gestion des incidents

✅ Savez-vous exactement combien de fournisseurs ont accès à votre réseau ?

✅ Impliquer la direction et former les décideurs

✅ Documenter toutes les mesures (preuve de conformité)

Sanctions : pourquoi l’inaction n’est plus une option ?

La directive NIS2 introduit un régime de sanctions particulièrement dissuasif. Selon la catégorie de l’entité concernée, les autorités peuvent infliger des amendes pouvant atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel. À cela s’ajoutent des injonctions correctives, pouvant contraindre l’entreprise à mettre en œuvre des mesures de sécurité dans des délais imposés.

Plus encore, NIS2 consacre une responsabilité directe des dirigeants, qui peuvent être tenus pour responsables en cas de manquement grave aux obligations de cybersécurité. À bien des égards, ce dispositif est comparable à celui du RGPD, avec toutefois un niveau d’exigence opérationnelle souvent plus élevé.

Passer de l’intention à l’action

La directive NIS2 ne se limite pas à des principes généraux. Elle impose dès aujourd’hui une structuration concrète de la cybersécurité, une implication réelle de la direction et une capacité démontrable à prévenir et gérer les incidents.

Les entreprises qui tardent à agir s’exposent ainsi à des risques juridiques, opérationnels et réputationnels significatifs. Dans ce contexte, réaliser un diagnostic flash de vulnérabilité juridique constitue une première étape essentielle pour évaluer son niveau de conformité et prioriser les actions à plus fort impact.

Sources