La directive NIS2 (Network and Information Systems Directive 2) marque un tournant pour les entreprises européennes. Entrée en vigueur en octobre 2024, elle élargit considérablement le périmètre des organisations concernées par les exigences de résilience numérique. Les PME et ETI, longtemps épargnées par la réglementation, se retrouvent désormais dans le viseur. TransiCIO accompagne les dirigeants IT dans la mise en conformité NIS2 avec une approche pragmatique, adaptée aux réalités des organisations de taille intermédiaire.
NIS2 : Ce qui Change pour les Entreprises
Un Périmètre Élargi
La directive NIS1 ne concernait qu’un nombre restreint d’opérateurs de services essentiels. NIS2 élargit le champ à 18 secteurs d’activité et introduit deux catégories d’entités : les entités essentielles et les entités importantes. Les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d’euros de chiffre d’affaires dans ces secteurs sont potentiellement concernées. Cela inclut désormais des secteurs comme la gestion des déchets, l’industrie alimentaire, la fabrication, les services postaux, ou encore les fournisseurs de services numériques.
Des Obligations Renforcées
NIS2 impose un cadre structuré de gestion des risques numériques couvrant plusieurs domaines : analyse de risques et politiques de protection du SI, gestion des incidents et notification aux autorités compétentes, continuité des opérations et gestion de crise, protection de la chaîne d’approvisionnement, pratiques d’hygiène numérique et formation, et gestion des actifs et des accès. Les obligations de notification sont particulièrement strictes : une alerte précoce dans les 24 heures suivant la détection d’un incident significatif, et un rapport complet dans les 72 heures.
Des Sanctions Dissuasives
NIS2 introduit des sanctions financières significatives : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % du CA pour les entités importantes. Mais au-delà des amendes, la directive prévoit la responsabilité personnelle des dirigeants et des mesures coercitives comme la suspension temporaire de certifications ou autorisations.
Êtes-vous Concerné par NIS2 ?
La première question que se posent les dirigeants est : mon entreprise est-elle dans le périmètre ? La réponse dépend de deux critères : votre secteur d’activité et votre taille. Les 18 secteurs couverts incluent l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, l’administration publique, l’espace, les services postaux, la gestion des déchets, la fabrication et distribution de produits chimiques, la production et distribution alimentaire, la fabrication de dispositifs médicaux, l’informatique et les télécommunications, et la recherche.
Si votre entreprise opère dans l’un de ces secteurs et compte plus de 50 salariés ou réalise plus de 10 millions d’euros de CA, vous êtes très probablement concerné. Certaines entreprises plus petites peuvent également être dans le périmètre si elles sont identifiées comme critiques pour la chaîne d’approvisionnement d’une entité essentielle.
Notre Approche de Mise en Conformité NIS2
Phase 1 : Évaluation de la Maturité et Analyse d’Écart
Nous commençons par évaluer votre niveau de maturité actuel sur chacun des domaines exigés par NIS2. Cette analyse d’écart (gap analysis) identifie précisément les mesures déjà en place, les mesures partiellement implémentées, et les mesures absentes. Nous priorisons ensuite les chantiers en fonction du niveau de risque et de l’effort de mise en conformité, en nous appuyant sur des référentiels reconnus (ISO 27001, NIST CSF, guides ANSSI).
Phase 2 : Feuille de Route et Gouvernance
Sur la base de l’analyse d’écart, nous construisons une feuille de route de mise en conformité réaliste et budgétée. Cette feuille de route intègre les dimensions techniques (renforcement des protections, mise en place d’outils de détection et réponse), organisationnelles (politiques, procédures, rôles et responsabilités), et humaines (sensibilisation, formation). Nous mettons également en place la gouvernance nécessaire : comité de pilotage, indicateurs de suivi, reporting vers la direction générale.
Phase 3 : Implémentation des Mesures
Nous pilotons l’implémentation des mesures prioritaires : mise en place ou renforcement d’une politique de gestion des risques, déploiement d’outils de détection des incidents, formalisation des procédures de notification, mise en place de plans de continuité et de reprise d’activité, revue des pratiques de gestion des accès et des identités, et audit de la chaîne d’approvisionnement numérique.
Phase 4 : Test, Audit et Amélioration Continue
La conformité NIS2 n’est pas un état figé, c’est un processus continu. Nous mettons en place des mécanismes de test régulier (exercices de crise, tests de continuité, revues de conformité), des audits internes périodiques, et un processus d’amélioration continue. L’objectif est de construire une capacité de résilience pérenne, pas de cocher des cases pour un audit ponctuel.
NIS2 et PME/ETI : Les Défis Spécifiques
Des Ressources Limitées
Les PME et ETI n’ont généralement pas de responsable dédié à la protection du SI. Le DSI — quand il existe — gère l’ensemble de l’IT avec une équipe réduite. Les budgets sont contraints et la direction générale ne perçoit pas toujours l’urgence de la mise en conformité. C’est pourquoi notre approche se concentre sur les mesures à plus fort impact pour le niveau d’effort le plus faible, en s’appuyant au maximum sur les outils et processus déjà en place.
Une Chaîne d’Approvisionnement à Maîtriser
NIS2 impose de gérer les risques liés aux fournisseurs et prestataires. Pour une PME qui externalise une partie de son SI chez un hébergeur, utilise des solutions SaaS pour sa gestion commerciale, et fait appel à un prestataire pour la maintenance de son infrastructure, cela implique de cartographier ses dépendances, d’évaluer la maturité de ses fournisseurs, et de contractualiser des engagements appropriés.
Un Levier de Différenciation
La mise en conformité NIS2 peut aussi devenir un avantage concurrentiel. Dans un contexte où les grandes entreprises durcissent leurs exigences envers leurs fournisseurs, une PME capable de démontrer sa maturité en matière de résilience numérique se démarque de ses concurrents. C’est un argument commercial de plus en plus décisif, notamment dans les secteurs industriels, la santé, et les services financiers.
NIS2 et Management de Transition IT
La mise en conformité NIS2 nécessite souvent des compétences que l’entreprise n’a pas en interne. Un RSSI de transition peut piloter l’ensemble du programme de mise en conformité sur une durée de 6 à 12 mois : diagnostic, feuille de route, implémentation, et transfert de compétences aux équipes internes. C’est une solution particulièrement adaptée aux PME et ETI qui n’ont pas besoin — ni les moyens — d’un RSSI à temps plein, mais qui doivent se conformer à NIS2 dans des délais serrés.
Un DSI de transition peut également intégrer le volet NIS2 dans une mission plus large de modernisation du système d’information, ce qui permet de mutualiser les efforts et d’optimiser les investissements.
FAQ — Questions Fréquentes sur NIS2
Quand NIS2 sera-t-elle applicable en France ?
La directive devait être transposée en droit national avant le 17 octobre 2024. La France a pris du retard dans sa transposition, mais les entreprises concernées doivent se préparer dès maintenant. Les exigences de la directive s’appliqueront avec ou sans transposition formelle, et les entreprises qui anticipent seront mieux positionnées que celles qui attendent le dernier moment.
Quel budget prévoir pour la mise en conformité NIS2 ?
Pour une PME de 50 à 200 salariés, le budget de mise en conformité se situe typiquement entre 50 000 et 200 000 euros répartis sur 12 à 24 mois, selon le niveau de maturité initial. Ce budget couvre le diagnostic, les mesures techniques, la formation, et l’accompagnement. Pour une ETI, comptez entre 200 000 et 500 000 euros. L’investissement est significatif, mais il faut le mettre en perspective avec les sanctions potentielles et le coût d’un incident majeur.
Peut-on se mettre en conformité sans recruter un RSSI ?
Oui, et c’est même le cas le plus fréquent en PME. Un RSSI de transition peut poser les fondations en 6 à 12 mois, puis passer le relais à un DSI ou responsable IT formé aux enjeux de protection du SI. L’important est d’avoir une personne identifiée comme référente, même si ce n’est pas un profil dédié à temps plein.