Conformité NIS2 : guide pratique pour les PME et ETI

La directive NIS2 (Network and Information Systems Directive 2) marque un tournant pour les entreprises européennes. Entrée en vigueur en octobre 2024, elle élargit considérablement le périmètre des organisations concernées par les exigences de résilience numérique. Les PME et ETI, longtemps épargnées par la réglementation, se retrouvent désormais dans le viseur. TransiCIO accompagne les dirigeants IT dans la mise en conformité NIS2 avec une approche pragmatique, adaptée aux réalités des organisations de taille intermédiaire.

NIS2 : Ce qui Change pour les Entreprises

Un Périmètre Élargi

La directive NIS1 ne concernait qu’un nombre restreint d’opérateurs de services essentiels. NIS2 élargit le champ à 18 secteurs d’activité et introduit deux catégories d’entités : les entités essentielles et les entités importantes. Les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d’euros de chiffre d’affaires dans ces secteurs sont potentiellement concernées. Cela inclut désormais des secteurs comme la gestion des déchets, l’industrie alimentaire, la fabrication, les services postaux, ou encore les fournisseurs de services numériques.

Des Obligations Renforcées

NIS2 impose un cadre structuré de gestion des risques numériques couvrant plusieurs domaines : analyse de risques et politiques de protection du SI, gestion des incidents et notification aux autorités compétentes, continuité des opérations et gestion de crise, protection de la chaîne d’approvisionnement, pratiques d’hygiène numérique et formation, et gestion des actifs et des accès. Les obligations de notification sont particulièrement strictes : une alerte précoce dans les 24 heures suivant la détection d’un incident significatif, et un rapport complet dans les 72 heures.

Des Sanctions Dissuasives

NIS2 introduit des sanctions financières significatives : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % du CA pour les entités importantes. Mais au-delà des amendes, la directive prévoit la responsabilité personnelle des dirigeants et des mesures coercitives comme la suspension temporaire de certifications ou autorisations.

Calendrier NIS2 2026 : Les Échéances Clés

La directive NIS2 suit un calendrier précis que les entreprises doivent impérativement connaître pour anticiper leurs obligations.

Octobre 2024 — Date Limite de Transposition

La directive devait être transposée en droit national dans tous les États membres avant le 17 octobre 2024. Plusieurs pays, dont la France, ont accusé un retard. Le projet de loi de transposition a été présenté au Parlement fin 2024 et fait l’objet de discussions pour adapter les exigences européennes au tissu économique français.

Janvier — Mars 2026 : Phase de Recensement

L’ANSSI procède au recensement des entités essentielles et importantes sur le territoire français. Les entreprises concernées reçoivent une notification formelle de leur catégorisation. Si vous n’avez pas encore été contacté, cela ne signifie pas que vous êtes hors périmètre : l’auto-évaluation reste de votre responsabilité.

Avril — Juin 2026 : Phase de Déclaration

Les entités identifiées doivent se déclarer auprès de l’ANSSI et fournir les informations de base sur leur organisation et leur niveau de maturité en cybersécurité, incluant la désignation d’un point de contact unique.

Juillet — Décembre 2026 : Évaluations et Premiers Contrôles

Les entités essentielles sont soumises à une première évaluation de conformité portant sur les mesures de gestion des risques, les capacités de détection et réponse aux incidents, et les dispositifs de notification. L’ANSSI dispose désormais du pouvoir de contrôle et de sanction. Les premières inspections ciblent les secteurs les plus critiques.

Pourquoi Ne Pas Attendre

La mise en conformité prend entre 12 et 24 mois pour une PME — commencer en 2026, c’est déjà tard. Les prestataires spécialisés sont de plus en plus sollicités et les délais s’allongent. Un incident survenant avant la mise en conformité pourrait avoir des conséquences aggravées sur le plan juridique.

NIS1 vs NIS2 : Ce Qui Change Concrètement

Périmètre : de 500 à 15 000 Entités en France

NIS1 concernait uniquement les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN), soit environ 500 entités. NIS2 porte ce nombre à plus de 15 000 entités en France, selon les estimations de l’ANSSI, grâce à des critères objectifs de taille (50+ salariés ou 10M+ de CA dans un secteur couvert).

Responsabilité des Dirigeants : une Nouveauté Majeure

NIS1 ne prévoyait aucune responsabilité personnelle. NIS2 impose aux dirigeants d’approuver les mesures de gestion des risques, de suivre leur mise en œuvre, et de suivre des formations en cybersécurité. En cas de manquement grave, ils peuvent être personnellement sanctionnés, voire interdits temporairement d’exercer.

Notification : des Délais Précis et Contraignants

NIS1 imposait une notification « sans retard injustifié ». NIS2 fixe : alerte précoce dans les 24 heures, notification complète dans les 72 heures, et rapport final sous un mois. Le non-respect de ces délais constitue en soi une infraction.

Chaîne d’Approvisionnement : un Nouveau Front

NIS1 ne traitait pas la question des fournisseurs. NIS2 impose d’évaluer et gérer les risques liés aux fournisseurs et prestataires de services numériques — un changement qui impacte toute la chaîne de valeur.

Sanctions Harmonisées au Niveau Européen

NIS1 laissait une grande latitude aux États, créant des disparités. NIS2 harmonise avec des plafonds européens : jusqu’à 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles, et 7 millions ou 1,4 % pour les entités importantes.

Êtes-vous Concerné par NIS2 ?

La première question que se posent les dirigeants est : mon entreprise est-elle dans le périmètre ? La réponse dépend de deux critères : votre secteur d’activité et votre taille. Les 18 secteurs couverts incluent l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, l’administration publique, l’espace, les services postaux, la gestion des déchets, la fabrication et distribution de produits chimiques, la production et distribution alimentaire, la fabrication de dispositifs médicaux, l’informatique et les télécommunications, et la recherche.

Si votre entreprise opère dans l’un de ces secteurs et compte plus de 50 salariés ou réalise plus de 10 millions d’euros de CA, vous êtes très probablement concerné. Certaines entreprises plus petites peuvent également être dans le périmètre si elles sont identifiées comme critiques pour la chaîne d’approvisionnement d’une entité essentielle.

NIS2 en Pratique : Exemples Sectoriels

Santé : Protéger les Données Patients

Le secteur de la santé est l’un des plus visés par les cyberattaques, avec une augmentation de 50 % des attaques contre les établissements de santé entre 2023 et 2025. NIS2 impose aux cliniques, laboratoires et fabricants de dispositifs médicaux la segmentation réseau entre systèmes médicaux et SI, un plan de continuité pour l’accès aux dossiers patients, le chiffrement des données de santé, et la formation du personnel soignant.

Industrie : Sécuriser l’IT et l’OT

Les industriels font face à la convergence IT/OT. NIS2 couvre explicitement la fabrication (automobile, aéronautique, agroalimentaire, chimie). Les enjeux : sécuriser les interfaces ERP/automates, surveiller les accès SCADA, prévoir des procédures de reprise pour les systèmes de production, et auditer les accès distants des mainteneurs.

Banque : NIS2 et DORA, Double Réglementation

Le secteur financier est soumis à NIS2 et au règlement DORA (Digital Operational Resilience Act). Les établissements déjà conformes à DORA couvrent une grande partie des exigences NIS2. Les points d’attention portent sur les délais de notification (légèrement différents), la gestion des prestataires ICT, et les tests de résilience opérationnelle.

Énergie : Infrastructures Critiques Renforcées

Le secteur de l’énergie, déjà couvert par NIS1, voit ses exigences renforcées. Les producteurs d’énergie renouvelable, gestionnaires de réseaux de chaleur et opérateurs de bornes de recharge entrent dans le périmètre, avec des enjeux de protection SCADA/DCS et de sécurisation des smart grids.

Notre Approche de Mise en Conformité NIS2

Phase 1 : Évaluation de la Maturité et Analyse d’Écart

Nous commençons par évaluer votre niveau de maturité actuel sur chacun des domaines exigés par NIS2. Cette analyse d’écart (gap analysis) identifie précisément les mesures déjà en place, les mesures partiellement implémentées, et les mesures absentes. Nous priorisons ensuite les chantiers en fonction du niveau de risque et de l’effort de mise en conformité, en nous appuyant sur des référentiels reconnus (ISO 27001, NIST CSF, guides ANSSI).

Phase 2 : Feuille de Route et Gouvernance

Sur la base de l’analyse d’écart, nous construisons une feuille de route de mise en conformité réaliste et budgétée. Cette feuille de route intègre les dimensions techniques (renforcement des protections, mise en place d’outils de détection et réponse), organisationnelles (politiques, procédures, rôles et responsabilités), et humaines (sensibilisation, formation). Nous mettons également en place la gouvernance nécessaire : comité de pilotage, indicateurs de suivi, reporting vers la direction générale.

Phase 3 : Implémentation des Mesures

Nous pilotons l’implémentation des mesures prioritaires : mise en place ou renforcement d’une politique de gestion des risques, déploiement d’outils de détection des incidents, formalisation des procédures de notification, mise en place de plans de continuité et de reprise d’activité, revue des pratiques de gestion des accès et des identités, et audit de la chaîne d’approvisionnement numérique.

Phase 4 : Test, Audit et Amélioration Continue

La conformité NIS2 n’est pas un état figé, c’est un processus continu. Nous mettons en place des mécanismes de test régulier (exercices de crise, tests de continuité, revues de conformité), des audits internes périodiques, et un processus d’amélioration continue. L’objectif est de construire une capacité de résilience pérenne, pas de cocher des cases pour un audit ponctuel.

NIS2 et PME/ETI : Les Défis Spécifiques

Des Ressources Limitées

Les PME et ETI n’ont généralement pas de responsable dédié à la protection du SI. Le DSI — quand il existe — gère l’ensemble de l’IT avec une équipe réduite. Les budgets sont contraints et la direction générale ne perçoit pas toujours l’urgence de la mise en conformité. C’est pourquoi notre approche se concentre sur les mesures à plus fort impact pour le niveau d’effort le plus faible, en s’appuyant au maximum sur les outils et processus déjà en place.

Une Chaîne d’Approvisionnement à Maîtriser

NIS2 impose de gérer les risques liés aux fournisseurs et prestataires. Pour une PME qui externalise une partie de son SI chez un hébergeur, utilise des solutions SaaS pour sa gestion commerciale, et fait appel à un prestataire pour la maintenance de son infrastructure, cela implique de cartographier ses dépendances, d’évaluer la maturité de ses fournisseurs, et de contractualiser des engagements appropriés.

Un Levier de Différenciation

La mise en conformité NIS2 peut aussi devenir un avantage concurrentiel. Dans un contexte où les grandes entreprises durcissent leurs exigences envers leurs fournisseurs, une PME capable de démontrer sa maturité en matière de résilience numérique se démarque de ses concurrents. C’est un argument commercial de plus en plus décisif, notamment dans les secteurs industriels, la santé, et les services financiers.

Guide Pratique : Par Où Commencer ?

Étape 1 : Déterminer Votre Catégorie

La première action concrète est de déterminer si votre entreprise est une entité essentielle, une entité importante, ou hors périmètre. Vérifiez votre code NAF par rapport aux 18 secteurs listés dans les annexes I et II de la directive. Si votre secteur est couvert, vérifiez vos seuils de taille (50+ salariés ou 10M+ de CA). En cas de doute, consultez le site de l’ANSSI qui met à disposition un outil d’auto-évaluation en ligne.

Étape 2 : Réaliser un État des Lieux Rapide

Avant même de lancer un programme complet, faites un état des lieux en 5 questions : disposez-vous d’un inventaire à jour de vos actifs informatiques ? Avez-vous une politique de gestion des mots de passe et le MFA est-il activé sur vos accès critiques ? Effectuez-vous des sauvegardes régulières et les testez-vous ? Avez-vous un plan documenté en cas d’incident de sécurité ? Connaissez-vous les accès de vos prestataires à votre SI ? Si vous répondez « non » à plus de deux de ces questions, une mise en conformité structurée est nécessaire.

Étape 3 : Identifier Votre Mode d’Accompagnement

Trois options s’offrent à vous selon votre niveau de maturité et vos ressources. Le management de transition IT (RSSI ou DSI de transition) est adapté si vous n’avez pas de compétence cybersécurité en interne et avez besoin d’une montée en puissance rapide sur 6 à 12 mois. Le conseil en cybersécurité ponctuel convient si vous avez déjà un DSI capable de porter le sujet mais avez besoin d’un cadrage initial et d’un accompagnement méthodologique. L’externalisation complète via un MSSP (Managed Security Service Provider) est pertinente si vous souhaitez confier la gestion opérationnelle de votre sécurité à un tiers de confiance dans la durée.

Étape 4 : Mobiliser Votre Direction Générale

NIS2 impose la responsabilité des dirigeants — c’est aussi un levier pour obtenir le budget nécessaire. Présentez à votre direction les trois dimensions du risque : le risque financier (sanctions jusqu’à 2 % du CA + coût d’un incident), le risque juridique (responsabilité personnelle des dirigeants), et le risque commercial (perte de marchés faute de conformité). Un investissement de 100 000 à 300 000 euros sur 18 mois est dérisoire face à ces enjeux cumulés.

NIS2 et Management de Transition IT

La mise en conformité NIS2 nécessite souvent des compétences que l’entreprise n’a pas en interne. Un RSSI de transition peut piloter l’ensemble du programme de mise en conformité sur une durée de 6 à 12 mois : diagnostic, feuille de route, implémentation, et transfert de compétences aux équipes internes. C’est une solution particulièrement adaptée aux PME et ETI qui n’ont pas besoin — ni les moyens — d’un RSSI à temps plein, mais qui doivent se conformer à NIS2 dans des délais serrés.

Un DSI de transition peut également intégrer le volet NIS2 dans une mission plus large de modernisation du système d’information, ce qui permet de mutualiser les efforts et d’optimiser les investissements.

Transposition en France : Où en Est-on ?

La France a pris du retard dans la transposition de NIS2 par rapport à des pays comme la Belgique ou la Croatie qui ont déjà publié leur loi nationale. Le projet de loi français prévoit néanmoins des dispositions ambitieuses. L’ANSSI sera l’autorité nationale compétente, avec des pouvoirs de contrôle et de sanction renforcés. Le texte prévoit aussi un dispositif d’accompagnement pour les PME, reconnaissant que ces entreprises ne disposent pas des mêmes ressources que les grands groupes. En attendant la transposition formelle, les exigences de la directive servent déjà de référence pour les marchés publics et les contrats avec les grandes entreprises.

Les 10 Domaines d’Exigences NIS2 en Détail

L’article 21 de NIS2 définit 10 domaines structurants que chaque entité doit couvrir. Notre analyse d’écart évalue chacun d’entre eux avec un score de maturité de 1 à 5.

1. Politiques de Sécurité et Analyse de Risques

Le socle de toute démarche NIS2. Vous devez disposer d’une politique de sécurité formalisée, approuvée par la direction, et d’une analyse de risques régulièrement mise à jour couvrant l’ensemble de vos actifs informationnels.

2. Gestion des Incidents

Capacité de détection (un EDR sur le parc, un service SOC pour la surveillance), procédures de réponse documentées, et processus de notification conforme aux délais NIS2 (24h pour l’alerte, 72h pour le rapport complet).

3. Continuité d’Activité et Gestion de Crise

Plan de continuité d’activité (PCA) et plan de reprise d’activité (PRA) documentés et testés annuellement. Sauvegardes en règle 3-2-1 (3 copies, 2 supports, 1 hors site) avec tests de restauration réguliers.

4. Sécurité de la Chaîne d’Approvisionnement

Cartographie de vos fournisseurs critiques, évaluation de leur maturité cybersécurité, clauses contractuelles adaptées. Un exercice souvent négligé par les PME qui externalisent massivement leur IT.

5. Sécurité dans l’Acquisition et le Développement

Intégration de la sécurité dès la conception (security by design) dans vos projets IT, gestion des vulnérabilités, et processus de patch management structuré.

6. Évaluation de l’Efficacité des Mesures

Tests de pénétration réguliers, audits de conformité, et exercices de crise pour mesurer concrètement l’efficacité de votre dispositif de sécurité.

7. Cyber-hygiène et Formation

Programme de sensibilisation des collaborateurs (phishing, mots de passe, signalement d’incidents), avec des sessions régulières et des indicateurs de suivi (taux de clic sur les campagnes de phishing simulé).

8. Cryptographie

Chiffrement des données sensibles en transit (TLS/SSL) et au repos, gestion des certificats et des clés de chiffrement, politiques d’utilisation de la cryptographie.

9. Sécurité des Ressources Humaines et Contrôle d’Accès

Gestion des identités et des accès (IAM), principe du moindre privilège, MFA systématique sur les accès critiques, procédures d’arrivée/départ des collaborateurs.

10. Authentification Multifacteur et Communications Sécurisées

Déploiement du MFA sur tous les accès critiques (messagerie, VPN, applications métiers), utilisation de solutions de communication chiffrées pour les échanges sensibles.

Témoignages : NIS2 sur le Terrain

Un Groupe de Cliniques Privées

« Quand nous avons reçu la notification de l’ANSSI nous classant comme entité importante, nous étions démunis. Aucun RSSI, un DSI débordé, et des systèmes médicaux vieillissants. TransiCIO a déployé un RSSI de transition qui a structuré tout le programme en 9 mois. Aujourd’hui, nous avons un plan de continuité testé, nos données patients sont chiffrées, et notre personnel est formé. Le plus surprenant : nos partenaires hospitaliers nous sollicitent désormais comme référence en matière de cybersécurité. » — Direction générale, groupe de cliniques (120 lits, 350 salariés).

Un Équipementier Industriel

« Notre principal donneur d’ordre, un grand groupe automobile, nous a envoyé un questionnaire de maturité cybersécurité de 200 questions. Sans NIS2, nous n’aurions jamais pu y répondre de façon crédible. Le DSI de transition de TransiCIO nous a permis de structurer notre approche et de scorer 78/100 au questionnaire — contre 30/100 estimé avant l’intervention. Ce score nous a permis de conserver notre statut de fournisseur privilégié. » — Directeur des opérations, ETI industrielle (280 salariés).

Les Erreurs à Éviter dans Votre Mise en Conformité NIS2

Erreur #1 : Traiter NIS2 comme un Projet IT

NIS2 est un projet de gouvernance d’entreprise, pas un projet technique. L’erreur la plus fréquente est de confier l’ensemble du programme au DSI sans implication de la direction générale, du juridique, et des métiers. La directive impose explicitement la responsabilité des organes de direction — les ignorer dans le processus revient à construire une conformité de façade qui ne résistera pas au premier contrôle. Le comité de pilotage NIS2 doit inclure au minimum un membre de la direction générale, le DSI ou RSSI, le responsable juridique, et un représentant des métiers critiques.

Erreur #2 : Viser la Perfection plutôt que la Progression

Certaines entreprises paralysent leur mise en conformité en visant un niveau de maturité maximal dès le départ. NIS2 exige des mesures « appropriées et proportionnées » — pas une forteresse impénétrable. Pour une PME de 100 salariés, un dispositif pragmatique couvrant les fondamentaux (MFA, EDR, sauvegardes, plan d’incident) sera beaucoup plus valorisé par l’ANSSI qu’un programme ambitieux non terminé. Commencez par les quick wins, construisez les fondations, puis montez en puissance progressivement. C’est exactement l’approche que nous recommandons chez TransiCIO : des résultats tangibles en 3 mois, une conformité de base en 6 mois, une maturité complète en 12-18 mois.

Erreur #3 : Négliger la Chaîne d’Approvisionnement

De nombreuses PME se focalisent sur leur périmètre interne et oublient que NIS2 impose de gérer les risques liés aux fournisseurs. Or, les attaques par la supply chain représentent une part croissante des incidents — l’attaque SolarWinds a démontré qu’un fournisseur compromis peut impacter des milliers de clients. Concrètement, vous devez cartographier vos fournisseurs IT (hébergeur, éditeurs SaaS, prestataires de maintenance), évaluer leur niveau de sécurité via un questionnaire standardisé, et intégrer des clauses de cybersécurité dans vos contrats. TransiCIO fournit un template de questionnaire fournisseur adapté aux PME qui couvre les exigences NIS2.

Erreur #4 : Sous-estimer le Volet Formation

NIS2 exige que les dirigeants suivent des formations en cybersécurité et que les collaborateurs soient sensibilisés. Trop d’entreprises considèrent la formation comme une case à cocher avec une présentation PowerPoint annuelle. Une sensibilisation efficace combine des campagnes de phishing simulé mensuelles, des micro-formations de 5 minutes intégrées au quotidien, des exercices de crise impliquant les équipes métiers, et des communications régulières sur les menaces actuelles. Le coût est modeste (quelques milliers d’euros par an pour un outil de sensibilisation en ligne) et le ROI est immédiat : les entreprises qui forment régulièrement leurs collaborateurs réduisent de 70 % le risque de compromission par phishing.

Erreur #5 : Ne Pas Documenter

La conformité NIS2 repose sur la capacité à démontrer que vous avez mis en œuvre des mesures appropriées. Sans documentation, même le meilleur dispositif technique est invisible lors d’un contrôle. Documentez systématiquement vos politiques de sécurité, vos procédures de gestion d’incidents, vos analyses de risques, vos plans de continuité, et les résultats de vos tests. Cette documentation n’a pas besoin d’être volumineuse — elle doit être claire, à jour, et accessible. Un wiki interne ou un système de gestion documentaire simple suffit pour une PME.

Coûts et Financement de la Mise en Conformité

Budget Type par Taille d’Entreprise

Le budget de mise en conformité NIS2 varie significativement selon la taille de l’entreprise et son niveau de maturité initial. Pour une PME de 50 à 100 salariés avec un niveau de maturité bas, comptez entre 80 000 et 150 000 euros sur 18 mois, répartis entre le diagnostic et la feuille de route (15 000-25 000 €), les mesures techniques prioritaires — EDR, MFA, sauvegardes (30 000-60 000 €), la formation et sensibilisation (10 000-20 000 €), et l’accompagnement par un RSSI de transition à temps partiel (25 000-45 000 €). Pour une ETI de 200 à 500 salariés, le budget se situe entre 200 000 et 400 000 euros, avec des besoins plus importants en outillage (SOC managé, SIEM) et en accompagnement.

Les Aides Disponibles

Plusieurs dispositifs peuvent réduire le coût de la mise en conformité. Le diagnostic cybersécurité subventionné par Bpifrance permet aux PME de bénéficier d’un audit initial à coût réduit. Le crédit d’impôt innovation (CII) peut couvrir une partie des dépenses liées à la mise en place de solutions de sécurité innovantes. Les régions proposent également des aides spécifiques — Île-de-France, Auvergne-Rhône-Alpes et Nouvelle-Aquitaine ont des programmes dédiés à la cybersécurité des PME. Enfin, certains assureurs cyber proposent des réductions de prime significatives (jusqu’à 30 %) pour les entreprises engagées dans une démarche NIS2 structurée.

Le Coût de la Non-Conformité

Pour relativiser l’investissement, comparons-le au coût de la non-conformité. Les sanctions NIS2 peuvent atteindre 10 millions d’euros ou 2 % du CA mondial. Le coût moyen d’un incident de cybersécurité pour une PME est estimé entre 50 000 et 500 000 euros (source : CESIN 2025), sans compter les pertes indirectes (arrêt d’activité, atteinte à la réputation, perte de clients). Et la perte de marchés faute de conformité est un coût invisible mais réel : de plus en plus d’appels d’offres exigent des garanties en matière de cybersécurité. Au total, le coût de la non-conformité dépasse très largement celui de la mise en conformité.

FAQ — Questions Fréquentes sur NIS2

Quand NIS2 sera-t-elle applicable en France ?

La directive devait être transposée en droit national avant le 17 octobre 2024. La France a pris du retard dans sa transposition, mais les entreprises concernées doivent se préparer dès maintenant. Les exigences de la directive s’appliqueront avec ou sans transposition formelle, et les entreprises qui anticipent seront mieux positionnées que celles qui attendent le dernier moment.

Quel budget prévoir pour la mise en conformité NIS2 ?

Pour une PME de 50 à 200 salariés, le budget de mise en conformité se situe typiquement entre 50 000 et 200 000 euros répartis sur 12 à 24 mois, selon le niveau de maturité initial. Ce budget couvre le diagnostic, les mesures techniques, la formation, et l’accompagnement. Pour une ETI, comptez entre 200 000 et 500 000 euros. L’investissement est significatif, mais il faut le mettre en perspective avec les sanctions potentielles et le coût d’un incident majeur.

Peut-on se mettre en conformité sans recruter un RSSI ?

Oui, et c’est même le cas le plus fréquent en PME. Un RSSI de transition peut poser les fondations en 6 à 12 mois, puis passer le relais à un DSI ou responsable IT formé aux enjeux de protection du SI. L’important est d’avoir une personne identifiée comme référente, même si ce n’est pas un profil dédié à temps plein.

NIS2 s’applique-t-elle aux sous-traitants ?

Oui, indirectement. Si vous êtes fournisseur d’une entité essentielle ou importante, votre client vous demandera de démontrer votre maturité en cybersécurité : questionnaires de sécurité, clauses contractuelles renforcées, audits potentiels. Même hors périmètre direct, vous serez impacté par effet de cascade.

Quelle différence entre entité essentielle et importante ?

Les entités essentielles (énergie, transports, santé, banque, eau) sont supervisées de façon proactive : inspections possibles à tout moment. Les entités importantes (services postaux, fabrication, industrie alimentaire) ne sont contrôlées qu’après un incident ou signalement. Sanctions : 10 M€ / 2 % CA pour les essentielles, 7 M€ / 1,4 % pour les importantes.

Comment NIS2 interagit-elle avec le RGPD ?

Les deux sont complémentaires. Un incident cyber peut déclencher des obligations simultanées : notification CNIL sous 72h (RGPD) et notification ANSSI sous 24h (NIS2). Les mesures techniques NIS2 (chiffrement, contrôle d’accès, journalisation) contribuent aussi à la conformité RGPD.

Mon entreprise a moins de 50 salariés — suis-je hors périmètre ?

Pas forcément. NIS2 inclut les prestataires de services de confiance, fournisseurs DNS, registres de noms de domaine, et fournisseurs cloud/data center quelle que soit leur taille. Si vous êtes fournisseur critique d’une entité essentielle, vous serez soumis à des exigences par effet de cascade.

Comment mesurer le ROI de la conformité NIS2 ?

Plusieurs axes : évitement des sanctions (jusqu’à 2 % du CA), réduction du risque d’incident (coût moyen : 50 000 à 500 000 € pour une PME), avantage commercial dans les appels d’offres, et réduction des primes d’assurance cyber. L’investissement en conformité se rentabilise rapidement face à ces risques combinés.