Quelles sont les exigences renforcees NIS2 pour les ETI vs PME ?

Les ETI qualifiees d entites essentielles subissent un regime de surveillance ex-ante (audits ANSSI proactifs), des obligations renforcees de gestion des risques chaine d approvisionnement, un reporting d incidents sous 24h (alerte precoce) puis 72h (notification formelle), et des mesures techniques de securite obligatoires : chiffrement, MFA, segmentation reseau, plan de continuite teste annuellement. Les PME en regime entites importantes n ont qu une surveillance ex-post.

Quelle est la date limite de conformite NIS2 pour les ETI ?

La directive NIS2 est entree en vigueur le 17 octobre 2024. La France l a transposee via la loi du 30 avril 2025. Les ETI concernees doivent s enregistrer aupres de l ANSSI et etre en conformite operationnelle. L ANSSI a indique que les controles effectifs monteraient en puissance a partir de mi-2026. Chaque mois de retard augmente le risque d audit prioritaire.

Un RSSI interne suffit-il pour une ETI NIS2 ?

Pour une ETI entite essentielle, un RSSI a temps plein est pratiquement indispensable. Les exigences de gouvernance (reporting COMEX trimestriel, analyse de risques continue, pilotage SOC, gestion des incidents 24/7, chaine fournisseurs) depassent ce qu un RSSI peut gerer seul au-dela de 500 salaries. MTP recommande un binome : RSSI interne strategique + equipe securite operationnelle (interne ou externalisee SOC managed).

Comment prouver sa conformite NIS2 lors d un audit ANSSI ?

L ANSSI attend un dossier de conformite incluant : cartographie des actifs critiques et analyse de risques EBIOS RM, politique de securite SSI validee COMEX, liste des mesures techniques deployees (chiffrement, MFA, backup, segmentation), plan de reponse incident teste, contrats fournisseurs avec clauses cyber, registre des incidents notifies, audit tiers annuel. MTP prepare ce dossier en 3 a 6 mois selon la maturite initiale.

Quelle difference entre NIS2 et ISO 27001 pour une ETI ?

ISO 27001 est un referentiel volontaire structurant, NIS2 est une obligation reglementaire. Une ETI certifiee ISO 27001 couvre deja environ 70 a 80% des exigences NIS2 (gouvernance, analyse de risques, mesures techniques). Le gap NIS2 specifique porte sur le reporting ANSSI 24h/72h, la chaine fournisseurs, la responsabilite personnelle des dirigeants, et certaines mesures techniques (MFA obligatoire, chiffrement en transit et repos).

Combien coute la mise en conformite NIS2 pour une ETI ?

Pour une ETI de 500 a 2000 salaries sans base cyber mature, comptez 150 000 a 400 000 EUR la premiere annee (audit initial, outillage SOC/SIEM, formation, procedures, tests), puis 80 000 a 200 000 EUR par an en run. Pour une ETI deja certifiee ISO 27001, le gap NIS2 represente 40 000 a 120 000 EUR. MTP fournit un chiffrage precis apres audit de maturite gratuit.

NIS2 ETI 2026 : Obligations Specifiques des Entreprises de Taille Intermediaire

Q: Qu est-ce qu une ETI au sens de la directive NIS2 ?

Une ETI (Entreprise de Taille Intermediaire) est une entreprise de 250 a 4999 salaries avec un chiffre d affaires jusqu a 1,5 milliard EUR ou un total de bilan jusqu a 2 milliards EUR. Dans le cadre NIS2, les ETI des secteurs essentiels (energie, sante, finance, transports, eau, numerique) ou importants (fabrication, chimie, alimentaire, postal) sont automatiquement assujetties des lors qu elles depassent 50 salaries et 10M EUR de CA.

Q: Quelles sanctions NIS2 pour une ETI ?

Pour les entites essentielles (dont la majorite des ETI concernees) : jusqu a 10 millions EUR ou 2% du chiffre d affaires mondial annuel, le montant le plus eleve etant retenu. Pour les entites importantes : 7 millions EUR ou 1,4% du CA mondial. Les dirigeants peuvent etre tenus personnellement responsables en cas de manquement, avec interdiction d exercer des fonctions de direction dans des entreprises critiques.

Pourquoi NIS2 frappe d abord les ETI francaises

La directive NIS2 (Network and Information Security 2) transposee en droit francais par la loi du 30 avril 2025 elargit massivement le perimetre des entreprises soumises a des obligations cybersecurite. Parmi les grandes gagnantes malgre elles : les ETI (Entreprises de Taille Intermediaire). Sur les 15 000 entites concernees en France, pres de 4 000 sont des ETI, contre 300 environ sous NIS1.

Contrairement aux grands groupes qui disposent deja d equipes RSSI structurees, les ETI se retrouvent en decalage : maturite cyber moyenne, budgets contraints, gouvernance COMEX peu sensibilisee. Pourtant ce sont les premieres cibles des audits ANSSI prioritaires prevus a partir de mi-2026.

Qu est-ce qu une ETI au sens NIS2 ?

La definition INSEE d une ETI est une entreprise de 250 a 4 999 salaries, avec un chiffre d affaires jusqu a 1,5 milliard EUR ou un total de bilan jusqu a 2 milliards EUR. La directive NIS2 reprend les seuils europeens : une ETI NIS2 est toute entite de taille intermediaire operant dans un secteur essentiel ou important.

18 secteurs essentiels : energie, transport, banque, infrastructures des marches financiers, sante, eau potable, eaux usees, infrastructures numeriques, services TIC (B2B), administration publique, espace, services postaux, dechets, produits chimiques, alimentaire, fabrication de dispositifs medicaux, informatique, recherche.

Seuils d assujettissement et classification

NIS2 distingue deux regimes :

Entites essentielles : grandes entreprises (plus de 250 salaries OU plus de 50M EUR CA et bilan superieur a 43M EUR) dans les 11 secteurs hautement critiques. Surveillance ex-ante : audits ANSSI sans motif prealable.
Entites importantes : moyennes entreprises (50 a 250 salaries) ou ETI dans les 7 secteurs critiques. Surveillance ex-post : controle declenche sur incident.

La plupart des ETI de plus de 250 salaries tombent dans le regime entites essentielles, le plus contraignant.

Les 7 obligations renforcees pour les ETI

Gestion des risques cyber : analyse de risques EBIOS RM documentee et actualisee annuellement, integrant l ecosysteme fournisseurs.
Mesures techniques minimales : MFA sur tous les acces privilegies, chiffrement des donnees sensibles au repos et en transit, segmentation reseau, backup testes mensuellement, gestion des vulnerabilites avec SLA de patch.
Reponse aux incidents : procedure formalisee, equipe astreinte 24/7, SOC (interne ou externalise), playbooks testes par exercices annuels.
Notification ANSSI 24h/72h/1 mois : alerte precoce sous 24h apres constat, notification formelle sous 72h, rapport final sous 1 mois.
Chaine d approvisionnement : clauses cyber contractuelles avec fournisseurs critiques, audits de securite tiers, cartographie des dependances IT.
Plan de continuite et reprise : PRA et PCA documentes, testes au moins une fois par an, incluant scenarios cyber (ransomware, compromission identite).
Formation et sensibilisation : formation cyber obligatoire pour dirigeants (tres souvent oubliee), campagnes phishing trimestrielles, formation continue RSSI.

Gouvernance et responsabilite personnelle des dirigeants

C est la revolution NIS2 : la directive introduit la responsabilite personnelle des dirigeants. Concretement :

Le COMEX valide et supervise la strategie cyber (obligation de moyens ET de resultats).
Formation cyber obligatoire des dirigeants (preuve documentee exigible).
En cas de manquement grave, les dirigeants peuvent etre interdits temporairement d exercer des fonctions de direction.
La responsabilite civile personnelle peut etre engagee en cas de negligence manifeste.

Pour une ETI, cela signifie que la cyber n est plus une delegation au DSI : le PDG est comptable personnellement. Nous recommandons un reporting cyber trimestriel au board, avec KPI clairs (taux de patching, incidents, conformite).

Sanctions financieres et penales

Les sanctions NIS2 sont alignees sur le niveau RGPD :

Entites essentielles : jusqu a 10 millions EUR ou 2% du CA mondial annuel (le plus eleve).
Entites importantes : jusqu a 7 millions EUR ou 1,4% du CA mondial.
Sanctions complementaires : interdiction d exercer, publication de la sanction (reputation), suspension de certifications.

Pour une ETI de 500M EUR de CA, 2% represente 10M EUR de sanction maximale potentielle. A comparer au cout d une mise en conformite (typiquement 150 a 400k EUR an 1). Le ROI est immediat.

Calendrier 2026 et echeances ANSSI

17 octobre 2024 : entree en vigueur de la directive NIS2 au niveau UE.
30 avril 2025 : transposition francaise publiee au JO.
Jusqu au 17 avril 2026 : enregistrement obligatoire des entites concernees aupres de l ANSSI via le portail MonEspaceNIS2.
Mi-2026 : debut des premiers audits ANSSI cibles sur les entites essentielles.
2027-2028 : controles en regime de croisiere, sanctions premieres prononcees.

Si votre ETI n est pas encore enregistree ni en demarche, le risque d etre cible des premiers audits exemplaires est tres reel.

Demarche MTP : mise en conformite NIS2 ETI en 6 mois

Notre methodologie en 4 phases, eprouvee sur plus de 40 ETI accompagnees depuis 2024 :

Mois 1 : Gap analysis. Audit de maturite par rapport aux 7 obligations, cartographie SI, identification des ecarts critiques. Livrable : rapport executif + plan de remediation priorise.
Mois 2-3 : Remediation technique prioritaire. Deploiement MFA, chiffrement, segmentation, SOC managed, outillage EDR/SIEM. Revue contractuelle fournisseurs critiques.
Mois 4-5 : Gouvernance et procedures. PSSI, analyse de risques EBIOS RM, procedure de notification ANSSI, playbooks incident, formation dirigeants et equipes, sensibilisation generale.
Mois 6 : Audit blanc et enregistrement ANSSI. Test grandeur nature des procedures, exercice de crise, rapport de conformite, enregistrement MonEspaceNIS2 et depot du dossier.

Tarification pour ETI de 500 a 2000 salaries : 80 000 a 250 000 EUR selon maturite initiale et etendue du perimetre. Nous finance ces prestations via plan de developpement des competences OPCO pour la partie formation.

Questions frequentes

Qu est-ce qu une ETI au sens de la directive NIS2 ?

Une ETI est une entreprise de 250 a 4999 salaries avec jusqu a 1,5Md EUR de CA. Dans NIS2, les ETI des secteurs essentiels ou importants sont automatiquement assujetties des 50 salaries et 10M EUR de CA.

Quelles sanctions NIS2 pour une ETI ?

Jusqu a 10 millions EUR ou 2% du CA mondial annuel (le plus eleve), plus responsabilite personnelle des dirigeants avec possible interdiction d exercer.

Un RSSI interne suffit-il ?

Pour une ETI entite essentielle, un RSSI a temps plein est indispensable, complete par une equipe securite operationnelle interne ou externalisee (SOC managed).

Combien coute la mise en conformite ?

150 a 400k EUR la premiere annee pour une ETI sans base mature. 40 a 120k EUR pour une ETI deja certifiee ISO 27001. Audit gratuit chez MTP.

Votre ETI est-elle conforme NIS2 ?

Audit gratuit de 30 minutes avec un expert MTP certifie CISSP + ISO 27001 Lead Implementer.

Reserver un audit NIS2 gratuit

Ou par telephone : 01 84 16 05 27