La directive NIS2 impose de nouvelles obligations de cybersécurité à plus de 15 000 entreprises en France. Votre PME est-elle prête ? My Trust Partner vous accompagne dans chaque étape de votre mise en conformité NIS2, du diagnostic initial à l'audit de vérification.
La directive NIS2 (Network and Information Security 2 - UE 2022/2555) est le cadre réglementaire européen qui renforce considérablement les exigences de cybersécurité pour les entreprises des secteurs critiques. Elle remplace la directive NIS1 de 2016 et élargit massivement son périmètre.
Face à l'explosion des cyberattaques (ransomware, supply chain attacks, attaques étatiques), l'Union européenne a jugé que le cadre NIS1 était insuffisant. La directive NIS2 entreprise vise à harmoniser et élever le niveau de cybersécurité dans toute l'Union, en imposant des mesures concrètes et des obligations de notification d'incidents sous peine de lourdes sanctions financières.
La France, à travers l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), est responsable de la transposition et de l'application de cette directive. Le champ d'application passe de quelques centaines d'opérateurs à plus de 15 000 entités en France, incluant désormais les PME et les ETI des secteurs critiques.
La directive NIS2 élargit considérablement le périmètre des entreprises concernées. Deux catégories sont définies : les entités essentielles (critiques pour le fonctionnement de la société) et les entités importantes (essentielles à l'économie). Même si votre entreprise n'appartient pas directement à ces secteurs, vous pouvez être concerné en tant que fournisseur ou sous-traitant d'une entité régulée.
Attention : même si votre PME est en dessous des seuils, vous pouvez être concerné si vous êtes fournisseur, sous-traitant ou prestataire d'une entité régulée par NIS2. La directive impose aux entités concernées de sécuriser leur chaîne d'approvisionnement, ce qui signifie qu'elles exigeront de leurs partenaires commerciaux des garanties de cybersécurité. La conformité NIS2 devient ainsi un avantage concurrentiel majeur, même pour les entreprises non directement soumises à la directive.
L'article 21 de la directive NIS2 définit 10 mesures de gestion des risques que chaque entité concernée doit mettre en oeuvre. Ces mesures couvrent l'ensemble de la posture de cybersécurité de l'entreprise, des politiques organisationnelles aux mesures techniques.
Élaborer et maintenir des politiques de sécurité formalisées, basées sur une analyse des risques régulièrement mise à jour. Cela inclut la définition du périmètre, l'identification des actifs critiques, l'évaluation des menaces et la mise en place de mesures proportionnées. Pour les PME soumises à NIS2, cette obligation peut s'appuyer sur des référentiels reconnus comme l'ISO 27001 ou le guide de l'ANSSI.
Mettre en place des procédures de détection, d'analyse et de traitement des incidents de sécurité. NIS2 impose une notification obligatoire à l'ANSSI : alerte initiale sous 24 heures, rapport intermédiaire sous 72 heures et rapport final sous un mois. Chaque incident significatif doit faire l'objet d'une documentation complète et de retours d'expérience.
Développer et tester un Plan de Continuité d'Activité (PCA) et un Plan de Reprise d'Activité (PRA) couvrant les scénarios de cyberattaque. Cela inclut la gestion des sauvegardes, la reprise après sinistre et la gestion de crise avec des exercices réguliers impliquant les équipes dirigeantes.
Évaluer et gérer les risques liés aux fournisseurs et prestataires. Chaque entité doit cartographier ses dépendances, évaluer le niveau de sécurité de ses partenaires, inclure des clauses contractuelles de cybersécurité et surveiller les risques de la supply chain en continu. Cette obligation a un effet cascade sur l'ensemble de l'écosystème.
Intégrer la cybersécurité dès la conception (security by design) dans tout le cycle de vie des systèmes d'information. Cela couvre la gestion des vulnérabilités, les tests de sécurité, les mises à jour et correctifs, ainsi que la divulgation coordonnée des vulnérabilités.
Mettre en place des indicateurs et des processus d'audit pour évaluer régulièrement l'efficacité des mesures de cybersécurité déployées. Cela inclut des tests d'intrusion (pentests), des audits internes et externes, et des revues de conformité périodiques.
Former l'ensemble des collaborateurs aux bonnes pratiques de cybersécurité et sensibiliser les organes de direction. NIS2 rend les dirigeants personnellement responsables et exige qu'ils suivent une formation en cybersécurité. Les campagnes de sensibilisation doivent être régulières et adaptées aux risques de l'entreprise.
Définir et appliquer des politiques de chiffrement pour protéger la confidentialité et l'intégrité des données sensibles, tant au repos qu'en transit. Cela inclut la gestion des clés cryptographiques, le choix des algorithmes appropriés et le chiffrement des communications.
Mettre en oeuvre des politiques de contrôle d'accès basées sur le principe du moindre privilège, une gestion rigoureuse des identités (IAM), et des procédures de gestion des actifs informationnels. Cela couvre aussi les processus d'onboarding et d'offboarding sécurisés des collaborateurs.
Déployer l'authentification multifacteur (MFA) ou l'authentification continue sur les accès critiques, et sécuriser les communications internes et externes. Cette obligation inclut l'utilisation de solutions de communications d'urgence sécurisées en cas de crise.
La directive NIS2 prévoit des sanctions financières significatives, alignées sur le modèle du RGPD. Les montants varient selon la classification de l'entité. Au-delà des amendes, la responsabilité personnelle des dirigeants est engagée.
NIS2 va plus loin que les sanctions financières contre l'entreprise. Les organes de direction (CEO, DG, membres du comité exécutif) sont personnellement tenus responsables de la mise en oeuvre des mesures de cybersécurité. En cas de manquement grave et répété, les dirigeants peuvent être temporairement suspendus de leurs fonctions. Cette disposition vise à s'assurer que la cybersécurité est traitée au plus haut niveau de gouvernance, et non plus déléguée uniquement aux équipes techniques.
My Trust Partner propose un accompagnement complet à la conformité NIS2 spécialement adapté aux PME et ETI. Notre méthodologie éprouvée vous guide pas à pas, de l'évaluation initiale à la conformité vérifiée.
Nous commençons par un diagnostic complet et sans engagement pour déterminer si votre entreprise est soumise à la directive NIS2, et évaluer votre niveau de maturité cybersécurité actuel. Ce diagnostic couvre votre secteur d'activité, votre taille, vos systèmes d'information critiques et votre positionnement dans la supply chain. Nous identifions votre classification (entité essentielle ou importante) et les obligations spécifiques qui s'appliquent à votre situation.
Rapport d'éligibilité NIS2, score de maturité cybersécurité, cartographie des SI critiques
Notre équipe d'experts réalise une analyse des écarts approfondie entre votre posture de sécurité actuelle et les exigences des 10 obligations de l'article 21 de NIS2. Chaque mesure est évaluée individuellement avec un scoring précis, identifiant les points de conformité existants et les lacunes à combler. Nous analysons vos politiques de sécurité, vos procédures de gestion des incidents, vos PCA/PRA, la sécurité de votre supply chain et les pratiques de formation.
Matrice de conformité NIS2 détaillée, scoring par obligation, rapport d'analyse des écarts priorisé
Sur la base de la gap analysis, nous élaborons un plan de remédiation sur mesure, priorisé selon le niveau de risque et le budget disponible. Ce plan définit les actions correctives à mener, les ressources nécessaires, le calendrier de mise en oeuvre et les indicateurs de suivi. Nous adoptons une approche pragmatique, en capitalisant sur l'existant et en optimisant les investissements pour atteindre la conformité dans les meilleurs délais.
Feuille de route NIS2 priorisée, budget prévisionnel, planning de mise en oeuvre, matrice RACI
Nous vous accompagnons dans la mise en oeuvre opérationnelle de chaque mesure du plan de remédiation. Cela inclut la rédaction des politiques de sécurité, la mise en place des procédures de gestion des incidents et de notification à l'ANSSI, l'élaboration des PCA/PRA, le déploiement des solutions techniques (MFA, chiffrement, SIEM), la sécurisation de la supply chain et la formation des collaborateurs et des dirigeants. Notre approche est collaborative : nous transférons les compétences à vos équipes pour assurer l'autonomie.
Politiques et procédures formalisées, solutions techniques déployées, programme de formation, documentation complète
L'étape finale consiste en un audit de vérification complet pour valider la conformité de votre entreprise aux exigences NIS2. Nous réalisons des tests techniques (pentests, scans de vulnérabilités), vérifions la documentation, testons les procédures de gestion des incidents et de continuité d'activité, et validons la conformité de la supply chain. Nous fournissons un rapport de conformité détaillé et restons disponibles pour un suivi continu.
Rapport d'audit de conformité NIS2, attestation de conformité, recommandations d'amélioration continue
La conformité NIS2 ne s'arrête pas à un simple exercice de cases à cocher. Elle nécessite un écosystème de services de cybersécurité complet. My Trust Partner vous propose un accompagnement global couvrant tous les aspects de votre sécurité.
Tests d'intrusion, audits techniques et organisationnels, évaluation de la surface d'attaque. Nos audits couvrent les exigences de l'obligation 6 de NIS2 (évaluation de l'efficacité des mesures).
Découvrir nos audits →Surveillance 24/7 de vos systèmes d'information, détection des menaces en temps réel, réponse aux incidents. Indispensable pour répondre à l'obligation 2 de NIS2 (gestion des incidents).
Explorer notre SOC →Un Responsable de la Sécurité des Systèmes d'Information dédié à votre PME, sans les coûts d'un recrutement interne. Pilotage de la conformité NIS2, gouvernance et stratégie cybersécurité.
RSSI externalisé →Courtage en assurance cyber pour couvrir les risques résiduels. La conformité NIS2 améliore vos conditions de souscription et réduit vos primes. Nous négocions les meilleures garanties auprès de nos partenaires.
Assurance cyber NIS2 →Programmes de sensibilisation et de formation pour vos collaborateurs et dirigeants. NIS2 exige la formation des organes de direction (obligation 7). Sessions adaptées à chaque niveau.
Formations NIS2 →Accompagnement RGPD, ISO 27001, DORA, HDS et autres cadres réglementaires. Nous mutualisons les efforts de conformité pour optimiser vos investissements en cybersécurité.
Guide conformité →Le temps presse pour la mise en conformité NIS2. Voici les dates clés à retenir pour anticiper vos obligations et éviter les sanctions.
Retrouvez les réponses aux questions les plus fréquentes sur la directive NIS2, ses obligations et la mise en conformité NIS2 pour les PME françaises.
La directive NIS2 concerne plus de 15 000 entreprises en France, réparties en entités essentielles et entités importantes. Sont visés 18 secteurs d'activité dont l'énergie, les transports, la santé, le numérique, les infrastructures numériques, l'administration publique, l'espace, les services postaux, la gestion des déchets, l'industrie chimique, l'agroalimentaire et les fournisseurs numériques. Les PME de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans ces secteurs sont concernées, ainsi que toute entreprise faisant partie de la chaîne d'approvisionnement d'une entité régulée. En cas de doute, un diagnostic NIS2 permet de déterminer précisément votre situation.
Les sanctions NIS2 sont significatives et alignées sur le modèle du RGPD. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, les amendes vont jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Au-delà des amendes, la directive prévoit la responsabilité personnelle des dirigeants, qui peuvent être suspendus de leurs fonctions en cas de manquement grave. D'autres conséquences incluent la perte de contrats, l'atteinte à la réputation et l'exclusion des marchés publics.
Le RGPD et NIS2 sont deux réglementations complémentaires mais distinctes. Le RGPD protège les données personnelles des individus et s'applique à toute organisation traitant des données personnelles. NIS2 vise la cybersécurité des réseaux et systèmes d'information critiques et s'applique aux entités des secteurs essentiels et importants. NIS2 impose des obligations techniques (gestion des risques, détection d'incidents, continuité d'activité, sécurité supply chain) qui vont au-delà de la simple protection des données. Une entreprise peut être soumise aux deux réglementations simultanément, et la conformité RGPD ne garantit pas la conformité NIS2. En revanche, les deux peuvent être mutualisées pour optimiser les efforts.
La mise en conformité NIS2 passe par 5 étapes clés : 1) Diagnostic initial pour déterminer si votre entreprise est concernée et évaluer votre niveau actuel. 2) Gap analysis détaillée comparant votre posture de sécurité aux 10 obligations de l'article 21. 3) Plan de remédiation priorisé avec budget et calendrier. 4) Implémentation des mesures techniques et organisationnelles (politiques de sécurité, gestion des incidents, PCA/PRA, sécurité supply chain, formation). 5) Audit de vérification final validant la conformité. Un accompagnement expert par un prestataire spécialisé comme My Trust Partner est recommandé pour optimiser les délais et les coûts.
La directive NIS2 est entrée en vigueur le 16 janvier 2023 au niveau européen. La date limite de transposition en droit français était fixée au 17 octobre 2024. La France a adopté le projet de loi de transposition début 2025, avec une entrée en application des obligations prévue pour janvier 2026. Les entreprises concernées doivent donc être en conformité dès maintenant. L'ANSSI est l'autorité compétente en France et a publié les décrets d'application précisant les modalités de mise en oeuvre. Ne tardez pas : la mise en conformité prend en moyenne 6 à 12 mois selon la taille et la maturité de l'entreprise.
Le coût de la mise en conformité NIS2 pour une PME varie selon la taille de l'entreprise, son secteur d'activité et son niveau de maturité cybersécurité actuel. En moyenne, il faut compter entre 15 000 et 80 000 euros pour un accompagnement complet incluant diagnostic, gap analysis, plan de remédiation et implémentation. Ce montant est à mettre en perspective avec les sanctions potentielles pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires. La mutualisation avec d'autres démarches de conformité (RGPD, ISO 27001) permet de réduire les coûts. Un diagnostic initial sans engagement permet d'obtenir une estimation précise adaptée à votre situation.
Nos experts en cybersécurité évaluent gratuitement votre éligibilité NIS2 et votre niveau de maturité. Recevez un rapport personnalisé avec les actions prioritaires à mener.
Ou appelez-nous directement au 01 XX XX XX XX
Tout ce que vous devez savoir sur NIS2, les obligations, les sanctions et les étapes de mise en conformité.
Approche pragmatique pour les petites et moyennes entreprises, avec checklist actionnable.
État des lieux de la transposition en France, retours d'expérience et bonnes pratiques.