NIS2 : ce que la directive européenne change pour les PME

La directive NIS2 (Network and Information Security), applicable depuis octobre 2024, élargit considérablement le périmètre des entreprises soumises a des obligations de cybersécurité en Europe.

Qui est concerné ?

Contrairement a NIS1 qui ne visait que les grandes entreprises critiques, NIS2 concerne désormais :

• Les entreprises de plus de 50 salariés ou avec un CA supérieur à 10M€
• Les secteurs : santé, énergie, transports, banque, eau, numerique, alimentaire, industrie, services postaux, gestion des déchets, chimie, espace
• Les sous-traitants et prestataires de ces secteurs (c'est la grande nouveauté)

Quelles obligations ?

Les entreprises concernées doivent mettre en place :

Mesures techniques

• Analyse des risques et politique de sécurité des systèmes d'information
• Gestion des incidents (détection, notification sous 24h à l'ANSSI)
• Continuité d'activité et gestion des sauvegardes
• Sécurité de la chaine d'approvisionnement (vos fournisseurs IT aussi)
• Chiffrement et contrôle d'accès

Mesures organisationnelles

• Formation à la cybersécurité pour la direction et les employés
• Politique d'utilisation de la cryptographie
• Procedures de gestion des vulnérabilités
• Évaluation réguliere de l'efficacité des mesures

Quelles sanctions ?

Les sanctions sont significatives :

Les dirigeants peuvent etre tenus personnellement responsables en cas de manquement grave.

Par ou commencer ?

1. Vérifiez si vous êtes concerne : secteur d'activité, taille, role de sous-traitant
2. Faites un etat des lieux : audit de votre sécurité actuelle
3. Priorisez : sauvegardes, MFA, mises à jour, formation
4. Documentez : politiques, procedures, registre des incidents
5. Faites-vous accompagner : un prestataire IT peut structurer votre mise en conformité

DepannOnline accompagne les PME dans leur mise en conformité NIS2 : audit initial, plan d'action, mise en œuvre technique et formation. Contactez-nous pour un premier echange gratuit.