Guide complet NIS2 pour PME et ETI
Par l'équipe NIS2 Radar — Mis à jour janvier 2025
La directive NIS2 (EU 2022/2555) est entrée en vigueur en octobre 2024 dans toute l'Union Européenne. Elle concerne des dizaines de milliers d'organisations — y compris des PME et ETI qui ne se pensaient pas concernées par la cybersécurité réglementaire.
1. Qui est concerné par NIS2 ?
NIS2 distingue deux catégories d'entités :
| Catégorie | Critères | Secteurs |
|---|---|---|
| Entités Essentielles (EE) | +250 salariés ou +50M€ CA | Énergie, transport, santé, eau, infrastructure numérique |
| Entités Importantes (EI) | +50 salariés ou +10M€ CA | Services postaux, gestion des déchets, chimie, alimentation, industrie |
En France, l'ANSSI estime que NIS2 concerne 15 000+ organisations. En Belgique, environ 2 500 entités. Au Luxembourg, environ 500.
2. Les 10 obligations NIS2
L'article 21 de la directive impose des mesures de gestion des risques dans 10 domaines :
- Politiques d'analyse des risques et de sécurité des systèmes d'information
- Gestion des incidents (détection, réponse, notification)
- Continuité des activités et gestion de crise
- Sécurité de la chaîne d'approvisionnement (supply chain)
- Sécurité dans l'acquisition, le développement et la maintenance des systèmes
- Politiques et procédures d'évaluation de l'efficacité des mesures
- Pratiques de base en matière de cyberhygiène et formation
- Politiques relatives à la cryptographie et au chiffrement
- Sécurité des ressources humaines, contrôle d'accès, gestion des actifs
- Utilisation de solutions d'authentification multifacteur (MFA)
3. Délais de mise en conformité par pays
| Pays | Transposition | Enregistrement | Conformité complète |
|---|---|---|---|
| 🇫🇷 France | Oct. 2024 | 2025 (ANSSI) | 2026-2027 |
| 🇧🇪 Belgique | Oct. 2024 | 2025 (CCN) | 2026 |
| 🇱🇺 Luxembourg | Oct. 2024 | 2025 (CNCS) | 2026 |
4. Sanctions encourues
NIS2 introduit un régime de sanctions significativement renforcé par rapport à NIS1 :
| Catégorie | Amende maximale |
|---|---|
| Entités Essentielles | 10 000 000 € ou 2% du CA mondial |
| Entités Importantes | 7 000 000 € ou 1,4% du CA mondial |
La directive prévoit également la responsabilité personnelle des dirigeants en cas de négligence grave.
5. Par où commencer ?
- Vérifier si vous êtes concerné — secteur d'activité + seuils salariés/CA
- Désigner un responsable NIS2 — RSSI interne ou prestataire externe
- Réaliser un audit de l'existant — cartographie des systèmes critiques
- Déployer les solutions techniques — protection endpoint, email, supervision. Des distributeurs spécialisés PME comme Resilium proposent des solutions adaptées aux contraintes NIS2 des PME françaises et belges.
- Prioriser les 10 domaines — selon votre niveau de maturité actuel
- S'enregistrer auprès de l'autorité nationale — ANSSI, CCN ou CNCS