NIS2 et PME : ce que vous auriez dû régler hier

La directive européenne NIS2 devait être transposée en octobre 2024. De nombreuses entreprises de taille intermédiaire ne l'ont pas encore prise au sérieux. Si vous n'êtes pas sûr d'être concerné — vous l'êtes probablement. Et la clause de responsabilité personnelle signifie que « mon prestataire informatique s'en occupe » n'est plus une réponse juridiquement valable.

Ce qu'est réellement NIS2

NIS2 élargit substantiellement sa directive précédente de 2016. Là où les règles originales ne couvraient que les infrastructures critiques, la nouvelle directive s'étend aux entreprises de taille intermédiaire dans un large éventail de secteurs : santé, transport, infrastructure numérique, production alimentaire, chimie, ingénierie mécanique, services postaux.

Seuil : Les entreprises d'au moins 50 salariés ou 10 millions d'euros de chiffre d'affaires annuel opérant dans un secteur couvert sont soumises à la directive.

Ce que NIS2 exige de vous

1. Gestion des risques : Des politiques de sécurité documentées par écrit. Des évaluations des risques régulières. Des mécanismes de contrôle d'accès. Le chiffrement des données sensibles. Des processus vécus et démontrables.

2. Notification des incidents : Les incidents doivent être signalés dans les 24 heures (évaluation initiale) et un rapport complet soumis dans les 72 heures. Cela présuppose que vous pouvez détecter les incidents.

3. Sécurité de la chaîne d'approvisionnement : Votre responsabilité s'étend à vos prestataires et partenaires externes. Leurs failles de sécurité sont vos failles de sécurité.

4. Responsabilité de la direction : La direction doit approuver et superviser les mesures de cybersécurité. Les amendes atteignent jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

Le problème silencieux : votre infrastructure logicielle

De nombreuses entreprises ont une vulnérabilité structurelle que NIS2 expose directement : leurs processus métier fonctionnent sur des logiciels qu'elles ne contrôlent pas. NIS2 pose trois questions auxquelles la plupart ne peuvent pas répondre : Savez-vous qui peut accéder à vos données ? Pouvez-vous prouver la sécurité de votre infrastructure ? Pouvez-vous identifier et signaler un incident dans les 24 heures ?

La seule approche qui fonctionne vraiment

Une conformité de surface ne tiendra pas. NIS2 exige une conformité structurelle : le contrôle total de votre propre infrastructure. Logiciel open source, auto-hébergé. Serveurs sous surveillance complète. Surveillance en temps réel avec des systèmes d'alerte. Historique complet des journaux.

Trois étapes concrètes maintenant

Étape 1 : Déterminer si vous êtes concerné. Dans le doute : considérez que vous l'êtes. Agir inutilement est récupérable. Ignorer une directive avec responsabilité des dirigeants ne l'est pas.

Étape 2 : Audit d'infrastructure. Quel logiciel fonctionne où ? Qui a accès ? Où résident vos données ? Pouvez-vous extraire un journal d'accès complet pour les 30 derniers jours ?

Étape 3 : Planifier une solution structurelle. Identifiez les dépendances cloud. Tracez un chemin vers une infrastructure contrôlée. Les entreprises qui ont commencé il y a deux ans sont déjà conformes.

Qu'en est-il pour les PME au Maghreb et dans les pays francophones ?

NIS2 s'applique directement aux entreprises établies dans l'UE. Cependant, si votre entreprise en France, au Maroc, en Algérie ou en Tunisie travaille avec des clients européens soumis à NIS2, leurs obligations de sécurité de la chaîne d'approvisionnement se répercuteront sur vous contractuellement. Se préparer maintenant signifie être prêt pour les deux marchés.