© 2025 Cyber-Bellerezh

NIS2 : pourquoi votre entreprise est concernée et comment s’y préparer

Vous pensiez que la cybersécurité est un sujet technique réservé aux experts IT ? Et bien, avec la directive européenne NIS2, elle devient un enjeu stratégique, directement piloté au niveau de la direction générale.

Pour les entreprises intervenant dans des secteurs critiques ou au cœur de chaînes d’approvisionnement sensibles, cette évolution n’est plus lointaine : elle est en cours et va rapidement devenir incontournable.

Dans cet article, je vous donne une compréhension claire et opérationnelle de NIS2 — ce qu’elle change, ce qu’elle impose, et ce que cela implique pour votre entreprise.

De NIS à NIS2

La directive NIS (2016)

Première pierre européenne en matière de cybersécurité, la directive NIS a introduit des obligations pour certains opérateurs essentiels (énergie, transport, santé, eau, infrastructures numériques…).

Objectif : garantir la continuité des services vitaux grâce à un socle minimal de sécurité.

Cependant, ses limites sont vite apparues :

  • Périmètre trop faible
  • Exigences hétérogènes selon les pays
  • Dépendances critiques sous-évaluées
  • Explosion des menaces cyber depuis 2016, en particulier sur la chaine d’approvisionnement : augmentation de plus de 431% entre 2021 et 2025 selon un rapport publié en 2024 par le groupe d’assurance Cowbell.

Pourquoi NIS2 ?

Adoptée en 2022 pour l’Union européenne, NIS2 corrige ces limites et renforce massivement le cadre existant. Le message est clair : toutes les entreprises dont l’activité a un impact sur la stabilité économique, la sécurité nationale ou la continuité d’un service critique doivent se sécuriser.

NIS2 couvre désormais 18 secteurs, classés en deux catégories :

Entités essentielles (EE) : énergie, transport, santé, eau, finances, infrastructures numériques, administrations, fournisseurs cloud…

Entités importantes (EI) : gestion des déchets, industries manufacturières clés, services numériques, fournisseurs IT, logistique, sous-traitants critiques…

Ce qui change : même si vous n’êtes pas un “acteur critique”, vous pouvez être concerné.

La directive intègre explicitement les chaînes d’approvisionnement, c’est-à-dire : tous sous-traitants B2B, éditeurs logiciels, prestataires informatiques, fabricant industriel… peuvent être soumis à NIS2 dès lors qu’ils représentent une dépendance majeure pour un acteur essentiel.

C’est un basculement majeur : la conformité n’est plus sectorielle, elle devient systémique.

Les obligations NIS2 : un niveau d’exigence beaucoup plus élevé

La directive introduit un ensemble d’obligations strictes, qui doivent être démontrées, documentées et contrôlées.

Implication directe des dirigeants dans la gouvernance cyber

      La direction générale se voit désormais investie d’obligations explicites en matière de pilotage cyber. À ce titre, elle doit :

      • Approuver et porter la politique de cybersécurité au plus haut niveau,
      • Garantir l’allocation des ressources nécessaires à sa mise en œuvre,
      • Superviser l’évaluation et le suivi régulier des risques,
      • Assumer la responsabilité des manquements éventuels, y compris en matière de gouvernance et de contrôle interne.

      Gestion des risques et de la chaîne d’approvisionnement

      L’entreprise doit désormais mettre en œuvre une approche méthodique et documentée, comprenant :

      • Une cartographie exhaustive des actifs critiques,
      • Une analyse de risques formalisée et réactualisée régulièrement,
      • Un pilotage rigoureux des prestataires et sous-traitants,
      • L’intégration systématique de clauses contractuelles de sécurité,
      • Une surveillance continue des dépendances essentielles au fonctionnement de l’organisation.

      La cybersécurité ne peut plus être envisagée de manière isolée : elle s’inscrit dans une logique de coopération et de responsabilité partagée au sein de l’écosystème.

      Renforcement des mesures techniques et opérationnelles

      Les organisations doivent déployer un ensemble de dispositifs techniques et procéduraux conformes aux meilleures pratiques, dont notamment :

      • L’authentification multifacteur et une gestion rigoureuse des accès,
      • Des sauvegardes sécurisées, testées et régulièrement vérifiées,
      • Des capacités de supervision, de détection et de journalisation des événements,
      • Un processus structuré de gestion des vulnérabilités,
      • Un dispositif formalisé de réponse aux incidents,
      • Le recours systématique au chiffrement lorsque nécessaire,
      • Un plan de continuité et de reprise d’activité opérationnel et éprouvé.

      Le niveau d’exigence se rapproche de celui d’un SMSI conforme à l’esprit de l’ISO 27001, à la différence près qu’il s’agit dorénavant d’une obligation réglementaire et non d’une démarche volontaire.

      Sensibilisation, formation et obligation de notification

      NIS2 réaffirme avec force la centralité du facteur humain dans la sécurité des organisations. À ce titre :

      En parallèle, la directive instaure un régime strict de notification des incidents. Tout événement significatif doit faire l’objet :

      • d’une alerte préliminaire sous 24 heures,
      • d’une notification complète sous 72 heures,
      • d’un rapport final documentant l’analyse et les mesures correctives.

      Cette exigence marque l’importance du reporting dans la conformité et dans la gestion globale des risques cyber.

      Vers un cadre d’application pleinement structuré

      Bien que la transposition nationale ne soit pas encore achevée dans l’ensemble des États membres, l’orientation est désormais claire :

      • NIS2 deviendra juridiquement contraignante pour les entités essentielles et importantes,
      • Les États instaureront des mécanismes de contrôle, d’audit obligatoire, de sanction et un registre officiel des entités soumises,
      • Les entreprises de la chaîne d’approvisionnement devront démontrer leur niveau de conformité pour maintenir ou obtenir des relations contractuelles avec les acteurs critiques,
      • Les assureurs cyber, les donneurs d’ordre majeurs et certains labels (tels qu’ExpertCyber ou ISO) intégreront progressivement les exigences NIS2 parmi leurs critères d’évaluation et de sélection.

      Ce mouvement installe NIS2 comme un référentiel structurant pour l’ensemble de l’écosystème économique.

      Comme le RGPD hier, NIS2 va devenir la norme pour toutes les entreprises

      Lorsque le RGPD est entré en vigueur, beaucoup pensaient qu’il ne concernait que les grands groupes. Quelques années plus tard, aucune entreprise n’y échappe : même un artisan, un consultant indépendant ou une TPE manipule des données personnelles et doit être conforme. Le même schéma se profile avec NIS2.

      Donc, même si votre entreprise :

      • n’est pas un opérateur critique,
      • n’est pas une entité essentielle ou importante,
      • n’est pas directement visée,

      vous serez concerné puisque :

      • vous fournissez des biens/services à des acteurs stratégiques,
      • vous faites partie d’une chaîne d’approvisionnement surveillée,
      • vos clients exigeront des garanties.

      La cybersécurité devient un critère de compétitivité et d’éligibilité aux assurances.

      Le RGPD a rendu la protection des données universelle. NIS2 rendra la cybersécurité structurelle et obligatoire.

      Pour les dirigeants, le message est simple : anticiper maintenant évite de subir demain — en conformité comme en business.

      Vous souhaitez savoir si votre entreprise est concernée ? Contactez-moi, je vous offre un diagnostic et un plan d’action gratuits

      CYber-bellerezh

      Sensibilisation – Anticipation – Formation

      contact@cyber-bellerezh.fr

      06.61.55.47.50