Cybersécurité : les PME et ETI sont concernées par la directive européenne NIS2

  • fraude
  • loi

18 secteurs d’activité concernés, une distinction entre entités essentielles et entités importantes, et trois obligations majeures pour renforcer la cybersécurité : voici sommairement résumée la directive NIS 2. Et les PME et ETI ont tout à gagner en s’y conformant. Mais comment y parvenir quand les compétences n’existent pas en interne ?

En 2016, l’Union européenne avait adopté une première série de mesures concernant la cybersécurité du marché européen : la directive NIS 1 (pour Network and Information Security). Elle a en 2022 adopté une directive NIS 2 bien plus ambitieuse pour faire face aux cyber malveillances de plus en plus fréquentes et performantes. Entré en vigueur en France en octobre 2024 après transposition, ce texte a pour objectif d’inciter les entités, dont les entreprises et particulièrement les PME et ETI souvent mal ou peu préparées, à davantage de protection face à la cyber malveillance.

PME et ETI de secteurs hautement critiques ou critiques

À l’échelle nationale, la directive NIS 2 s’applique d’abord à des secteurs d’activités définis comme hautement critiques dont :

  • eaux potables et eaux usées
  • énergies
  • espace
  • gestion des services technologies de l’information et de la communication (interentreprises)
  • infrastructures des marchés financiers
  • infrastructures numériques
  • santé
  • secteur bancaire
  • transports

Sont aussi visés des secteurs dits critiques dont : la fabrication, la production et la distribution de produits chimiques, les fournisseurs numériques, la gestion des déchets, l’industrie manufacturière, la production, la transformation et la distribution de denrées alimentaires, la recherche.

Dans ces secteurs, choisis en raison de leur criticité pour le bon fonctionnement de la société et de l'économie, des entreprises allant des PME aux grands groupes sont concernées par la directive. Les obligations (et les sanctions) diffèrent selon que l’entité est jugée essentielle ou importante.

Ce sont bien évidemment les plus grandes structures, privées (CAC 40) et publiques (dont des administrations centrales, des collectivités), qui sont jugées comme essentielles. Mais leur écosystème doit aussi être sécurisé. C’est pourquoi certaines entreprises plus petites de ces secteurs critiques sont jugées importantes et doivent donc se conformer aux obligations prévues par la directive. Les entreprises en question sont :

  • celles qui ont un effectif supérieur à 50 salariés ou un chiffre d’affaires supérieur à dix millions d’euros ;
  • et dont le siège social est soit en Europe soit hors Europe mais qui fournissent des services aux citoyens européens.
Déterminer si mon entreprise est concernée

Se conformer aux obligations pour construire sa résilience face aux cybermenaces

En se conformant à la directive NIS 2, les entreprises renforcent leur résilience face aux cybermenaces et leur gestion des risques. Elles participent de plus à la sécurisation des chaînes d’approvisionnement, une dimension très importante pour contrer les cybermenaces qui visent souvent les fournisseurs pour atteindre à travers eux les acteurs essentiels.

C’est pourquoi la directive impose aux entités dites importantes :  

  • d’évaluer régulièrement les menaces et mettre en place des mesures de protection ;
  • de signaler rapidement des incidents de sécurité aux autorités compétentes, dont l’ANSSI ;
  • de sécuriser sa chaîne d’approvisionnement (fournisseurs et sous-traitants).

Cette triple exigence suppose donc de pouvoir s’appuyer sur un cadre précis pour mesurer et limiter son exposition mais aussi celle de son écosystème. Ce cadre doit aussi servir à gérer les incidents. Et il doit être testé régulièrement et connu de toutes les parties prenantes.

Or les PME et, parfois les ETI, ne disposent pas des ressources et des compétences pour déployer et suivre ces mesures. D’où l’intérêt de recourir à des expertises externes : les conseils spécialisés du cabinet Marsh, partenaire de La Banque Postale, peuvent aider à répondre aux obligations NIS2 et plus largement à construire la cybersécurité de l’entreprise.

Au-delà des sanctions, la directive NIS 2 veut responsabiliser : à propos des dirigeants

Si des amendes financières sont bien prévues en cas de manquement aux obligations, jusqu’à sept millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes, l’accent est mis sur l’accompagnement et la prise de conscience. C’est pourquoi des sanctions non financières sont prévues à savoir des ordres de mise en conformité, des audits de sécurité et des notifications de menace. Il convient aussi de relever l’exigence forte vis à vis des dirigeants, installés comme responsables de la mise en œuvre des mesures de cybersécurité et susceptibles d’être sanctionnés pour négligence grave.

Les solutions de La Banque Postale

Protection cyber

Protection contre la fraude

Protégez votre entreprise des risques de cybercriminalité avec notre offre.

Sécuriser vos transactions bancaires verifIBAN®

Le service de vérification des coordonnées bancaires de vos clients et fournisseurs.

eZyban : identifier automatiquement l'origine des paiements par virements de vos débiteurs

Avec la solution eZyban de La Banque Postale, identifiez automatiquement l'origine des paiements par virement de vos débiteurs.

Articles associés

Voir toutes les articles associés

Thématiques :

  • innovation
  • digital
  • fraude

IA et Cybersécurité : comprendre l’impact pour les entreprises

Date de publication: :

Lire l'article

Thématiques :

  • fraude
  • digital

Cyberattaques à l’encontre des PME : les connaître, s’en protéger et réagir efficacement

Date de publication: :

Lire l'article

Thématiques :

  • fraude
  • digital

Quelles mesures pour limiter l'exposition au risque cyber de l'entreprise ?

Date de publication: :

Lire l'article