Conformité NIS2 : sécurisez vos marchés, protégez votre responsabilité de dirigeant
La directive NIS2 élargit considérablement le périmètre des entreprises soumises à des obligations cybersécurité en Europe. Même si vous n'êtes pas directement concerné, vos donneurs d'ordre le sont et répercutent leurs exigences via leurs contrats. Deefense accompagne les PME industrielles, du BTP et de la logistique du Grand Est pour déterminer leur statut, bâtir un plan de conformité réaliste et anticiper les contrôles à venir.
Entre 15 000 et 18 000 entreprises françaises concernées, et autant d'incertitudes
La directive NIS2, adoptée par l'Union européenne le 14 décembre 2022, multiplie par plus de trente le nombre d'entreprises françaises soumises à des obligations cybersécurité contraignantes. Là où NIS1 visait environ 500 opérateurs critiques, NIS2 concerne entre 15 000 et 18 000 entités, classées en deux catégories : entités essentielles et entités importantes. Pour la plupart des PME, la première difficulté n'est pas de se mettre en conformité : c'est de savoir si elles sont concernées, et à quel titre.
Statut incertain
Entité essentielle, entité importante, ou hors périmètre ? Les critères combinent secteur d'activité, taille (effectif et chiffre d'affaires) et rôle dans la chaîne d'approvisionnement. Beaucoup de PME du BTP, de l'industrie ou de la logistique peuvent être concernées sans le savoir.
Cascade contractuelle
Même hors périmètre direct, les PME sous-traitantes de grands groupes ou d'opérateurs critiques se voient imposer des clauses NIS2 dans leurs contrats. Refuser ces clauses, c'est perdre le marché. Les accepter sans préparation, c'est s'exposer à un risque contractuel majeur.
Responsabilité directe du dirigeant
La directive engage personnellement les organes de direction dans la validation des mesures de gestion des risques cyber. En cas de manquement, les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions ou 1,4 % pour les entités importantes.
Une mise en conformité NIS2 pragmatique, proportionnée à votre taille
Les fourchettes d'investissement communiquées par l'ANSSI (100 à 200 k€ pour une entité importante en année 1) concernent majoritairement des grandes structures. Notre accompagnement est conçu pour des PME de 10 à 250 salariés, avec des livrables standardisés et des mesures techniques proportionnées à votre réalité opérationnelle. Nous vous évitons deux écueils : le sur-investissement inutile et le sous-investissement qui ne passera pas le premier audit client.
Analyse d'applicabilité claire
Nous déterminons votre statut (entité essentielle, entité importante, hors périmètre direct avec exposition contractuelle) à partir des critères sectoriels et de taille définis par la directive. Vous sortez de l'incertitude en quelques jours.
Plan de conformité priorisé
Plutôt que d'attaquer les 10 domaines de mesures listés à l'article 21 de la directive en même temps, nous séquonçons les chantiers selon votre exposition au risque et aux exigences contractuelles de vos clients.
Procédures de gestion d'incidents opérationnelles
Nous mettons en place les procédures de détection, de qualification et de notification adaptées aux délais réglementaires : alerte précoce sous 24 heures, notification sous 72 heures, rapport final sous un mois.
Sécurisation de la chaîne d'approvisionnement
La directive impose aux entités régulées d'évaluer la sécurité de leurs fournisseurs. Nous vous aidons à construire votre propre démarche, que vous subissiez ces contrôles ou que vous deviez les appliquer à vos sous-traitants.
Trois étapes pour sortir du flou NIS2
Notre méthodologie est alignée sur les 10 domaines de mesures techniques et organisationnelles listés à l'article 21 de la directive, ainsi que sur les travaux de l'ANSSI via la plateforme MonEspaceNIS2. Chaque étape produit des livrables opposables, utilisables aussi bien en interne que face à un auditeur ou à un donneur d'ordre exigeant.
-
Diagnostic d'applicabilité et d'écart
-
Mise en conformité assistée
-
Pilotage continu et reporting
Diagnostic d'applicabilité et d'écart
Qualification de votre statut NIS2 (entité essentielle, importante, hors périmètre avec exposition contractuelle). Analyse d'écart sur les 10 domaines de mesures. Livrable : note de cadrage, cartographie des écarts, plan d'actions chiffré et priorisé.
Mise en conformité assistée
Gestion des risques, sécurisation des accès, gestion des incidents, continuité d'activité, sécurité des fournisseurs, formation des équipes et des dirigeants : nous déployons les mesures techniques et organisationnelles adaptées à votre contexte, avec une documentation prête pour contrôle.
Pilotage continu et reporting
Supervision des indicateurs, revue annuelle du plan de traitement des risques, exercices de crise, tenue à jour des preuves de conformité. Vous êtes prêt à répondre à un contrôle ANSSI, à un audit client ou à un incident de sécurité majeur.
Ce que la conformité NIS2 change pour votre entreprise
- Sécurisation de votre portefeuille clients : vos donneurs d'ordre, déjà soumis à NIS2, vont intégrer des clauses cyber dans leurs contrats sous-traitants. Être en mesure d'y répondre maintient vos flux commerciaux et vous différencie des concurrents moins préparés.
- Protection juridique du dirigeant : en documentant les mesures prises et l'approbation par la direction, vous réduisez votre exposition personnelle en cas d'incident ou de contrôle. La démarche NIS2 est un outil de gouvernance, pas seulement une contrainte technique.
- Mutualisation avec vos autres obligations : NIS2 partage une grande partie de ses exigences avec ISO 27001 et le RGPD. Une démarche bien menée couvre les trois cadres en un seul effort, ce qui évite de multiplier les projets de conformité.
- Subventions régionales mobilisables : les PME du Grand Est peuvent mobiliser des aides régionales couvrant jusqu'à 50 % des coûts d'audit et de mise en conformité. Ces financements réduisent significativement le coût global de la démarche.
Questions fréquentes sur la directive NIS2
Qu'est-ce que la directive NIS2 ?
NIS2 (Network and Information Security 2) est la directive européenne 2022/2555, adoptée le 14 décembre 2022. Elle remplace la directive NIS1 de 2016 et élargit considérablement les obligations de cybersécurité imposées aux entreprises et aux administrations. Elle couvre dix-huit secteurs, classés en secteurs hautement critiques et secteurs critiques, et répartit les entités concernées en deux catégories : entités essentielles et entités importantes.
Mon entreprise est-elle soumise à NIS2 ?
L'applicabilité dépend de trois critères combinés : votre secteur d'activité (parmi les 18 listés dans la directive), votre taille (effectif et chiffre d'affaires) et votre rôle dans la chaîne d'approvisionnement. En règle générale, les entreprises de plus de 50 salariés ou de plus de 10 millions d'euros de chiffre d'affaires opérant dans les secteurs couverts entrent dans le périmètre. Les plus petites structures peuvent être concernées indirectement via les clauses contractuelles de leurs clients. Un diagnostic d'applicabilité est nécessaire pour trancher.
Où en est la transposition française de NIS2 ?
Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui transpose NIS2, REC et DORA en droit français, a été adopté par le Sénat le 12 mars 2025 et par la commission spéciale de l'Assemblée nationale le 10 septembre 2025. L'adoption définitive en séance publique est attendue courant 2026. La directive s'applique en l'état, mais les modalités françaises précises (décrets, arrêtés, désignation des entités) seront fixées après promulgation de la loi.
Quelles sont les sanctions en cas de non-conformité ?
Les sanctions financières maximales prévues par la directive sont de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé) pour les entités essentielles, et 7 millions d'euros ou 1,4 % pour les entités importantes. La directive prévoit par ailleurs une responsabilité directe des organes de direction, qui doivent approuver les mesures de gestion des risques et peuvent faire l'objet de sanctions personnelles en cas de manquement avéré.
Quels sont les délais de notification d'incident imposés par NIS2 ?
En cas d'incident significatif, l'entité régulée doit transmettre à l'autorité compétente une alerte précoce sous 24 heures, une notification détaillée sous 72 heures et un rapport final sous un mois. Ces délais supposent une procédure interne rodée, une capacité de qualification rapide de l'incident et une chaîne de décision claire, y compris en dehors des heures ouvrées.
Combien coûte une mise en conformité NIS2 pour une PME ?
L'ANSSI communique des fourchettes de 100 à 200 k€ en année 1 pour une entité importante, et de 450 à 880 k€ pour une entité essentielle, avec un coût de maintenance annuel d'environ 10 %. Ces ordres de grandeur concernent majoritairement des structures moyennes et grandes. Pour une PME, le budget réel dépend fortement du statut (essentielle ou importante), de la maturité cyber de départ et du périmètre à couvrir. Nous chiffrons précisément votre projet après diagnostic d'applicabilité.
NIS2 et ISO 27001, quel lien ?
La certification ISO 27001 couvre une large part des exigences de gouvernance, d'analyse de risques et de gestion d'incidents imposées par NIS2. Une entreprise certifiée ISO 27001 dispose déjà des fondations méthodologiques pour répondre à NIS2, avec un travail complémentaire ciblé (notification d'incidents dans les délais réglementaires, sécurité de la supply chain, implication formelle des dirigeants). Nous traitons les deux cadres de façon coordonnée pour éviter la redondance.
Sortez de l'incertitude NIS2 en 45 minutes
Notre diagnostic gratuit qualifie votre statut, identifie les écarts principaux et chiffre votre mise en conformité. Vous repartez avec une note de cadrage exploitable directement en comité de direction.