Un périmètre élargi qui surprend les dirigeants

La directive NIS 2 (Network and Information Security), adoptée par le Parlement européen en décembre 2022 et transposée en droit français par la loi du 20 mars 2025, change radicalement la donne pour les PME et ETI. Le texte ne concerne plus seulement les opérateurs d'importance vitale (OIV) : il s'applique désormais à toute entreprise de 50 salariés ou plus opérant dans un secteur « essentiel » ou « important ».

Résultat : selon l'ANSSI, 15 000 entreprises françaises sont désormais concernées, contre 500 pour le précédent cadre réglementaire. Parmi elles, une majorité de PME et d'ETI qui n'avaient jamais été soumises à des obligations structurées de cybersécurité.

Les secteurs concernés

La directive distingue deux catégories. Les entités « essentielles » (énergie, transport, santé, eau potable, infrastructures numériques) sont soumises à un régime de contrôle ex ante. Les entités « importantes » (industrie manufacturière, agroalimentaire, chimie, logistique, services postaux, gestion des déchets) sont soumises à un régime de contrôle ex post : mais les obligations sont quasi identiques.

Concrètement, une PME de 80 salariés dans la fabrication de composants automobiles est couverte. Un transporteur routier de 60 salariés également. Une coopérative agricole de 45 salariés aussi, si son chiffre d'affaires dépasse 10 millions d'euros.

Quatre obligations concrètes

Les entreprises concernées doivent se conformer à quatre exigences minimales.

Premièrement, la nomination d'un responsable cybersécurité, interne ou externe. Cette personne doit être identifiée nominativement auprès de l'ANSSI et disposer d'un accès direct à la direction générale.

Deuxièmement, la mise en place d'un plan de gestion des risques, documenté, révisé annuellement. Il doit couvrir la sécurité des systèmes d'information, la chaîne d'approvisionnement, et la continuité d'activité.

Troisièmement, l'obligation de notification des incidents significatifs dans un délai de 24 heures à l'ANSSI. La notion d'incident « significatif » est large : toute interruption de service de plus de 4 heures ou toute compromission de données personnelles est concernée.

Quatrièmement, la couverture assurantielle. Si l'assurance cyber n'est pas rendue obligatoire par le texte, l'ANSSI recommande fortement aux entités concernées de souscrire une police adaptée. Les contrats doivent couvrir les frais de notification, de restauration des systèmes, et les pertes d'exploitation consécutives à un incident.

Le coût de la non-conformité

Les sanctions sont dissuasives. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Pour les entités importantes, le plafond est de 7 millions d'euros ou 1,4 % du chiffre d'affaires.

Au-delà de l'amende, la non-conformité expose l'entreprise à un risque réputationnel majeur. En cas d'incident, l'absence de plan de gestion documenté sera retenue comme circonstance aggravante par les autorités comme par les assureurs.

Notre conseil : si vous dirigez une PME de plus de 50 salariés dans l'industrie, la logistique, ou l'agroalimentaire, vérifiez dès maintenant votre éligibilité à NIS 2. Et faites auditer votre couverture cyber avant la fin de l'exercice. Les assureurs commencent à intégrer la conformité NIS 2 dans leurs critères de souscription.