Qu'est-ce que NIS2 ?

La directive NIS2 (Network and Information Security Directive 2) est la révision de la directive européenne NIS de 2016. Entrée en application en France via l'ordonnance du 3 octobre 2024, elle impose des obligations de cybersécurité à un nombre considérablement élargi d'entités — y compris pour la première fois, des milliers de PME.

Contrairement à son ancêtre, NIS2 ne vise plus uniquement les grandes infrastructures critiques. Elle cible explicitement les entités essentielles et entités importantes, une classification qui inclut désormais de nombreuses PME dans les secteurs de la santé, du transport, de l'énergie, du numérique et de l'eau.

🏛️
~15 000 entités françaises soumises à NIS2 — un bond de 400% par rapport à la directive initiale

Qui est concerné ? Les secteurs clés

NIS2 s'applique aux entreprises dépassant certains seuils ou opérant dans des secteurs stratégiques. Les critères exacts dépendent de votre taille (nombre de salariés, chiffre d'affaires) et de votre secteur. En pratique, les secteurs suivants sont les plus impactés :

  • Santé — cliniques, laboratoires, hospitales, entreprises de dispositifs médicaux
  • Transport — transporteurs routiers, aériens, maritimes au-delà d'un certain volume
  • Énergie — producteurs, distributeurs, opérateurs d'infrastructures
  • Eau — gestionnaires d'approvisionnement et de traitement
  • Numérique — fournisseurs cloud, centres de données, registres de noms de domaine
  • Alimentation — production et transformationagroalimentaire à grande échelle
  • Finance — entreprises d'assurance, de paiement, de gestion d'actifs

Même si votre entreprise n'est pas directement dans ces secteurs, la chaîne d'approvisionnement compte : si vous fournissez un organisme essentiel, vous pouvez être indirectement touché par les exigences de sécurité de vos clients.

⏳ Date clé

17 octobre 2024 — Date d'application de NIS2 en France

L'ordonnance est en vigueur. Les sanctions sont applivables dès maintenant.

Les obligations concrètes pour les PME

NIS2 impose des obligations de moyen et de résultat. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) peut contrôler votre mise en conformité. Voici les 5 obligations principales :

1. Gestion des risques cyber

Vous devez mettre en place une politique de sécurité des systèmes d'information couvrant les risques : analyse des vulnérabilités, gestion des accès, cryptographie, sécurité de la chaîne d'approvisionnement, plans de continuité d'activité.

2. Signalement d'incidents en 24h / 72h

Tout incident de sécurité significatif doit être signalé à l'ANSSI dans les 24 heures après détection, avec un rapport complet sous 72 heures. Un incident non signalé est une infraction sanctionnable.

Cette obligation est complexe pour les PME qui n'ont pas de SOC (Security Operations Center) : comment détecter un incident en moins de 24h sans monitoring continu ?

3. Sécurité de la chaîne d'approvisionnement

Vous devez évaluer les risques de vos fournisseurs et sous-traitants IT. Un prestataire avec un accès à vos systèmes et une sécurité insuffisante peut déclencher votre propre incident.

4. Gouvernance et responsabilisation

NIS2 exige que la gouvernance cyber soit portée au plus haut niveau (direction / conseil d'administration). Un rapport doit pouvoir attester de la mise en conformité. La responsabilité est engageable en cas de faille majeure.

5. Plans de continuité et récupération

Des plans de continuité d'activité et de reprise après sinistre doivent être documentés et testés. Backup, redondance, communication de crise — l'objectif est de limiter l'impact d'un incident.

⚠ Risque majeur

Les sanctions NIS2 peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial (le plus élevé des deux) pour les entités importantes. Pour une PME de 5 M€ de CA, cela représente jusqu'à 100 000 € d'amende — un chiffre qui grimpe vite pour les entreprises plus importantes.

Comment DETOXIO aide les PME à se conformer

DETOXIO est une solution de protection réseau développée par Serenicity, brevetée et hébergée à 100% en France. Elle a été conçue pour répondre aux obligations NIS2 des PME de manière simple et accessible :

  • Détection d'incidents en temps réel — le monitoring 24h/24 identifie les comportements anormaux en quelques minutes, permettant de respecter le délai de signalement de 24h
  • Rapports de sécurité automatisés — le tableau de bord SerenIA génère des rapports conformes à présenter à l'ANSSI en cas d'incident, ou lors d'un contrôle de conformité
  • Déploiement en 5 minutes — pas besoin d'expertise technique ni de projet de plusieurs mois
  • Coût maîtrisé — 49 €/mois, sans engagement, incluant le support et les mises à jour
💶
Guide MSP
Comment un MSP peut facturer la cybersécurité à ses clients PME →

3 modèles de facturation, marges réelles 30–40% et calcul de MRR.

👉 Pour aller plus loin

Votre client est concerné par NIS2 ? Passez à l'action avec notre checklist pratique en 10 points — les actions concrètes à déployer avant octobre 2026, avec calendrier et outils.

🛒
à lire aussi — PME
NIS2 PME 50 salariés : êtes-vous concerné ? →

Les critères exacts (taille + CA + secteur), les 18 secteurs concernés et 3 étapes pour agir.

🛡 Protection & Conformité

Protégez vos clients. Gagnez en conformité.

Que vous soyez une PME directement concernée par NIS2 ou un MSP qui accompagne ses clients, DETOXIO est la solution qui rend la conformité accessible.

Demander une démo DETOXIO →