Comment NIS 2 fait entrer des milliers de PME françaises dans le radar de l'Anssi

Abdulhamid Hijli
IONOS

La directive NIS 2 impose la cybersécurité comme priorité stratégique, élargissant son périmètre aux PME et à la chaîne d'approvisionnement pour bâtir une vraie résilience opérationnelle.

Bien plus qu'une simple contrainte réglementaire, la nouvelle directive NIS-2 est une opportunité pour les entreprises françaises de renforcer leur résilience numérique. En étendant les obligations de sécurité à des dizaines de milliers d'organisations, y compris les PME, et en plaçant la chaîne d'approvisionnement au cœur de son dispositif, elle impose un changement de culture majeur.

La directive européenne NIS-2, récemment transposée en droit français, n'est pas une simple mise à jour. Elle représente un changement de paradigme pour la cybersécurité, l'élevant au rang de responsabilité stratégique au plus haut niveau de l'entreprise. En France, sous la supervision de l'Anssi (l'Agence nationale de la sécurité des systèmes d'information), des dizaines de milliers d'organisations sont désormais tenues d'appliquer des mesures de sécurité plus strictes, incluant, par exemple, une notification initiale d'incident sous 24 heures. Ce changement répond directement à la sophistication croissante des cybermenaces et à notre dépendance vitale envers un écosystème numérique interconnecté.

L'un des impacts les plus forts de NIS 2 est l'élargissement de son périmètre via la notion d'"Entité". Dans ce cadre, l'entreprise dans son ensemble doit mettre en œuvre des mesures de sécurité. Cela contraste avec un SMSI ou d'autres certifications familières, où l'on définit généralement un périmètre spécifique pour n’y inclure que les domaines sélectionnés.

De plus, les filiales qui fournissent des services au sein d'un groupe d'entreprises seront également prises en compte dans le cadre de NIS-2 et serviront de base à l'évaluation de l'assujettissement. En outre, en tant que membre d'un groupe, les effectifs et le chiffre d'affaires de la société mère peuvent être ajoutés aux vôtres, ce qui augmente la probabilité de tomber sous le coup de la réglementation. De nombreuses PME qui passaient auparavant sous le radar sont maintenant concernées. Si une PME appartient à un groupe plus important, les effectifs et le chiffre d'affaires de l'ensemble du groupe sont consolidés pour déterminer son assujettissement. Des milliers de petites entités héritent ainsi des obligations réglementaires de leur maison mère, faisant de la sécurité une responsabilité indéniablement collective.

L'autre révolution de cette directive est son attention sans précédent portée à la chaîne d'approvisionnement. Le message est clair : la sécurité est l'affaire de tous. La réglementation impose une gestion plus stricte des fournisseurs, exigeant la mise en place de politiques de sécurité des systèmes d'information et la vérification de mesures techniques et organisationnelles de base, comme l'authentification multifacteur (MFA). La relation client-fournisseur se transforme ainsi en un partenariat où la transparence et la diligence raisonnable deviennent la norme.

Heureusement, ce cadre n'est pas uniquement punitif. Les délais de mise en conformité prévus par la loi offrent aux entreprises le temps de s'adapter. Cette marge de manœuvre ne doit pas être un prétexte à l'inaction, mais plutôt une occasion de se préparer intelligemment. Le véritable objectif, partagé par les législateurs et les experts du secteur, n'est pas la conformité administrative, mais bien la résilience opérationnelle. NIS-2 est une occasion historique de renforcer nos défenses collectives et de bâtir un avenir numérique plus sûr pour tous.