DS
Dupré Systems
← Toutes les actualités
Cybersécurité3 min de lecture

NIS2 : ce que les dirigeants de PME françaises doivent savoir

La directive NIS2 renforce les obligations de cybersécurité en Europe. Même si les PME ne sont pas toutes directement visées, voici ce qui change concrètement pour vous.

La directive européenne NIS2 (Network and Information Security 2) est entrée en vigueur en octobre 2024. Son objectif : élever le niveau de cybersécurité de l'ensemble du tissu économique européen. Si votre PME n'est pas directement dans le périmètre, vous êtes probablement concerné par effet de chaîne.

Qui est directement soumis à NIS2 ?

NIS2 cible deux types d'entités :

  • Les entités essentielles : énergie, transports, santé, eau, infrastructures numériques. Obligations maximales, contrôles proactifs.
  • Les entités importantes : services postaux, gestion des déchets, industrie alimentaire, fabricants de dispositifs médicaux, entre autres.

Les seuils : au-delà de 50 salariés ou 10 millions d'euros de chiffre d'affaires dans ces secteurs, vous entrez dans le périmètre.

Et si votre PME est en dessous de ces seuils ?

C'est là où ça devient concret. Les grands groupes et ETI soumis à NIS2 vont reporter leurs exigences sur leurs fournisseurs et sous-traitants, quelle que soit leur taille. En pratique :

  • Un fromageur fournisseur d'un grand distributeur peut être sollicité sur sa sécurité informatique
  • Un prestataire logistique pour une ETI industrielle peut se voir imposer un questionnaire de conformité
  • Un sous-traitant dans la métallurgie peut perdre un appel d'offres faute de politique de sécurité documentée

La chaîne d'approvisionnement devient un vecteur de conformité.

Ce que NIS2 impose concrètement

Les entités concernées doivent notamment :

  1. Réaliser une analyse de risques documentée
  2. Mettre en place une politique de sécurité des systèmes d'information
  3. Gérer les incidents (détection, notification sous 24h, rapport sous 72h)
  4. Sécuriser la chaîne d'approvisionnement (évaluer ses prestataires)
  5. Former et sensibiliser les équipes
  6. Tester régulièrement la résilience du système

Ce que vous devriez faire maintenant

Même hors périmètre direct, trois actions concrètes :

1. Cartographier votre exposition Quels outils utilisez-vous ? Où sont vos données ? Qui y accède ? Cette cartographie est la base de tout audit sérieux.

2. Documenter vos pratiques actuelles Politique de mot de passe, sauvegardes, accès distants, mises à jour. Même un document simple vaut mieux qu'aucun.

3. Anticiper les demandes de vos clients et donneurs d'ordre Ils vont vous demander de justifier votre niveau de sécurité. Avoir un rapport d'audit à portée de main vous différencie.


Chez Dupré Systems, nous accompagnons les PME sur ces questions avec Sentinelle PME : un audit cybersécurité et conformité RGPD accessible, sans jargon technique, avec un rapport actionnable. Un scan gratuit est disponible sur sentinelle-pme.fr.

Dupré Systems

Vous vous posez des questions pour votre PME ?

Un premier échange de trente minutes pour cerner votre situation — gratuit, sans engagement.