Mise en œuvre de la NIS2 : Guide pratique pour les PME allemandes

Q: Qui est concerné ?

La NIS2 distingue les établissements essentiels et les établissements importants dans 18 secteurs. Établissements essentiels : Énergie, transport, secteur bancaire, santé, eau potable, infrastructures numériques et administration publique. Établissements importants : Poste, gestion des déchets, chimie, alimentation, industrie manufacturière et services numériques. Les seuils : Les entreprises de plus de 50 employés OU de plus de 10 millions d’euros de chiffre d’affaires annuel dans l’un des 18 secteurs sont concernées. Attention : Les plus petites entreprises peuvent également être soumises à la NIS2 si elles sont classées comme critiques ou font partie de la chaîne d’approvisionnement d’une entreprise concernée. L’implication indirecte est le point aveugle : La NIS2 oblige les entreprises concernées à gérer la sécurité de leur chaîne d’approvisionnement. Cela signifie que les fournisseurs et les prestataires de services doivent également prouver qu’ils respectent les normes de sécurité - même s’ils ne sont pas directement soumis à la NIS2.

La directive NIS2 étend les obligations de cybersécurité à plus de 30 000 entreprises allemandes. Alors que les grandes entreprises ont depuis longtemps mis en place des équipes de conformité, les PME sont confrontées à un triple défi : une incertitude quant à leur implication, des ressources limitées et un manque d’aides à la mise en œuvre.

L’essentiel

Implication : Plus de 30 000 entreprises en Allemagne sont concernées par la NIS2 – dix fois plus qu’avec la réglementation KRITIS actuelle.
Obligations : Gestion des risques, déclaration d’incidents dans les 24 heures, sécurité de la chaîne d’approvisionnement et formation des dirigeants.
Responsabilité : Les dirigeants sont personnellement responsables – amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel.
Calendrier : Mise en œuvre dans la législation nationale d’ici octobre 2024 – de nombreuses entreprises n’ont pas encore commencé.
Pratique : Un plan structuré de 6 mois rend la conformité à la NIS2 possible même avec des ressources limitées.

Qui est concerné ?

La NIS2 distingue les établissements essentiels et les établissements importants dans 18 secteurs. Établissements essentiels : Énergie, transport, secteur bancaire, santé, eau potable, infrastructures numériques et administration publique. Établissements importants : Poste, gestion des déchets, chimie, alimentation, industrie manufacturière et services numériques.

Les seuils : Les entreprises de plus de 50 employés OU de plus de 10 millions d’euros de chiffre d’affaires annuel dans l’un des 18 secteurs sont concernées. Attention : Les plus petites entreprises peuvent également être soumises à la NIS2 si elles sont classées comme critiques ou font partie de la chaîne d’approvisionnement d’une entreprise concernée.

L’implication indirecte est le point aveugle : La NIS2 oblige les entreprises concernées à gérer la sécurité de leur chaîne d’approvisionnement. Cela signifie que les fournisseurs et les prestataires de services doivent également prouver qu’ils respectent les normes de sécurité – même s’ils ne sont pas directement soumis à la NIS2.

Les dix obligations en bref

La NIS2 définit dix mesures minimales de cybersécurité :

1. Analyse des risques et concepts de sécurité. 2. Évaluation de l’efficacité des mesures. 3. Cryptographie et chiffrement. 4. Continuité des activités et gestion de crise. 5. Sécurité de la chaîne d’approvisionnement. 6. Sécurité lors du développement et de l’achat. 7. Formation et hygiène cybernétique. 8. Contrôle d’accès et gestion des actifs. 9. Authentification multi-facteurs. 10. Communication sécurisée.

S’y ajoute l’obligation de déclaration : Les incidents de sécurité importants doivent être signalés dans les 24 heures à l’autorité compétente. Un rapport détaillé suit dans les 72 heures. Un rapport final est attendu dans un délai d’un mois.

Plan de mise en œuvre de 6 mois

Mois 1 : Analyse de l’implication. Sommes-nous concernés par la NIS2 ? Quelle catégorie ? Vérifiez le secteur, la taille et le rôle dans la chaîne d’approvisionnement. En cas de doute : oui.

Mois 2 : Analyse des écarts. Où en sommes-nous concernant les dix obligations ? Vérification initiale BSI-Grundschutz ou audit préliminaire ISO-27001.

Mois 3-4 : Gains rapides. Mettre en place l’authentification multi-facteurs partout, créer un plan de réponse aux incidents, former les dirigeants, valider la stratégie de sauvegarde.

Mois 5-6 : Construction systématique. Mettre en œuvre un système de gestion des risques, formaliser la sécurité de la chaîne d’approvisionnement, établir des processus de déclaration, planifier des tests réguliers.

Coûts pour les PME : 80 000 à 250 000 euros la première année, selon la situation de départ. À partir de la deuxième année, 30 000 à 80 000 euros par an. Le poste de dépense le plus important : non pas la technologie, mais le conseil et la mise en place des processus.

Key Facts en un coup d’œil

Entreprises concernées : Plus de 30 000 en Allemagne (estimation du BMI)

Amendes pour les établissements essentiels : Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel

Amendes pour les établissements importants : Jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel

Obligation de déclaration : Première déclaration dans les 24 heures, rapport détaillé dans les 72 heures, rapport final dans un mois

Source : Directive de l’UE 2022/2555, BMI, BSI, 2024

Questions fréquentes

Suis-je concerné par la NIS2 ?

Si votre entreprise compte plus de 50 employés ou réalise un chiffre d’affaires de 10 millions d’euros et est active dans l’un des 18 secteurs de la NIS2 : très probablement oui. Vous pouvez également être indirectement concerné en tant que fournisseur d’une entreprise concernée.

Que se passe-t-il si j’ignore la NIS2 ?

Amendes allant jusqu’à 10 millions d’euros, responsabilité personnelle des dirigeants et potentiellement interdiction d’exercer par l’autorité de surveillance.

L’ISO 27001 suffit-elle pour la NIS2 ?

L’ISO 27001 couvre une grande partie des exigences de la NIS2, mais pas toutes. En particulier, les obligations de déclaration, les exigences de la chaîne d’approvisionnement et la formation des dirigeants vont au-delà de l’ISO 27001.

Ai-je besoin d’un responsable de la sécurité de l’information ?

La NIS2 n’impose pas explicitement un responsable de la sécurité de l’information, mais les exigences en matière de gestion des risques et de gouvernance rendent une responsabilité dédiée nécessaire en pratique.

Puis-je externaliser la conformité à la NIS2 ?

En partie. Les fournisseurs de services de sécurité gérés peuvent prendre en charge les mesures techniques. La responsabilité organisationnelle – en particulier la gestion des risques et les obligations des dirigeants – reste au sein de l’entreprise.