La directive NIS2 marque un changement d’échelle pour la cybersécurité européenne. Pour les entreprises du numérique, elle élargit le périmètre des organisations concernées, renforce les obligations de gestion des risques et impose une discipline de notification beaucoup plus exigeante. Les ESN, fournisseurs cloud, centres de données, prestataires de services managés, éditeurs de logiciels critiques et prestataires de cybersécurité ne peuvent plus traiter la conformité cyber comme une annexe technique : elle devient un sujet de direction générale.
Cette évolution concerne particulièrement les acteurs français qui servent des clients publics, industriels, financiers, santé, énergie, transport ou télécoms. Même lorsqu’une ESN n’est pas directement qualifiée d’entité essentielle ou importante, elle peut être entraînée par les exigences contractuelles de ses clients. NIS2 crée donc un effet de chaîne : la conformité d’un donneur d’ordre dépend de la robustesse de ses prestataires numériques.
NIS2 entreprises numérique : qui est concerné ?
NIS2 vise un nombre beaucoup plus large de secteurs que NIS1. La directive distingue notamment les entités essentielles et les entités importantes, avec des exigences adaptées mais une logique commune : responsabiliser les organisations dont les services sont structurants pour l’économie et la société. Les critères de taille, d’activité et de criticité doivent être analysés avec soin, car une entreprise peut être concernée par son secteur, par la nature de ses services ou par son rôle dans la chaîne d’approvisionnement.
Les acteurs numériques dans le périmètre
Les entreprises du numérique les plus exposées sont les fournisseurs de services cloud, les centres de données, les réseaux de diffusion de contenu, les prestataires de services managés, les prestataires de services de sécurité managés, les plateformes de services numériques et certains fournisseurs de solutions utilisées dans des environnements critiques. Une ESN généraliste peut également être concernée lorsqu’elle opère des infrastructures, administre des systèmes client, fournit du maintien en condition opérationnelle ou intervient sur des périmètres sensibles.
L’effet indirect sur les sous-traitants
Le point souvent sous-estimé est l’effet indirect. Un client soumis à NIS2 devra prouver qu’il maîtrise ses risques fournisseurs. Il demandera donc à ses prestataires des informations sur leur gouvernance SSI, leurs plans de continuité, leur capacité de notification, leur politique de gestion des vulnérabilités, leurs pratiques de sauvegarde et leurs sous-traitants. Les ESN qui ne préparent pas ces preuves verront leurs cycles de vente ralentir et leurs contrats renégociés sous contrainte.
Les obligations à anticiper
Gestion des risques cybersécurité
NIS2 impose une gestion structurée des risques. Pour une entreprise numérique, cela signifie établir une politique de sécurité, cartographier les actifs critiques, gérer les accès, sécuriser les développements, encadrer les changements, documenter les sauvegardes, tester la reprise d’activité et traiter les vulnérabilités. Les mesures ne doivent pas rester déclaratives : elles doivent être suivies, mises à jour et portées par la direction.
Notification des incidents
La directive renforce les délais de notification. Les organisations concernées doivent être capables d’émettre une alerte précoce, de compléter l’information dans les jours suivants et de produire un rapport final. Cette exigence suppose des procédures internes claires : qui qualifie l’incident, qui contacte le client, qui parle à l’autorité, qui conserve les preuves, qui coordonne le juridique et qui décide de la communication externe. Une astreinte technique sans processus de gouvernance ne suffit plus.
Sécurité de la chaîne d’approvisionnement
NIS2 insiste sur la supply chain. Les prestataires numériques doivent connaître leurs propres dépendances : hébergeurs, outils de supervision, bibliothèques open source, fournisseurs SaaS, sous-traitants offshore, services d’authentification et solutions de ticketing. Les clients demanderont des engagements plus précis sur la localisation des données, les droits d’audit, la gestion des correctifs, la continuité et la notification en cascade.
Sanctions et responsabilité des dirigeants
Les sanctions peuvent atteindre des niveaux significatifs, avec des plafonds calculés en millions d’euros ou en pourcentage du chiffre d’affaires mondial selon la catégorie d’entité. Mais le risque financier n’est qu’une partie du sujet. NIS2 renforce aussi la responsabilité des organes dirigeants : la cybersécurité devient un devoir de pilotage, pas seulement un budget confié au RSSI. Les dirigeants doivent pouvoir démontrer qu’ils ont validé une stratégie, arbitré des moyens et suivi des indicateurs.
Ce qui change par rapport à NIS1
NIS1 ciblait un périmètre plus restreint et laissait davantage de marge aux États membres. NIS2 harmonise et élargit. Les secteurs sont plus nombreux, les catégories d’entités plus structurées, les exigences de gouvernance plus explicites et les obligations fournisseurs beaucoup plus visibles. Pour les ESN, le changement majeur est la fin du confort du « non directement concerné ». Même une PME numérique peut être sollicitée par ses clients pour prouver sa maturité cyber.
Autre différence importante : la conformité devient plus opérationnelle. Il ne suffit pas d’avoir une politique SSI et quelques documents. Les entreprises doivent être capables de notifier, réagir, restaurer, tracer et améliorer. Les exercices de crise, tests de restauration, revues d’accès et plans de remédiation deviennent des éléments commerciaux autant que techniques.
Plan d’action pour les ESN et éditeurs
- Qualifier le périmètre : déterminer si l’entreprise est directement concernée et identifier les clients soumis.
- Créer un dossier de preuves : politique SSI, PCA/PRA, gestion des incidents, sauvegardes, vulnérabilités et fournisseurs.
- Mettre à jour les contrats : délais de notification, responsabilités, sous-traitance, audit, réversibilité et assistance.
- Former les équipes : commerce, delivery, support, infogérance, juridique et direction doivent parler le même langage.
- Tester la crise : simuler un incident significatif et vérifier les délais de décision, preuve et communication.
Un dernier chantier concerne la preuve commerciale. Les acheteurs demandent de plus en plus une réponse structurée avant même la signature : questionnaire sécurité, description des sous-traitants, engagements de support, certifications éventuelles, politique de sauvegarde et capacité à accompagner une notification. Préparer ce dossier en amont évite de répondre dans l'urgence et transforme NIS2 en argument de confiance.
Comment Flying squirrels aide ses adhérents
Flying squirrels travaille avec ses membres pour traduire NIS2 en outils pratiques : grilles d’auto-positionnement, modèles de clauses, retours d’expérience, notes de synthèse et contributions aux échanges institutionnels. Les adhérents peuvent rejoindre nos commissions cyber et juridique afin de mutualiser leurs questions et de défendre une interprétation réaliste pour les PME et ETI du numérique.
La directive NIS2 peut devenir une contrainte lourde si chaque entreprise avance seule. Elle peut aussi devenir un levier de professionnalisation collective, en renforçant la confiance entre prestataires et donneurs d’ordre. Pour bénéficier de nos travaux, contribuer aux positions sectorielles et préparer vos équipes, vous pouvez adhérer à Flying squirrels.