NIS2 et PME : qui est vraiment concerne ?
La directive NIS2 cible en principe les moyennes et grandes entreprises. Mais plusieurs exceptions concernent directement les PME, et la pression de la chaîne d'approvisionnement touche encore plus largement. Décryptage des cas concrets.
Le principe : les PME sont exclues
NIS2 s'applique en principe aux entités moyennes et grandes au sens de la recommandation europeenne 2003/361/CE. Cela signifie : au moins 50 salariés OU au moins 10 millions d'euros de chiffre d'affaires (ou de bilan). Les micro-entreprises (moins de 10 salariés et moins de 2 millions d'euros) et les petites entreprises (moins de 50 salariés et moins de 10 millions d'euros) sont automatiquement exclues.
Cette exclusion vise a éviter d'imposer une charge reglementaire disproportionnee à des structures qui ne disposent pas des ressources pour y faire face.
Les exceptions importantes
Mais le principe souffre plusieurs exceptions. Sont concernees quelle que soit leur taille :
- Fournisseurs de services DNS : même une PME exploitant un service DNS critique est concernee.
- Registres de noms de domaine de premier niveau (TLD).
- Fournisseurs de services de confiance qualifies (certificats electroniques, horodatage qualifie au sens du reglement eIDAS).
- Opérateurs de réseaux de communications electroniques publics.
- Administration publique centrale (ministeres, agences nationales, prefectures).
- Entités identifiees comme opérateurs critiques au titre de la directive REC.
Une PME informatique qui exploite un service DNS pour des clients critiques peut ainsi se retrouver soumise a NIS2 alors même qu elle ne compte que quelques salariés. C est un point souvent meconnu.
La pression indirecte de la supply chain
Au-dela des cas formels, NIS2 cree une pression indirecte très forte sur les PME qui sous-traitent pour des entités concernees. L'article 21 impose en effet aux entités NIS2 de gerer la sécurité de leur chaîne d'approvisionnement. Concretement, vos clients NIS2 vont vous demander :
- Une documentation de votre posture de sécurité (politiques, certifications, audits).
- Des engagements contractuels sur le niveau de sécurité de vos services.
- La possibilite de réaliser ou faire réaliser des audits.
- Une notification rapide en cas d'incident vous concernant.
- Des plans de continuite et de reprise documentes.
Pour une PME prestataire IT, hebergeur, infogerant, MSP ou MSSP, refuser ces demandes signifie perdre le client. Accepter implique d'investir dans une démarche de securisation.
Cette pression indirecte peut être vue comme une opportunite pour les PME du numerique : celles qui sauront demontrer rapidement leur niveau de maturite cyber gagneront des parts de marche au detriment des concurrents moins prepares. La conformité NIS2, même indirecte, devient un argument commercial.
Quelles actions pour une PME concernee ?
Que vous soyez directement soumis a NIS2 ou indirectement par votre supply chain, les bonnes pratiques sont les memes. Notre guide de mise en conformité NIS2 détaillé la méthodologie en 5 étapes. Pour valider votre éligibilité, consultez la page qui est concerne. Pour comprendre le périmètre complet, voir le guide complet.
Les ressources gratuites de l'ANSSI
L'ANSSI publié plusieurs ressources gratuites particulièrement utiles aux PME : guide d'hygiene informatique, outil MonAideCyber pour l'auto-diagnostic, guides sectoriels. Ces ressources constituent un excellent point de depart avant d'engager des moyens plus consequents.