La directive NIS 2 (Network and Information Security) est entrée en application dans l'Union européenne fin 2024. Sa transposition en droit français, pilotée par l'ANSSI, concerne désormais des milliers d'entreprises qui n'étaient pas concernées par la première version du texte. Le secteur de la santé, y compris les structures de taille modeste, figure en bonne place parmi les nouveaux assujettis.
Qui est concerné ?
NIS 2 distingue les entités « essentielles » (hôpitaux, grandes entreprises de santé) des entités « importantes ». C'est cette seconde catégorie qui change la donne : elle inclut désormais les PME de 50 à 250 salariés dans les secteurs critiques, et potentiellement les plus petites structures dès lors qu'elles font partie de la chaîne d'approvisionnement d'une entité essentielle.
Un laboratoire dentaire de 15 salariés qui fournit un centre hospitalier ? Potentiellement concerné. Un cabinet dentaire qui utilise un logiciel connecté à un réseau de soins ? La question se pose. L'ANSSI a précisé que la détermination se fera au cas par cas, mais la tendance est claire : le périmètre s'élargit.
Les obligations concrètes
Pour les entités concernées, NIS 2 impose quatre types d'obligations. L'analyse des risques cyber, documentée et révisée périodiquement. La mise en place de mesures techniques et organisationnelles proportionnées. La notification des incidents de sécurité significatifs à l'ANSSI dans un délai de 24 heures. Et la responsabilisation de la direction : le dirigeant est personnellement impliqué dans la gouvernance cyber.
Les sanctions
Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions ou 1,4 % pour les entités importantes. Mais au-delà des sanctions financières, c'est la responsabilité personnelle du dirigeant qui constitue le changement le plus significatif. La cybersécurité sort du périmètre de la DSI pour entrer dans celui de la gouvernance.
Se préparer sans paniquer
Pour une PME, la mise en conformité NIS 2 n'exige pas un budget colossal. Les cinq mesures essentielles — sauvegarde, mises à jour, authentification forte, formation des équipes, plan de réponse aux incidents — couvrent la grande majorité des exigences. Ce qui manque le plus souvent, ce n'est pas le budget : c'est la conscience du risque au niveau de la direction.
C'est précisément là qu'intervient l'approche KAIROPSE. La Signature Numérique mesure, entre autres, la capacité du dirigeant à intégrer les enjeux de sécurité dans sa vision stratégique. Sans cette prise de conscience, aucune mesure technique ne sera pérenne.
Sources
- ANSSI — Directive NIS 2 — Transposition française de la directive
- EUR-Lex — Directive (UE) 2022/2555 (NIS 2) — Texte officiel de la directive
- ENISA — NIS Directive — Mise en œuvre européenne
- CCI France — NIS 2 et PME — Guide pratique pour les entreprises
NIS 2 ne demande pas aux dirigeants de devenir des experts en cybersécurité. Elle leur demande d'en devenir les responsables. Ce n'est pas la même chose — mais c'est tout aussi exigeant.
