> ./exec Infosec.sh — GUIDE
NIS2 pour les PME/ETI : ce que vous devez vraiment savoir en 2026
FrankyTrois ans après l'adoption de la directive NIS2 et plus d'un an après l'échéance théorique de transposition nationale, environ 60 % des PME/ETI allemandes concernées ne sont toujours pas conformes.[2] Le BSI faisait état mi-2025 de plus de 30.000 nouvelles entreprises recensées, dont la majorité sans SMSI documenté.[1]
Ce n'est plus un exercice de conformité théorique. Des amendes allant jusqu'à 2 % du chiffre d'affaires consolidé sont désormais applicables. La responsabilité personnelle des dirigeants figure dans le projet de loi NIS2UmsuCG.[3] Qui hésite encore en 2026 est face à un risque opérationnel, et non plus à un risque d'audit.
Ce qu'est NIS2 et ce qu'il n'est pas
NIS2 remplace la directive NIS de 2016. Les principales modifications pour les PME/ETI :
- Périmètre élargi : 18 secteurs (au lieu de 7), dont les prestataires IT B2B, les fabricants de matériel informatique, la logistique, l'administration publique
- Critère de taille : 50+ salariés OU 10 M€ de chiffre d'affaires (définition PME/ETI UE)
- Système à deux niveaux : « essentielles » (obligations plus strictes) vs « importantes »
- Obligation de notification sous 24h : déclaration initiale d'incident au BSI/CSIRT dans les 24h, rapport complet dans les 72h
- Responsabilité de la chaîne d'approvisionnement : vous êtes responsable des failles de cybersécurité de vos fournisseurs critiques
- Responsabilité des dirigeants : les violations sont imputées personnellement (Art. 20 par. 1)
Ce que NIS2 N'EST PAS : une obligation ISO 27001. La norme n'est pas imposée, mais elle couvre 70-80 % des exigences NIS2 et constitue une preuve de bonne pratique reconnue devant les tribunaux.
Êtes-vous concerné ? Le test des 30 secondes
| Critère | Réponse | Statut NIS2 |
|---|---|---|
| 50+ salariés OU 10 M€+ de chiffre d'affaires | Oui | Passer au test sectoriel |
| Actif dans l'un des 18 secteurs (Annexe I ou II directive UE 2022/2555) | Oui | Concerné |
| < 50 salariés ET < 10 M€ de chiffre d'affaires | Oui | Probablement non sauf « fournisseur critique » |
| Autorité municipale / administration publique | Oui | Toujours concerné |
Si vous êtes concerné : l'obligation d'enregistrement auprès du BSI s'applique. En cas de doute : une première évaluation gratuite prend 30 minutes (Prendre rendez-vous pour un audit).
Les 10 obligations, ce que vous devez concrètement faire
Extrait de l'Art. 21 de la directive NIS2 :
- Analyse des risques et politique de sécurité pour les systèmes d'information, documentée, mise à jour annuellement
- Gestion des incidents, détection, réponse, rétablissement, retours d'expérience
- Continuité d'activité, sauvegardes, plan de reprise après sinistre, gestion de crise
- Sécurité de la chaîne d'approvisionnement, audits fournisseurs, contrats avec clauses de cybersécurité
- Sécurité lors de l'acquisition, du développement et de la maintenance, SDLC sécurisé, gestion des vulnérabilités
- Stratégies d'évaluation de l'efficacité des mesures mises en place
- Cyber-hygiène de base et formation, tous les collaborateurs, régulièrement
- Cryptographie, là où elle est appropriée, selon l'état de l'art
- Sécurité des ressources humaines, vérification des antécédents pour les rôles sensibles
- Authentification multi-facteurs et communications sécurisées
Plus les obligations de notification (Art. 23) : déclaration initiale sous 24h, mise à jour sous 72h, rapport final sous 1 mois.
Pourquoi l'ISO 27001 ne suffit pas, mais reste le meilleur point de départ
Nous entendons souvent : « Nous avons l'ISO 27001, n'est-ce pas suffisant ? ». La réponse honnête : non, mais vous avez parcouru 70-80 % du chemin.
Ce que couvre l'ISO 27001 :
- Structure du SMSI, cycle PDCA
- Gestion des risques (ISO 27005)
- Contrôles Annexe A (114 mesures)
- Pistes d'audit, documentation
Ce que NIS2 exige en plus :
- Notification aux autorités sous 24h (l'ISO notifie en interne)
- Responsabilité des dirigeants explicite
- Sécurité de la chaîne d'approvisionnement comme obligation formelle
- Spécificités sectorielles (ex. les banques ont des obligations DORA supplémentaires)
Recommandation : Si vous avez l'ISO 27001 → analyse des écarts par rapport à NIS2 (3-5 jours de travail). Si vous n'avez rien → construire un SMSI selon ISO 27001 ET ajouter les spécificités NIS2 par-dessus (3-6 mois).
Plan en 12 étapes vers la conformité NIS2 en 90 jours
Réaliste pour une entreprise de 100 personnes sans SMSI existant :
| # | Étape | Responsable | Jours |
|---|---|---|---|
| 1 | Analyse de périmètre + enregistrement BSI | CISO / Conseil externe | 2 |
| 2 | Inventaire des actifs (matériel, logiciels, données, personnes, fournisseurs) | IT + Conseil | 5 |
| 3 | Analyse des risques (menaces × vulnérabilités × valeur des actifs) | CISO + Conseil | 7 |
| 4 | Politiques de sécurité (10-15 documents) | Équipe documentation | 10 |
| 5 | Mesures techniques (MFA, sauvegarde, chiffrement, supervision) | IT + DevOps | 15 |
| 6 | Chaîne de notification d'incident (compatible 24h) + exercice de test | CISO + Direction | 5 |
| 7 | Processus d'audit fournisseurs + nouvelles clauses contractuelles | Achats + Juridique | 10 |
| 8 | Plan de continuité d'activité + test de reprise après sinistre | IT + Direction | 8 |
| 9 | Formation de sensibilisation (tous les collaborateurs) | RH + CISO | 5 |
| 10 | Audit interne NIS2 + Annexe A ISO 27001 | Auditeur (interne ou externe) | 5 |
| 11 | Actions correctives | Tous | 10 |
| 12 | Dossier documentaire pour demande BSI | CISO + Documentation | 3 |
Total : 85 jours-hommes. Avec une task force de 5 personnes à temps plein : 17 jours ouvrés = 90 jours calendaires réaliste.
Indication budgétaire PME/ETI : 30.000 - 80.000 € de conseil externe + allocation interne. Package complet « ISO 27001 + NIS2 » : 50.000 - 120.000 € selon la complexité (Service InfoSec NextGen IT).
Les pièges les plus fréquents (et comment les éviter)
Piège 1 : Confondre « essentiel » et « important » Une mauvaise classification entraîne de mauvaises obligations. Les secteurs « essentiels » sont soumis à des obligations d'audit plus strictes et à des amendes plus élevées. En cas de doute : consultation BSI ou conseil externe.
Piège 2 : Sous-estimer la sécurité de la chaîne d'approvisionnement Vous êtes responsable des failles de sécurité de vos fournisseurs critiques. Fournisseurs cloud, SaaS, développeurs externes, tous doivent être vérifiés. Minimum : traitement des données RGPD + clause de sécurité + justificatif annuel (ex. SOC2, ISO 27001).
Piège 3 : Sous-estimer l'obligation de notification sous 24h Une notification au BSI dans les 24 heures présuppose : surveillance 24/7, chaîne de notification claire, service d'astreinte formé. Sans SOC ou service MDR, c'est difficile pour les PME/ETI, le BSI le sait, mais s'attend au moins à des processus documentés et à des exercices de test réguliers.
Piège 4 : Ne pas impliquer la direction L'Art. 20 rend la direction explicitement responsable. Le simple fait de « déléguer à l'IT » ne fonctionne plus. Minimum : documenter une formation annuelle de la direction + approbation par les dirigeants de la politique de sécurité.
Piège 5 : Attendre la « transposition nationale » La directive européenne est directement applicable sur de nombreux points. Les retards dans la loi allemande NIS2UmsuCG ne dispensent pas du devoir de diligence.
Outils et frameworks que nous recommandons
Indépendant de la stack, mais concret :
Outil SMSI (documentation + analyse des risques)
SIEM / Agrégation de logs
Scanner de vulnérabilités
MFA
Sauvegarde + PRA
Par où commencer ?
Si vous souhaitez démarrer aujourd'hui :
- Téléchargez notre Modèle d'analyse des écarts NIS2 (XLSX + PDF). Il est gratuit, sans email obligatoire, avec un téléchargement direct.
- Réalisez une première évaluation vous-même. Comptez 2 à 3 heures avec le modèle.
- Réservez 30 minutes d'évaluation initiale gratuite. Nous analysons votre analyse des écarts avec vous et vous donnons une lecture claire des prochaines étapes concrètes.
Si vous avez déjà de l'expérience avec les SMSI : passez l'étape 2 et réalisez directement avec nous une analyse des écarts spécifique NIS2. Comptez 1 à 2 jours de conseil.
Sources
[1] BSI. Lagebericht IT-Sicherheit 2025. Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
[2] Parlement européen et Conseil. Directive (UE) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj
[3] Gouvernement fédéral allemand. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Referentenentwurf. Bundesministerium des Innern.
[4] ENISA. NIS Directive 2, Implementation guide for SMEs. European Union Agency for Cybersecurity.
[5] BSI Mindeststandards. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Standards/it-grundschutz-standards_node.html
> ./kit_nis2
Modèle d'analyse des écarts NIS2 (XLSX + PDF)
Guide PDF, classeur Excel et pack ZIP complet pour lancer une vraie analyse des écarts.
FAQ
Qui est concerné par NIS2 ?
Quelle est la deadline NIS2 en Allemagne ?
Quelles sanctions en cas de non-conformité NIS2 ?
Une certification ISO 27001 existante suffit-elle pour la conformité NIS2 ?
Franky
Security Reviewer
Securite applicative, conformite (NIS2, DORA, ISO 27001), threat modeling.
Besoin d'aide sur Infosec?
Premier échange gratuit, forfait après audit.
INIT_CONSULTATION() →