Directive NIS2 et TPE : es-tu concerne et que faire ?

La directive NIS2 (Network and Information Security) impose des obligations de cybersecurite aux entreprises dans l'UE. Elle est en cours de transposition en droit francais.

Es-tu concerne ?

Les criteres

NIS2 s'applique aux entites "essentielles" et "importantes" dans certains secteurs :

• energie, transport, sante, eau, infrastructure numerique, espace ;
• services postaux, gestion des dechets, industrie, agroalimentaire, services numeriques.

Les seuils de taille

• Entites essentielles : > 250 employes ou > 50 M EUR de CA.
• Entites importantes : > 50 employes ou > 10 M EUR de CA.

Les TPE sont-elles concernees ?

Non dans la plupart des cas. Si tu es une TPE de services B2B (dev, marketing, conseil, design) avec < 50 employes et < 10 M EUR de CA, tu n'es pas directement concerne par NIS2.

Exception : si tu es un fournisseur de services numeriques (hebergement, DNS, cloud, plateforme en ligne) meme petit, tu peux etre concerne.

Ce qui change quand meme pour les TPE

Meme si tu n'es pas directement concerne, tes clients grands comptes le sont. Ils vont :

1. Te demander des garanties de securite (questionnaires — voir questionnaire cyber client).
2. Exiger des clauses de securite dans les contrats.
3. Verifier que tu respectes les bases (MFA, sauvegardes, chiffrement).

En pratique, NIS2 va ruisseler vers les sous-traitants — meme les TPE.

Que faire maintenant

Mets en place les bases AVANT qu'on te le demande :

1. Checklist cybersecurite TPE — les 10 actions essentielles.
2. Politique de securite en 1 page.
3. Plan de continuite d'activite.

Ca te permet de repondre "oui" aux questionnaires de tes clients et de ne pas etre surpris quand les exigences arrivent.

CTA

Commence par l'audit de securite gratuit pour savoir ou tu en es.

Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.