Les petites entreprises doivent-elles s’inquiéter de la directive NIS2 en Europe ?

L’UE renforce les exigences en matière de cybersécurité pour les infrastructures et services critiques avec la nouvelle directive NIS2. Qu’est-ce que cela signifie pour les petites entreprises ?

La cybersécurité est essentielle pour toute entreprise. Cependant, toutes ne sont pas exposées aux mêmes menaces ou obligations réglementaires. Dans cet article, nous expliquons ce qu’est la directive NIS2, à qui elle s’applique, et si les petites entreprises doivent prendre des mesures.

Qu’est-ce que la directive NIS2 ?

La directive NIS2 est une législation européenne sur la cybersécurité. Elle impose des mesures légales pour renforcer la cybersécurité au sein de l’UE. À partir d’octobre 2024, les entreprises fournissant certains services essentiels ou infrastructures critiques devront se conformer à ses exigences en matière de cybersécurité.

Cette directive vise principalement les entreprises moyennes et grandes. Mais, si vous dirigez une petite entreprise, comment cette initiative vous impacte-t-elle ?

Qu’est-ce qu’une « petite entreprise » ?

La Recommandation 2003/361/CE de la Commission européenne définit clairement une petite entreprise comme une entreprise employant moins de 50 personnes et dont le chiffre d’affaires annuel ou le bilan annuel est inférieur à 10 millions d’euros.

Je dirige une petite entreprise, dois-je respecter la directive NIS2 ?

La directive NIS2 concerne principalement les grandes entreprises, et seulement une infime fraction des petites entreprises doit s’y conformer. Les petites entreprises opérant dans des secteurs critiques et essentiels, ainsi que celles fournissant des services de communication électronique ou de confiance, doivent respecter la directive, quelle que soit leur taille.

Je dirige une entreprise de taille moyenne, dois-je respecter la directive NIS2 ?

Les entreprises employant plus de 50 mais moins de 250 personnes, avec un chiffre d’affaires annuel n’excédant pas 50 millions d’euros et/ou un bilan annuel inférieur à 43 millions d’euros, sont classées comme « entreprises de taille moyenne » par l’UE.

Cependant, même les entreprises de taille moyenne ne seront concernées par la directive NIS2 que si elles opèrent dans l’un des secteurs critiques spécifiés dans les annexes de la directive.

Pourquoi un fournisseur de sécurité me conseillerait-il de respecter la directive NIS2 si la loi me dit que ce n’est pas nécessaire ?

Les solutions de cybersécurité conçues pour aider les entreprises à respecter la directive NIS2 sont souvent plus complexes et nécessitent une expertise en sécurité pour être mises en œuvre et gérées. Elles sont donc probablement plus coûteuses à acheter et à exploiter. Elles sont généralement destinées à être utilisées par des équipes internes de cybersécurité ou par un fournisseur de services de sécurité gérés (MSSP).

Cependant, pour les petites entreprises sans personnel informatique et/ou expertise en cybersécurité, plus un système est complexe, plus il est susceptible d’être mal configuré, ce qui peut aboutir à une solution moins sécurisée que prévu.

De plus, aucune solution logicielle unique ne peut garantir une conformité totale à la directive NIS2, car les directives de la NIS2 vont bien au-delà du déploiement de logiciels de cybersécurité, exigeant des mesures organisationnelles et opérationnelles supplémentaires ainsi que le respect d’obligations documentaires étendues.

Il est également important de noter que la directive NIS2 décrit les mesures de sécurité requises de manière très générale. Des détails supplémentaires sur les mesures de sécurité spécifiques nécessaires pour se conformer à la directive seront inclus dans les actes délégués de la Commission européenne et les lois locales adoptées par les États membres pour la mise en œuvre de la directive, qui ne sont actuellement pas encore complètement définies.

Qu’y a-t-il de spécial dans une solution de cybersécurité qui m’aide à respecter la directive NIS2 ?

Bien que la directive NIS2 introduise des mesures importantes de cybersécurité et de résilience, la plupart des entreprises (quelle que soit leur taille) ne sont pas soumises à ces exigences strictes en raison de leur secteur d’activité et de leur profil de risque. Cependant, comprendre et adopter volontairement certaines de ses meilleures pratiques pourrait encore bénéficier aux petites entreprises en renforçant leur posture de cybersécurité et en aidant à instaurer la confiance des clients.

Pour plus d’informations sur la directive NIS2, veuillez consulter : https://eur-lex.europa.eu/eli/dir/2022/2555