La directive NIS2 (UE 2022/2555) est en vigueur depuis janvier 2023 et a été transposée dans le droit national de chaque État membre de l’UE. Elle concerne les moyennes et grandes entreprises dans 18 secteurs — de la fabrication et du transport aux TIC et à l’administration publique. Les obligations comprennent la gestion des risques, les mesures techniques et organisationnelles (MFA, chiffrement, sauvegarde, chaîne d’approvisionnement), le signalement des incidents en 24/72 heures et la responsabilité personnelle des dirigeants. Les sanctions peuvent atteindre 10 millions d’EUR ou 2 % du chiffre d’affaires mondial.
Cet article fait partie de la série Sécurité et conformité dans l’ERP cloud 2026. Il explique comment déterminer si NIS2 vous concerne, quelles sont les obligations concrètes et quel est le lien avec votre système ERP/CRM.
Pourquoi NIS2 et pourquoi maintenant
La directive originale NIS1 de 2016 était étroite — elle ne couvrait que 19 secteurs et environ 100 à 300 entités par pays. NIS2 élargit et renforce cela :
- 18 secteurs divisés en entités essentielles et entités importantes.
- Régulation automatique des moyennes entreprises (50+ employés / 10+ millions d’EUR de chiffre d’affaires) dans les secteurs concernés.
- Exigences techniques et organisationnelles renforcées.
- Responsabilité personnelle des dirigeants (directeurs généraux, membres du conseil d’administration).
- Sanctions plus élevées et surveillance plus active.
La raison de cette vague : le nombre croissant d’incidents cybernétiques dans l’UE (Colonial Pipeline, Maersk, NotPetya, vagues de ransomwares 2020 – 2024) a montré que l’approche volontaire était insuffisante. NIS2 fait de la résilience cybernétique une exigence réglementaire, tout comme le RGPD l’a fait pour la protection des données personnelles.
Qui est concerné par NIS2 dans l’UE
Secteurs
NIS2 divise les secteurs en deux classes :
Entités essentielles (secteur à haute criticité)
- Énergie (électricité, gaz, chaleur, pétrole, hydrogène)
- Transport (aérien, ferroviaire, maritime, routier)
- Secteur bancaire et marchés financiers
- Santé
- Eau potable et eaux usées
- Infrastructure numérique (cloud, datacenters, DNS, TLD, points d’échange Internet)
- Gestion de services TIC (IT B2B, MSP, MSSP)
- Administration publique
- Espace (infrastructure satellitaire)
Entités importantes (autres secteurs critiques)
- Services postaux et de messagerie
- Gestion des déchets
- Fabrication (produits chimiques critiques, médicaments, dispositifs médicaux, véhicules, ordinateurs, équipements électriques)
- Distribution alimentaire
- Fournisseurs numériques (marketplaces en ligne, moteurs de recherche, réseaux sociaux)
- Institutions de recherche
Critère de taille
La directive définit les entités régulées principalement par leur taille :
| Catégorie | Employés | Chiffre d’affaires | Bilan |
|---|---|---|---|
| Moyenne entreprise (régulée) | 50 – 250 | 10 – 50 millions d’EUR | < 43 millions d’EUR |
| Grande entreprise (régulée) | > 250 | > 50 millions d’EUR | > 43 millions d’EUR |
| Petite entreprise (généralement non régulée*) | < 50 | < 10 millions d’EUR | < 10 millions d’EUR |
*Exceptions : les petites entreprises peuvent être régulées si elles sont le seul fournisseur d’un service critique dans un pays, ou si leur défaillance aurait un impact sociétal/économique significatif.
Processus pratique de détermination
- Secteur. Consultez l’annexe I et II de la directive NIS2 (UE 2022/2555) et sa transposition nationale (en France : loi de transposition NIS2).
- Taille. Appliquez la définition UE des PME (Recommandation 2003/361/CE).
- Exception. Même si vous êtes en dessous du seuil, vérifiez si vous n’êtes pas single provider ou si vous avez d’autres attributs qualifiants.
- Auto-inscription. Les entités régulées doivent s’inscrire elles-mêmes auprès de l’autorité nationale (ANSSI en France) — typiquement dans les 90 jours suivant la satisfaction des critères.
Conseil : Si vous êtes fournisseur de services IT/cloud (y compris SaaS ERP), vous tombez automatiquement dans la catégorie « infrastructure numérique » ou « gestion de services TIC » — indépendamment de la taille de vos clients.
Obligations clés d’une entité régulée
L’article 21 de NIS2 définit 10 mesures minimales que vous devez mettre en place :
- Politiques pour l’analyse des risques et la sécurité des systèmes d’information
- Gestion des incidents (détection, réponse, rétablissement)
- Continuité d’activité — sauvegarde, reprise après sinistre, gestion de crise
- Sécurité de la chaîne d’approvisionnement — y compris les relations avec les fournisseurs directs et prestataires de services
- Sécurité lors de l’acquisition, du développement et de la maintenance des réseaux et systèmes d’information
- Politiques et procédures pour évaluer l’efficacité des mesures
- Pratiques d’hygiène cyber de base et formation
- Politiques sur la cryptographie (y compris le chiffrement)
- Sécurité des ressources humaines, politique d’accès, gestion des actifs
- MFA ou authentification continue, communications sécurisées, communications d’urgence sécurisées
Signalement des incidents
La règle la plus stricte. En cas d’incident significatif (défini selon des critères liés au nombre d’utilisateurs, aux pertes financières, à l’interruption de service), vous devez :
| Délai | Obligation | À qui |
|---|---|---|
| 24 heures | Alerte précoce (info préliminaire) | ANSSI (France) / autorité NIS2 nationale |
| 72 heures | Notification d’incident (détail) | ANSSI / autorité nationale |
| 1 mois | Rapport final | ANSSI / autorité nationale |
| En continu | Communication avec les parties concernées | Clients, partenaires |
Le délai commence à courir à partir du moment où vous avez eu connaissance de l’incident — pas depuis son début. Cela signifie que les capacités de détection sont cruciales.
Sanctions et responsabilité personnelle
| Catégorie | Sanction maximale |
|---|---|
| Entité essentielle | 10 millions d’EUR ou 2 % du chiffre d’affaires mondial (le plus élevé) |
| Entité importante | 7 millions d’EUR ou 1,4 % du chiffre d’affaires |
| Dirigeant (personnelle) | Interdiction d’exercer, amendes personnelles |
| Réputation | Désignation publique comme non-conforme |
NIS2 stipule explicitement que la direction est responsable de l’approbation et de la supervision des mesures. Les transpositions nationales transfèrent cette responsabilité directement en responsabilité civile et administrative.
Lien entre NIS2 et votre système ERP/CRM
Votre ERP/CRM est un système d’information critique — il contient des données financières, clients, RH et opérationnelles. Pour la conformité NIS2, cela implique plusieurs exigences concrètes :
1. L’évaluation des risques doit couvrir l’ERP
Dans votre registre des risques, vous devez avoir l’ERP comme actif de premier ordre avec une analyse :
- Quelles données il contient (classification)
- Qui y a accès (RBAC)
- Quelles sont les menaces (ransomware, menace interne, compromission fournisseur)
- Quelles mesures nous avons (techniques + organisationnelles)
2. Le fournisseur (fournisseur ERP cloud) doit être évalué
La sécurité de la chaîne d’approvisionnement est explicite dans NIS2. Votre fournisseur SaaS ERP devient partie intégrante de votre régulation. Exigez :
- Certification de sécurité (ISO 27001 minimum, idéalement aussi SOC 2)
- Juridiction UE (évitez le CLOUD Act américain)
- DPA + liste des sous-traitants
- SLA de réponse aux incidents compatible avec votre délai de 24/72 heures
- Journal d’audit pour l’analyse forensique
- BCP/DRP avec RTO/RPO définis
Modulario couvre ces exigences par défaut — plus d’informations sur la page Sécurité et dans le pilier sur la sécurité ERP cloud.
3. MFA et gestion des accès
La mesure n°10 exige le MFA pour l’accès à l’ERP. Modulario prend en charge TOTP, WebAuthn, SAML 2.0 et OIDC pour l’intégration avec l’IdP d’entreprise (Azure AD, Google Workspace, Keycloak).
4. Sauvegarde et reprise
La sauvegarde ERP doit être :
- Hors site (géographiquement séparée)
- Chiffrée
- Testée régulièrement (exercice de reprise min. 2× par an)
- Résistante aux ransomwares (immuable / air-gapped)
Modulario fournit des sauvegardes complètes quotidiennes + incrémentielles horaires avec une rétention de 30 jours en réplication multi-région.
5. Journal d’audit pour la réponse aux incidents
En cas d’incident, vous devez pouvoir répondre à la question « que s’est-il passé, quand et qui en est responsable ». Le journal d’audit dans chaque module ERP est essentiel pour :
- L’alerte précoce en 24 heures (ce que nous avons découvert)
- Le rapport détaillé en 72 heures (étendue de l’impact)
- Le rapport final (cause racine + remédiation)
Le journal d’audit de Modulario stocke des instantanés complets avant/après pour chaque modification, avec identification de l’utilisateur et de l’adresse IP.
Plan de préparation : plan en 12 semaines pour les PME
Pour une entreprise de taille moyenne (50 à 150 employés) qui n’a pas encore commencé :
| Semaine | Activité | Résultat |
|---|---|---|
| 1 – 2 | Analyse sectorielle, détermination de la catégorie | Décision : régulé / non régulé |
| 3 – 4 | Registre des actifs, analyse des écarts | Liste des actifs + rapport d’écarts |
| 5 – 6 | Évaluation des risques, plan de traitement | Registre des risques + plan de mitigation |
| 7 – 8 | Politiques et procédures | Ensemble de ~20 politiques |
| 9 – 10 | Mise en œuvre des mesures techniques | MFA, sauvegarde, monitoring, journal d’audit |
| 11 | Formation des employés | Enregistrements de formation |
| 12 | Auto-inscription + audit interne | Inscription auprès de l’ANSSI |
Réalistement pour la plupart des PME, cela prendra 4 à 6 mois à temps plein, ou 9 à 12 mois à mi-temps.
Erreurs les plus fréquentes lors de la mise en œuvre de NIS2
- « Ça ne nous concerne pas. » De nombreuses entreprises ignorent NIS2 en croyant être trop petites. Vérifiez le secteur — les services IT, la fabrication alimentaire, le transport ont des seuils bas.
- Se concentrer uniquement sur les technologies. NIS2 c’est 50 % organisation + 50 % technologie. Sans politiques, formation et gestion des fournisseurs, le seul MFA ne suffit pas.
- Oublier la chaîne d’approvisionnement. Votre sous-traitant peut être le maillon faible. Évaluez vos fournisseurs SaaS, MSP IT, hébergement.
- Réponse aux incidents réactive. Sans runbook préparée et contacts, vous ne respecterez pas le délai de 24 heures.
- Absence de documentation. L’auditeur / le régulateur veut des preuves, pas seulement des déclarations. Logs, enregistrements, captures d’écran, signatures.
Que faire maintenant
- Vérifiez votre régulation selon la transposition nationale de NIS2 dans votre pays (en France, consultez l’ANSSI).
- Réalisez une analyse des écarts par rapport aux 10 mesures minimales de l’article 21 de NIS2.
- Auditez vos fournisseurs SaaS — notamment ERP/CRM, e-mail, stockage de fichiers. Cherchez ISO 27001, juridiction UE, DPA, journal d’audit.
- Lancez la mise en œuvre selon le plan en 12 semaines ci-dessus.
Si vous cherchez un ERP qui est NIS2-ready par défaut, consultez nos mesures de sécurité ou l’étude de cas AMCEF. Des sujets connexes se trouvent dans le pilier sur la sécurité ERP cloud, dans l’article sur l’ISO 27001 pour les PME et dans la liste de contrôle RGPD.
Questions fréquentes
Nous sommes une entreprise de 35 employés dans les services IT. NIS2 nous concerne-t-elle ? Probablement oui. Le secteur « ICT service management » a un seuil abaissé et en tant que fournisseur unique ou maillon important de la chaîne d’approvisionnement, vous pouvez être régulés même sous 50 employés. Vérifiez avec l’ANSSI ou un avocat spécialisé en cybersécurité.
Quel est le lien entre NIS2 et le RGPD ? Complémentaire. Le RGPD protège les données personnelles (focus : personnes concernées), NIS2 protège les systèmes d’information critiques (focus : impact sociétal). De nombreuses mesures se recoupent (chiffrement, contrôle d’accès, réponse aux incidents), mais les organes de signalement et les sanctions sont différents. La conformité à l’un ne garantit pas la conformité à l’autre.
Que faire si mon fournisseur d’ERP cloud n’a pas l’ISO 27001 ? NIS2 vous oblige à évaluer vos fournisseurs. Sans ISO 27001, vous devez avoir des preuves alternatives — audit de sécurité, test de pénétration, documentation contractuelle détaillée. En pratique, l’ISO 27001 est une exigence de facto. Si votre fournisseur ne l’a pas, envisagez une migration — Modulario est certifié ISO 27001 et vous fournira une documentation complète de due diligence fournisseur.
Qui dans l’entreprise est responsable de la conformité NIS2 ? La direction (dirigeants, conseil d’administration) a la responsabilité d’approbation et de surveillance. L’agenda opérationnel est généralement géré par le CISO, le DSI ou un responsable conformité dédié. Pour les PME sans ces rôles, il est raisonnable de désigner un responsable (souvent le responsable IT) et de le renforcer avec un consultant externe.