NIS2 et PME/ETI : etes-vous vraiment concerne ?
Le seuil de 50 salariés ou 10 millions d'euros de CA exclut les micro-entreprises et petites entreprises du périmètre direct de NIS2. Mais la realite est plus nuancee. Décryptage pour les PME et ETI.
Le principe : les critères de taille
Sont concernees les entités operant dans l'un des 18 secteurs ET depassant les seuils suivants :
- Moyenne entreprise : 50+ salariés OU CA > 10 millions d'euros
- Grande entreprise : 250+ salariés OU CA > 50 millions d'euros
Les entreprises sous ces seuils sont en principe exclues, sauf exceptions.
Les exceptions qui concernent les PME
- Fournisseurs DNS, registres TLD, services de confiance : concernes quelle que soit la taille
- Opérateurs de communications electroniques : idem
- Administration publique : certaines petites collectivités
- Entités désignées par l'État : l'autorite nationale peut ajouter des entités critiques au cas par cas
La pression indirecte : supply chain
Meme hors périmètre direct, les PME sous-traitantes d'entités NIS2 subissent une pression contractuelle croissanté. L'article 21.2.d'impose aux entités NIS2 d'évaluer la sécurité de leur chaîne d'approvisionnement. Concretement, vos clients NIS2 vous demanderont des audits, des engagements contractuels, voire des certifications.
Ce que les PME doivent faire
- Vérifier votre éligibilité : quiz d'auto-diagnostic
- Anticiper la pression supply chain : documenter votre posture cyber
- Profiter des aides : MonAideCyber (gratuit), IA Booster BPI France, aides regionales
- Certifications legeres : Cyber Essentials, SecNumCloud pour les hebergeurs
Voir le périmètre NIS2, le ReCyF et le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, considerant 7, articles 2-3
- ANSSI, MonAideCyber