ISGroup Conseil en Cybersécurité

Les petites et moyennes entreprises (PME) sont-elles couvertes par la directive NIS2 ?

L’application de la directive NIS2 aux PME n’est pas universelle et dépend de plusieurs facteurs, notamment le secteur, la taille de l’entreprise et le profil de risque.

Règle générale : La directive s’applique principalement aux entreprises de taille moyenne et grande dans les secteurs énumérés aux annexes I et II. Cela implique que les petites entreprises ne sont généralement pas concernées par le champ d’application, sauf exceptions spécifiques mentionnées ci-dessous.

  • Seuil dimensionnel : La directive s’applique aux entités considérées comme des « moyennes entreprises » telles que définies dans la Recommandation 2003/361/CE ou de taille supérieure.
  • Inclusion sectorielle : Les PME opérant dans certains secteurs sont toujours couvertes par la directive NIS2, indépendamment de leur taille. Parmi ces secteurs, on trouve :
    • Les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public ;
    • Les prestataires de services de confiance ;
    • Les entités fournissant des services d’enregistrement de noms de domaine.
  • Infrastructures critiques : Les PME identifiées comme « entités critiques » au sens de la directive CER (Critical Entities Resilience) sont également couvertes par la NIS2, quelle que soit leur taille. Cela souligne l’interconnexion entre la résilience physique et cybernétique pour les infrastructures critiques.
  • PME à haut risque : Les États membres ont la faculté d’identifier des entités de plus petite taille présentant un profil de risque élevé qui doivent être soumises aux obligations de la directive. Cette disposition reconnaît que la taille n’est pas le seul facteur déterminant pour le risque de cybersécurité.

Note importante : Bien que les PME puissent ne pas entrer directement dans le champ d’application de la NIS2, la directive les encourage à adopter des pratiques de cybersécurité robustes. Par exemple, les grandes entreprises soumises à la NIS2 doivent gérer les risques de cybersécurité au sein de leurs chaînes d’approvisionnement, ce qui influence indirectement la posture de cybersécurité de leurs fournisseurs PME. Si votre entreprise se trouve dans une zone grise ou souhaite vérifier précisément son périmètre, il peut être utile d’entamer un parcours structuré de conformité à la NIS2 avec l’aide d’experts.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *