La conformité NIS2 pour les petites entreprises — un guide en langage clair (2026) | Scanthra

Scanthra · 8 min de lecture · Mis à jour Mai 2026

Qu'est-ce que NIS2 et où s'applique-t-il ?

NIS2 est la directive de l'UE sur la sécurité des réseaux et des systèmes d'information (Directive (UE) 2022/2555). Elle remplace la NIS1 originale de 2016, élargit considérablement le périmètre, relève le niveau de base des mesures de sécurité requises et introduit la responsabilité personnelle des organes de direction.

Chaque État membre de l'UE devait transposer NIS2 en droit national avant le 17 octobre 2024. En pratique, les lois nationales ont atterri en vagues tout au long de 2024–2026. Quelques exemples des noms locaux que tu peux rencontrer :

• Pologne — amendement à la loi sur la cybersécurité (Krajowy System Cyberbezpieczeństwa), en vigueur depuis le 3 avril 2026.
• Allemagne — NIS2-Umsetzungsgesetz (NIS2UmsuCG).
• France — mise en œuvre via la Loi de transposition NIS2 supervisée par l'ANSSI.
• Italie — Decreto Legislativo transposant la directive, supervisé par l'ACN.
• Espagne, Pays-Bas, Belgique, Nordiques… — chacun a sa propre loi avec le même contenu minimum.

En dehors de l'UE, des régimes similaires émergent — le Cyber Security and Resilience Bill du Royaume-Uni, la loi sur la sécurité de l'information de Suisse, et plusieurs pays hors UE alignent le langage des questionnaires fournisseurs sur NIS2 même là où il ne s'applique pas légalement. Si tu vends dans l'UE depuis n'importe où dans le monde, tes clients te poseront éventuellement des questions sur les mesures de l'article 21.

Suis-je dans le périmètre ?

Directement : seulement si tu es une entité essentielle ou importante. Ça concerne principalement les entreprises de taille moyenne et grande (≥50 employés ou ≥10 M€ de chiffre d'affaires) dans des secteurs comme l'énergie, le transport, la banque, la santé, l'infrastructure numérique, l'administration publique, les services postaux, les déchets, la fabrication de produits critiques, l'alimentation, la chimie, la recherche et les fournisseurs numériques (cloud, places de marché, moteurs de recherche).

Indirectement : tout fournisseur ou sous-traitant d'une entité dans le périmètre. L'article 21(2)(d) de NIS2 exige que les entités dans le périmètre traitent la sécurité de la chaîne d'approvisionnement. En pratique, ça signifie que tes clients entreprises t'enverront un questionnaire de sécurité et un avenant au contrat te demandant de démontrer les mêmes contrôles — correctifs, en-têtes, MFA, réponse à incident — même si ta société compte 5 employés et est basée hors de l'UE.

Les 7 mesures de l'article 21 pertinentes pour ton site

Parmi les 10 mesures minimales de l'article 21(2) de NIS2, sept correspondent à des choses que tu peux observer et améliorer sur un site web :

1. Cryptographie & chiffrement — TLS/SSL (chiffrement) moderne, HSTS (forçage HTTPS), pas de SSLv3/TLS 1.0/1.1.
2. Gestion des vulnérabilités et divulgation — maintiens le CMS (système de gestion de contenu) et les composants sur des versions supportées et à jour ; publie un contact de sécurité ou un security.txt.
3. Contrôle d'accès — URLs d'administration non indexées publiquement, pas de fichiers .git / .env / de sauvegarde exposés.
4. Communications sécurisées — HTTPS uniquement, cookies sécurisés, CSP (Content Security Policy) et Permissions-Policy sensés.
5. Protection des données — pages de débogage désactivées, pas de traces de pile exposées, pas d'adresses IP internes dans les en-têtes.
6. Sécurité de la chaîne d'approvisionnement — dépendances et versions connues, pas de données clients exposées via des sous-domaines.
7. Authentification des e-mails — SPF, DKIM, DMARC (protection e-mail) pour que les incidents ne se propagent pas par des mails usurpés.

Le kit de démarrage NIS2 peu coûteux (moins de 4 heures de travail)

Ces cinq actions couvrent la plupart des lacunes « on attendait mieux » dans un questionnaire NIS2 typique pour petite entreprise — quel que soit le pays :

1. Active les mises à jour automatiques pour ton CMS, tes thèmes et tes extensions.
2. Ajoute les en-têtes HSTS (forçage HTTPS), CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Consulte notre guide CSP.
3. Configure SPF, DKIM et DMARC (protection e-mail) sur ton domaine. Consulte notre guide d'authentification e-mail.
4. Supprime ou bloque .env, .git/, /backup.sql, /wp-config.php.bak et autres fichiers « accidentellement exposés ».
5. Publie /.well-known/security.txt avec un contact e-mail et ta politique de divulgation des vulnérabilités.

Un plan de réponse à incident 24/72 heures qui tient sur une page

Même hors périmètre, avoir ce document prêt devient un avantage concurrentiel quand un client entreprise le demande. Les fenêtres de 24/72 heures ci-dessous viennent directement de l'article 23 de NIS2 :

• Heure 0 : Identifie l'incident. Prends un instantané.
• Heures 1–4 : Contenir — fais pivoter les identifiants, isole le service affecté.
• Heures 4–24 : Notifie (les responsables internes, l'hébergeur, l'autorité de protection des données si des données personnelles sont touchées, les clients si leurs données sont concernées). NIS2 appelle ça l'« alerte précoce ».
• Heures 24–72 : Dépose un rapport formel auprès de ton CSIRT national si tu es dans le périmètre.
• Jour 7+ : Analyse des causes racines, post-mortem, mise à jour du guide. NIS2 exige un rapport final au plus tard un mois après la notification.

Chaque État membre gère son propre portail de signalement — CSIRT NASK en Pologne, BSI en Allemagne, ANSSI/CERT-FR en France, CSIRT Italia, NCSC-NL aux Pays-Bas, etc. L'ENISA maintient un répertoire central. Même si tu n'es pas dans le périmètre, avoir l'URL et tes identifiants de compte prêts évite de chercher en panique le pire jour de l'année.

Ce que NIS2 n'est pas explicitement

Quelques idées reçues :

• Ce n'est pas une certification ponctuelle. Il n'y a pas de « tampon NIS2 » — tu dois démontrer une pratique continue.
• Ça ne remplace pas le RGPD. Les deux coexistent ; les incidents impliquant des données personnelles peuvent déclencher les deux régimes.
• Ça n'exige pas d'acheter un logiciel spécifique. L'article 21 est technologiquement neutre.
• Ce n'est pas « uniquement européen » dans ses effets. Les fournisseurs hors UE qui vendent dans l'UE reçoivent régulièrement des questionnaires aux formes NIS2 de leurs clients européens.

Comment Scanthra aide

Chaque rapport PDF Scanthra inclut désormais une section Conformité NIS2 qui cartographie les résultats de ton scan sur les sept catégories de l'article 21 pertinentes pour les sites web ci-dessus, avec un statut par catégorie (OK, attention, lacune) et un score global. Le mapping est vers la directive UE elle-même, donc il est utile quelle que soit la transposition de l'État membre qui s'applique à toi — et que tu sois dans l'UE ou non. Ce n'est pas un avis juridique ni un substitut à un audit, mais c'est une contribution technique utile que tu peux joindre à une réponse de questionnaire fournisseur ou partager avec ton consultant en sécurité.

Cet article est fourni à titre d'information générale et ne constitue pas un conseil juridique. Pour une interprétation contraignante de NIS2 dans ta juridiction, consulte un avocat qualifié ou ton autorité nationale de cybersécurité.