Directive NIS 2 : nouvelles obligations de signature électronique pour les PME

La directive NIS 2 (Network and Information Systems, soit la sécurité des réseaux et des systèmes d'information) est un texte de l'Union européenne qui vise à élever le niveau global de sécurité numérique au sein des États membres. Elle crée un cadre commun pour mieux protéger les réseaux, les systèmes d'information et les services essentiels face à la montée des risques cyber. La Commission européenne la présente comme un socle juridique commun couvrant 18 secteurs critiques à l'échelle de l'UE.

L'objectif de la directive européenne NIS 2 est de relever le niveau global de sécurité en matière de systèmes d'information. Pour cela, elle impose une meilleure prévention des incidents, une capacité de réaction plus structurée, ainsi qu'une notification plus claire en cas d'incident significatif. L'ANSSI souligne que cette directive vise à harmoniser et renforcer les règles européennes de cybersécurité.

La directive accorde aussi une place importante à la continuité d'activité, à la protection des informations sensibles et à la coopération entre acteurs publics et privés au sein de l'Union européenne. Elle ne traite donc pas seulement de technique : elle encadre aussi l'organisation de la sécurité dans l'entreprise.

NIS 2 change la donne parce qu'elle élargit le nombre d'entités concernées et renforce les attentes en matière d'application, de gouvernance et de suivi. Pour certaines sociétés, la cybersécurité n'est plus seulement un sujet IT : elle devient un sujet de direction, de conformité et de pilotage.

Les structures visées doivent mieux formaliser leurs procédures, sécuriser leurs usages du numérique et intégrer la sécurité dans leurs pratiques du quotidien. Même pour des PME, l'impact peut être réel sur l'organisation interne, les outils utilisés et les responsabilités des dirigeants.

La première différence tient au périmètre. NIS 2 couvre davantage de secteurs et d'entités que la première directive. Le cadre ne vise plus seulement un nombre limité d'acteurs jugés critiques : il s'étend à un ensemble plus large d'organisations, avec une distinction entre entités essentielles et entités importantes. Le champ d'application de la directive augmente mécaniquement le nombre de sociétés concernées dans l'Union européenne.

NIS 2 va aussi plus loin sur le fond. La directive détaille davantage les mesures à mettre en place en matière de sécurité, de gestion des risques, de notification des incidents, de continuité d'activité et de protection des systèmes d'information. L'objectif est d'avoir un cadre plus homogène entre les États membres et une meilleure application des règles.

Avec NIS 2, les organes de direction doivent approuver les mesures de cybersécurité et superviser leur mise en œuvre. La conformité ne repose donc plus uniquement sur les équipes techniques : elle devient un sujet de gouvernance, avec un impact direct sur le pilotage de l'entreprise.

La directive distingue deux grandes catégories : les entités essentielles et les entités importantes. Cette distinction permet d'adapter le niveau de supervision et certaines modalités de contrôle selon le rôle joué par l'organisation et le secteur dans lequel elle opère.

NIS 2 vise des secteurs considérés comme critiques ou sensibles pour le fonctionnement de l'économie et des services. On y retrouve notamment l'énergie, les transports, la santé, les infrastructures numériques, l'eau, le secteur financier, l'administration publique ou encore certains services postaux et de gestion des déchets. La directive couvre au total 18 secteurs à l'échelle de l'Union européenne.

Toutes les PME ne sont pas automatiquement visées. En pratique, tout dépend de l'activité, du secteur, de la taille de la structure (au-delà de 250 salariés ou 50 millions d'euros de chiffre d'affaires) et parfois de son rôle dans la chaîne de valeur. Certaines sociétés de taille intermédiaire ou certaines PME peuvent donc entrer dans le champ d'application de la directive NIS 2, même si elles ne se considèrent pas spontanément comme des acteurs cyber sensibles. L'ANSSI propose d'ailleurs des ressources pour aider les organisations à vérifier si elles sont concernées.

La directive NIS 2 impose aux entités concernées de mettre en place des mesures de sécurité adaptées à leurs risques. Cela couvre notamment la gestion des incidents, la protection des systèmes d'information, la sécurité de la chaîne d'approvisionnement et la poursuite de l'activité. L'idée est d'avoir une approche structurée, et non seulement réactive, face aux menaces cyber.

NIS 2 impose aussi une meilleure gestion des incidents significatifs. Les entreprises concernées doivent être capables de détecter un incident, d'en mesurer l'impact et d'assurer une notification dans les délais prévus : alerte précoce sous 24 heures, notification détaillée sous 72 heures, et rapport final sous 1 mois. Cette exigence vise à améliorer la circulation de l'information et la réactivité en cas de problème majeur.

La directive demande également de mieux sécuriser les accès, les réseaux et les environnements numériques. Cela passe par des contrôles adaptés, une meilleure protection des informations sensibles et une attention particulière portée aux outils utilisés au quotidien. Pour les entreprises, cela suppose souvent une revue de leurs pratiques et des mesures déjà en place en matière de cybersécurité.

Enfin, NIS 2 renforce le rôle de la direction. Les organes dirigeants doivent approuver les mesures de cybersécurité, suivre leur mise en œuvre et être en mesure d'en superviser l'application. La conformité devient donc un sujet de gouvernance, pas seulement un sujet technique.

Yousign permet de mieux encadrer les validations et approbations réalisées en ligne, grâce à trois niveaux de signature électronique (simple, avancée, et qualifiée), respectant la réglementation européenne eIDAS. Ces signatures s'adaptent à tous les types de document, quel que soit le niveau de protection requis, et renforcent la sécurité des processus de validation exigés par NIS 2.

La traçabilité est un point clé de la cybersécurité et de la conformité aux exigences de NIS 2. Avec Yousign, chaque signature s'accompagne d'éléments de suivi comme l'horodatage et le parcours de validation. Cette visibilité aide les entreprises à mieux documenter leurs flux numériques et à garder une trace claire de qui a validé un document, à quel moment et dans quelles conditions.

À chaque signature finalisée, Yousign génère un dossier de preuve regroupant notamment le journal d'audit, les horodatages, les certificats et d'autres métadonnées utiles. Pour une entreprise, c'est un vrai atout pour sécuriser ses informations, retrouver rapidement des preuves et mieux encadrer ses procédures en cas de contrôle, de litige ou d'incident de sécurité.

Yousign permet d'aller plus loin en matière de conservation des documents signés et des preuves associées. Les dossiers de preuve peuvent être archivés pendant 10 ans, qualifiés eIDAS, et la solution peut s'intégrer aux outils métier via API. Cette mise en conformité facilite le respect des obligations de NIS 2 en matière de gestion documentaire et de traçabilité.

La première étape consiste à vérifier si l'entreprise entre dans le périmètre de la directive NIS 2, selon son activité, sa taille et son secteur. Toutes les PME ne sont pas visées, mais certaines peuvent l'être. L'ANSSI met à disposition le portail MonEspaceNIS2 pour réaliser ce diagnostic.

La PME doit ensuite repérer les systèmes, flux d'information et usages numériques les plus exposés. Cette étape permet de mieux cibler les risques et les points à sécuriser en priorité, conformément aux exigences de gestion des risques de la directive.

La conformité passe aussi par la mise en place de règles internes plus claires : gestion des accès, traitement des incidents, protection des informations et poursuite d'activité. Ces procédures doivent être formalisées et approuvées par la direction.

Enfin, la direction et les équipes doivent comprendre les attentes de NIS 2. La cybersécurité devient un sujet d'organisation et de gouvernance, pas seulement un sujet technique. Les organes de direction doivent superviser activement la mise en conformité NIS 2.

Une entreprise mal préparée peut être plus exposée aux incidents, avec un impact direct sur ses systèmes, ses informations et la continuité de ses services. La non-conformité peut donc révéler des failles dans l'organisation ou dans les mesures de sécurité déjà en place.

NIS 2 implique aussi la direction et les organes de pilotage. En cas de non-conformité, l'entreprise peut se retrouver en difficulté pour démontrer qu'elle a correctement encadré ses risques, ce qui peut fragiliser sa continuité d'activité et sa capacité de réaction.

Enfin, le non-respect de la directive NIS 2 peut exposer certaines entités à des mesures de contrôle, à des sanctions prévues par les États membres (jusqu'à 10 millions d'euros ou 2% du CA mondial pour les entités essentielles, et 7 millions d'euros ou 1,4% du CA pour les entités importantes), et à une perte de confiance de leurs partenaires. Au-delà du cadre légal, c'est aussi un sujet de crédibilité pour l'entreprise.

La directive NIS 2 renforce les attentes en matière de sécurité, de gouvernance et de gestion des incidents pour les entités concernées. Pour les PME visées, l'enjeu est de mieux structurer leurs pratiques, de sécuriser leurs flux d'information et d'impliquer davantage la direction dans le pilotage des risques cyber.

La signature électronique n'est pas une obligation autonome créée par NIS 2, mais elle peut aider à mieux tracer les validations, sécuriser les documents et conserver des preuves fiables. Avec Yousign, les entreprises peuvent renforcer la traçabilité, centraliser les parcours de signature et s'appuyer sur un dossier de preuve utile dans une logique de conformité et de sécurité documentaire conforme aux exigences de la directive européenne NIS.