La directive européenne NIS2 (Network and Information Security 2) renforce considérablement les obligations de cybersécurité pour des milliers d'organisations en France. Si vous dirigez une PME, une collectivité territoriale ou un établissement de santé en Occitanie, il est probable que vous soyez concerné.
1. Qu'est-ce que NIS2 ?
NIS2 est la mise à jour de la directive NIS1 de 2016. Adoptée en janvier 2023, elle élargit considérablement le périmètre des organisations concernées et durcit les sanctions en cas de non-conformité.
L'objectif : élever le niveau global de cybersécurité en Europe, face à une menace qui ne cesse de croître. Les ransomwares ont coûté plus de 2 milliards d'euros aux entreprises françaises en 2024.
2. Qui est concerné en Occitanie ?
NIS2 s'applique désormais à 18 secteurs d'activité, répartis en deux catégories :
Entités essentielles (obligations renforcées)
- Énergie, transports, eau potable
- Santé (hôpitaux, cliniques, laboratoires)
- Administrations publiques (collectivités >30 000 habitants)
- Infrastructures numériques
Entités importantes (obligations standard)
- Services postaux, gestion des déchets
- Industrie manufacturière, agroalimentaire
- Sous-traitants et prestataires des entités essentielles
- PME de >50 salariés ou >10M€ de CA dans les secteurs visés
Point clé : si vous êtes sous-traitant d'une collectivité ou d'un hôpital, vous êtes probablement concerné par NIS2, même si votre activité propre n'est pas dans un secteur visé. La directive couvre la chaîne d'approvisionnement.
3. Quelles obligations concrètes ?
NIS2 impose un socle minimal de mesures de cybersécurité :
- Analyse des risques — cartographie des actifs, évaluation des menaces
- Gestion des incidents — procédure de détection, notification sous 24h à l'ANSSI
- Continuité d'activité — PCA/PRA, sauvegardes testées
- Sécurité de la chaîne d'approvisionnement — audit de vos prestataires
- Gestion des accès — MFA, gestion des identités, principe du moindre privilège
- Chiffrement & politique de sécurité — politique formalisée, révisée régulièrement
- Formation du personnel — sensibilisation régulière à la cybersécurité
4. Quelles sanctions ?
Les sanctions sont significativement renforcées par rapport à NIS1 :
- Entités essentielles : jusqu'à 10 millions d'euros ou 2% du CA mondial
- Entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA mondial
- Responsabilité personnelle du dirigeant en cas de négligence avérée
Bon à savoir : l'ANSSI privilégie l'accompagnement avant la sanction. Les organisations qui démontrent une démarche proactive de mise en conformité bénéficient généralement d'un traitement favorable.
5. Comment se mettre en conformité ?
La mise en conformité NIS2 n'est pas un projet ponctuel — c'est une démarche continue. Voici les étapes clés :
Étape 1 : Diagnostic initial (1 journée)
Qualifier votre assujettissement, inventorier vos actifs critiques, évaluer votre posture de sécurité actuelle. C'est exactement ce que couvre notre audit NIS2 gratuit.
Étape 2 : Plan d'action priorisé (30 jours)
Corriger les vulnérabilités critiques en urgence (MFA, sauvegardes, droits AD), puis déployer les mesures structurelles sur 3 à 12 mois.
Étape 3 : Mise en œuvre technique
Déploiement du SOC 24/7, configuration des sauvegardes et du PRA, mise en place du MFA sur tous les accès, formalisation des politiques de sécurité.
Étape 4 : Suivi continu
Rapports mensuels de sécurité, tests de restauration, campagnes de sensibilisation, veille réglementaire.
L'approche MDO Services : notre offre MDO Souverain (139€ HT/user/mois) couvre nativement les exigences NIS2 : SOC 24/7, sauvegardes avec PRA testé, cloud souverain Jotelulu (données en France), rapports de conformité. Le coût de l'audit est intégralement déduit du premier mois.
6. Spécificités pour les collectivités d'Occitanie
Les collectivités territoriales font face à des défis spécifiques :
- Budgets contraints — nécessité de mutualiser les coûts via des contrats MSP tout inclus
- Obligation de souveraineté — hébergement des données en France (cloud souverain Jotelulu)
- Marchés publics — les labels comme ExpertCyber deviennent des critères de sélection
- Sensibilisation des agents — formation régulière aux bonnes pratiques
En Occitanie, de nombreuses communautés de communes et mairies n'ont aucun référent informatique interne. C'est précisément là qu'un MSP de proximité comme MDO Services fait la différence : un prestataire unique qui gère l'ensemble du SI, de la téléphonie à la cybersécurité.
Prêt à évaluer votre conformité NIS2 ?
Notre diagnostic initial est gratuit et sans engagement. 1h d'entretien, un premier scoring et un plan d'action.
Demander un audit NIS2 gratuit →