La cybersécurité n’est plus seulement l’affaire du service technique. Pour plusieurs entreprises en Grèce, elle est devenue une obligation juridique, un sujet de direction et une question de continuité d’activité. La directive NIS2 et la loi grecque 5160/2024 changent la manière dont les cyberrisques sont traités dans des secteurs critiques : énergie, transports, santé, services financiers, infrastructures numériques, alimentation, services de courrier, construction, recherche, fabrication de certains produits et autres activités susceptibles d’affecter la vie économique et sociale.
En termes simples, l’État ne demande plus seulement : « avez-vous un antivirus ? ». Il demande si l’entreprise sait quels systèmes elle possède, quels fournisseurs ont accès, qui décide lors d’un incident, quand l’autorité est informée, s’il existe des sauvegardes, si la direction a approuvé des politiques et si tout cela peut être prouvé.
La NIS2 n’est pas une simple liste de contrôle technique
La direction a besoin d’une vision documentée des systèmes, fournisseurs, sauvegardes, rôles, incidents et signalements. Cela signifie décisions, dossiers et contrôle d’application, pas seulement achat d’un nouveau logiciel.
Le présent article explique concrètement qui est concerné par la NIS2 en Grèce, ce qu’une entreprise doit contrôler et quelles premières étapes ont du sens avant que le sujet ne devienne urgent.
Qu’est-ce que la NIS2 et pourquoi nous concerne-t-elle maintenant ?
La NIS2 est la deuxième directive européenne relative à la sécurité des réseaux et des systèmes d’information. Elle a remplacé l’ancienne NIS1 et a sensiblement élargi le champ d’application. La Grèce l’a transposée en droit national par la loi 5160/2024, publiée au Journal officiel grec A’ 195/27.11.2024.
L’idée centrale est simple : lorsqu’une entreprise ou un organisme fournit un service critique pour le marché, la société ou le fonctionnement public, il ne peut pas traiter la cybersécurité comme une dépense optionnelle. Il doit disposer d’un système organisé de prévention, de gestion des risques, de réponse aux incidents et de notification des événements graves.
La NIS2 ne concerne pas seulement les « grandes banques » ou les « organismes publics ». Elle concerne aussi des entreprises privées actives dans certains secteurs et remplissant des critères de taille ou des conditions particulières. C’est pourquoi la première question pratique pour chaque entreprise est : « suis-je dans le champ d’application ou non ? »
Quelles entreprises peuvent être concernées ?
La loi grecque s’organise autour de deux catégories : les « entités essentielles » et les « entités importantes ». Ce ne sont pas de simples étiquettes. La catégorie influence le degré de supervision, les obligations et la manière dont l’entreprise doit organiser sa conformité.
En règle générale, deux éléments sont examinés : le secteur d’activité et la taille de l’entreprise. Les moyennes et grandes entreprises dans des secteurs critiques sont les premières à devoir faire un contrôle d’assujettissement. Il existe toutefois des cas où l’assujettissement peut s’appliquer indépendamment de la taille, notamment pour certains fournisseurs de services numériques ou électroniques, prestataires de services de confiance, registres de noms de domaine et services DNS.
Tableau indicatif de contrôle
| Question | Pourquoi c’est important | Démarche pratique |
|---|---|---|
| Dans quel secteur l’entreprise exerce-t-elle ? | La NIS2 s’applique à des secteurs spécifiques de haute criticité ou d’autre criticité. | Comparez les codes d’activité, l’activité réelle et les contrats avec les annexes de la loi 5160/2024. |
| Est-ce une moyenne ou grande entreprise ? | La taille est un critère central d’assujettissement pour de nombreuses catégories. | Vérifiez le nombre de salariés, le chiffre d’affaires et le bilan selon les critères PME. |
| Fournit-elle un service critique à d’autres entreprises ? | L’impact d’une interruption peut augmenter l’importance de l’entité. | Cartographiez les clients, SLA, services publics et dépendances critiques. |
| Dispose-t-elle d’infrastructures numériques, de cloud, de services managés ou de services de sécurité ? | Les fournisseurs numériques sont particulièrement importants dans la NIS2. | Vérifiez si vous relevez des fournisseurs DNS, cloud, data center, MSP, MSSP ou places de marché en ligne. |
| Existe-t-il une obligation d’inscription sur la plateforme d’auto-déclaration ? | L’inscription est une obligation juridique pour les entités assujetties. | Faites une évaluation documentée et, lorsque c’est requis, une inscription sur nis2register.cyber.gov.gr. |
Exemples d’entreprises qui doivent examiner sérieusement la NIS2
Une société de messagerie avec un vaste réseau de distribution ne risque pas seulement une perte d’e-mails. Si le système de routage, de suivi des colis ou de facturation tombe, l’interruption peut affecter les clients, les partenaires et le marché. Une entreprise alimentaire avec une production industrielle n’a pas seulement un risque commercial. Si un incident affecte une ligne de production, la traçabilité ou la chaîne du froid, le problème peut devenir opérationnel et réglementaire.
Il en va de même pour les fournisseurs de technologie. Une société offrant de l’IT managé à de nombreux clients peut devenir le « couloir central » d’une attaque. Si l’outil de gestion à distance est compromis, ce n’est pas seulement elle qui est affectée, mais aussi ses clients. C’est là que la NIS2 insiste sur la sécurité de la chaîne d’approvisionnement et sur les relations avec les fournisseurs directs ou prestataires de services.
En pratique, beaucoup d’entreprises grecques ne trouveront pas la réponse seulement à partir de leur intitulé. Elles devront regarder ce qu’elles font réellement. Une « société informatique » qui vend du matériel au détail n’est pas la même chose qu’une société qui exploite des services cloud, un data center, des services de cybersécurité ou de gestion d’infrastructures pour des clients critiques.
Que signifient « entité essentielle » et « entité importante » ?
Les entités essentielles sont liées à un degré plus élevé de criticité. En pratique, cela signifie une attention renforcée, une plus grande probabilité de supervision préventive et des exigences de documentation plus élevées. Les entités importantes ne sont pas une catégorie « légère ». Elles ont elles aussi des obligations substantielles, même si la manière de superviser et l’intensité des contrôles peuvent différer.
La différence compte aussi pour les amendes. Pour les violations liées aux mesures de gestion des risques ou aux obligations de notification des incidents, la loi 5160/2024 prévoit des plafonds pouvant atteindre, pour les entités essentielles, 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial, et pour les entités importantes, 7 000 000 euros ou 1,4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
Ces montants ne signifient pas que chaque violation entraîne automatiquement l’amende maximale. Ils signifient toutefois que la conformité ne peut pas rester dans un dossier de politiques générales. La direction doit pouvoir montrer qu’elle a compris le risque, approuvé des mesures, alloué des ressources et suivi l’application.
La plateforme d’auto-déclaration et la première obligation administrative
L’Autorité nationale grecque de cybersécurité a mis en service une plateforme d’enregistrement des entités pour la loi 5160/2024. L’inscription ne concerne pas les personnes physiques, mais les personnes morales et organismes relevant du champ d’application. La plateforme demande des éléments tels que les informations de base de l’entité, le représentant légal, le type de services, les plages IP et les noms de domaine.
C’est important parce que cela montre la logique de la loi. L’autorité ne veut pas seulement savoir « qui existe ». Elle veut avoir une image des surfaces numériques qui soutiennent des services critiques. Une entreprise qui n’a pas recensé les domaines, systèmes, IP publiques, fournisseurs et points d’accès aura des difficultés à la fois pour l’inscription et pour la conformité substantielle.
La bonne approche n’est pas « inscrivons-nous vite et nous verrons ». Elle consiste à faire un contrôle interne : assujettissement, catégorie, services, systèmes, responsables, fournisseurs, données qui seront soumises et procédure de mise à jour en cas de changement.
Que doit faire concrètement une entreprise ?
La NIS2 n’exige pas les mêmes outils de toutes les entreprises. Elle exige toutefois des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées. Cela signifie qu’une entreprise de 250 salariés, avec un ERP cloud, des systèmes de production et des dizaines de fournisseurs, ne peut pas avoir la même maturité qu’un petit bureau. La proportionnalité n’est pas une excuse pour l’inaction. C’est un moyen de concevoir des mesures adaptées au risque réel.
Premières étapes de conformité
| Étape | Ce que nous faisons | Ce qui doit rester comme preuve |
|---|---|---|
| 1. Contrôle d’assujettissement | Nous vérifions le secteur, la taille, les services et les catégories spéciales. | Court mémo d’assujettissement avec documentation juridique et technique. |
| 2. Cartographie des systèmes | Nous recensons les systèmes critiques, domaines, IP, applications, cloud, sauvegardes. | Registre des actifs, schéma réseau, liste des fournisseurs et responsables. |
| 3. Évaluation des risques | Nous évaluons probabilité, impact et priorités des risques. | Tableau des risques, date, participants, décision de direction. |
| 4. Plan de traitement des risques | Nous choisissons les mesures : MFA, sauvegardes, journalisation, patching, sécurité des endpoints, réponse aux incidents. | Plan d’action avec responsable, échéance et statut. |
| 5. Procédure de réponse aux incidents | Nous définissons qui fait quoi lors d’un incident. | Playbook, liste de contacts, modèle de notification, exercices. |
| 6. Formation | Nous formons la direction et le personnel au moins chaque année. | Feuilles de présence, support de formation, petits tests de compréhension. |
| 7. Contrôle des fournisseurs | Nous intégrons des exigences de sécurité pour IT, cloud, ERP, MSP, MSSP, paie, logistique. | Clauses contractuelles, questionnaires sécurité, SLA, DPA lorsque nécessaire. |
Les mesures ne sont pas seulement techniques
Beaucoup d’entreprises entendent « cybersécurité » et pensent firewall. La NIS2 est plus large. Elle comprend des politiques d’analyse des risques, la gestion des incidents, la continuité d’activité, les sauvegardes et la restauration, la sécurité de la chaîne d’approvisionnement, le développement et la maintenance sécurisés des systèmes, l’évaluation de l’efficacité des mesures, l’hygiène cyber, la formation, le chiffrement, le contrôle d’accès, la gestion des actifs et l’authentification multifacteur.
Le point critique est le lien entre mesures techniques et responsabilité de direction. Si l’entreprise a du MFA mais ne sait pas sur quels comptes il n’est pas appliqué, il y a une lacune. Si elle a des sauvegardes mais n’a jamais testé la restauration, il y a une lacune. Si elle a un prestataire IT mais aucun contrat indiquant quand il doit signaler un incident, il y a une lacune. Si elle a une politique de sécurité mais que les salariés ne la connaissent pas, il y a une lacune.
La décision ministérielle conjointe 1689/2025 sur le Cadre national des exigences de cybersécurité rend cette logique encore plus pratique. Elle parle de mesures techniques, opérationnelles et organisationnelles, d’une approche globale du risque, de proportionnalité et d’éléments probants : politiques, procédures, procès-verbaux du conseil d’administration, contrats, attestations de formation, schémas réseau, plans de continuité d’activité, rapports de contrôles et autres éléments montrant que la conformité est appliquée.
Notification des incidents : les délais de 24 heures et 72 heures
L’un des points les plus pratiques et les plus difficiles est la notification des incidents importants. La loi prévoit que les entités essentielles et importantes notifient les incidents importants à la CSIRT compétente de l’Autorité nationale de cybersécurité. Est notamment considéré comme important un incident qui a causé ou peut causer une perturbation opérationnelle grave ou un dommage financier, ou affecter d’autres personnes physiques ou morales par un dommage matériel ou immatériel significatif.
La pression temporelle est forte. Une alerte précoce doit être soumise sans retard injustifié et, en tout état de cause, dans les 24 heures à compter du moment où l’entité a eu connaissance de l’incident important. Une notification plus complète de l’incident doit suivre dans les 72 heures. Un rapport final est, en règle générale, soumis au plus tard dans le mois suivant la notification.
Cela signifie que la réponse aux incidents ne peut pas être rédigée après l’événement. Elle doit exister avant. Qui décide qu’un incident est « important » ? Qui parle avec l’équipe technique ? Qui informe le conseiller juridique, le DPO, la direction, les clients ou l’autorité ? Qui conserve les éléments sans altérer les preuves ? Si cela n’est pas décidé à l’avance, les premières 24 heures sont perdues.
NIS2, RGPD et données personnelles
La NIS2 ne supprime pas le RGPD. Ils fonctionneront souvent ensemble. Un ransomware dans un ERP peut être à la fois un incident de cybersécurité et une violation de données personnelles. Une fuite de données clients peut devoir être évaluée à la fois au regard du RGPD et de la loi 5160/2024, si l’entreprise est une entité essentielle ou importante.
La conséquence pratique est que l’entreprise doit coordonner trois rôles : équipe technique ou IT externe, conseiller juridique et responsable de la protection des données lorsqu’il existe. Il ne suffit pas que l’IT « bouche le trou ». Il faut évaluer s’il existe une obligation de notification, quels éléments existent, qui a été affecté, ce qui doit être dit et dans quel délai.
Contrats avec les fournisseurs : le point souvent oublié
La chaîne d’approvisionnement est l’un des points les plus importants de la NIS2. En pratique, de nombreuses attaques passent par des fournisseurs : outils d’accès à distance, consoles cloud, logiciel ERP, services e-mail, hébergement, gestion de domaines, support externalisé, services de sauvegarde. Si le fournisseur a un contrôle d’accès faible, une mauvaise gestion des mises à jour ou tarde à notifier, l’entreprise principale est exposée.
Les contrats avec les prestataires IT doivent devenir plus précis. Ils doivent définir les niveaux de sécurité, l’obligation de notifier les incidents, les temps de réponse, les responsabilités lors d’une analyse forensic, l’accès aux logs, la politique de sauvegarde, la géographie du stockage des données, les obligations des sous-traitants et la procédure de sortie. Ce n’est pas un « détail juridique ». C’est la différence entre une entreprise qui sait qui fait quoi et une entreprise qui cherche ses contrats pendant la crise.
Exemple pratique
Prenons une entreprise grecque moyenne de logistique qui utilise un ERP cloud, une application de commandes, un système de tracking, une messagerie d’entreprise, des terminaux dans les entrepôts et un prestataire IT externe. La direction considère que « le prestataire s’en occupe ». En réalité, l’entreprise doit savoir si elle relève de la NIS2, quels systèmes sont critiques, quelles données elle conserve, quelle interruption arrêterait les livraisons et qui dispose de droits administrateur.
La première étape sérieuse n’est pas d’acheter encore un outil. C’est de produire une cartographie : systèmes, rôles, fournisseurs, risques, sauvegardes, accès, contrats, plan d’incident. Ensuite, elle peut fixer les priorités : MFA sur tous les comptes critiques, limitation des droits administrateur, test de restauration des sauvegardes, journalisation, protection des endpoints, patch management, formation du personnel, clauses avec les fournisseurs et exercice de réponse aux incidents.
En cas d’incident, l’entreprise pourra répondre : quand elle en a eu connaissance, ce qui a été affecté, si l’incident est important, qui a été informé, quelles mesures ont été prises, quels éléments ont été conservés et s’il existe une obligation de notification. C’est la valeur pratique de la conformité.
Ce qu’une entreprise doit faire dès demain matin
Il n’est pas nécessaire de commencer par un programme parfait. Il faut commencer dans le bon ordre.
Premièrement, effectuer un contrôle d’assujettissement selon le secteur, la taille et les services réels. Deuxièmement, désigner un responsable de projet avec participation de la direction, pas seulement de l’IT. Troisièmement, recenser les systèmes critiques, fournisseurs, domaines et plages IP. Quatrièmement, préparer une évaluation des risques et un plan d’action. Cinquièmement, vérifier s’il existe une obligation d’inscription sur la plateforme d’auto-déclaration. Sixièmement, créer un playbook de réponse aux incidents avec procédure 24/72 heures. Septièmement, réviser les contrats avec les fournisseurs clés.
Le critère le plus utile est simple : si demain l’accès à l’e-mail, à l’ERP ou à un système de production est perdu, savons-nous qui décide, qui informe, qui restaure et ce qui doit être notifié ? Si la réponse est non, l’entreprise a du travail.
Questions fréquentes
La NIS2 concerne-t-elle les petites entreprises ?
En règle générale, elle vise principalement les moyennes et grandes entreprises dans certains secteurs critiques. Il existe toutefois des cas particuliers où l’assujettissement peut s’appliquer indépendamment de la taille, notamment pour certains services numériques. Une petite entreprise qui est fournisseur d’une entité essentielle ou importante peut aussi recevoir des exigences contractuelles plus strictes, même si elle n’est pas directement assujettie.
Si nous avons ISO 27001, sommes-nous couverts ?
L’ISO 27001 aide beaucoup, mais elle ne constitue pas une exemption automatique. Il faut faire correspondre les contrôles aux exigences de la loi 5160/2024 et de la décision ministérielle conjointe 1689/2025, notamment pour le reporting, la responsabilité de direction, la chaîne d’approvisionnement et la documentation.
Devons-nous toujours informer l’autorité pour chaque problème technique ?
Non. L’obligation concerne les incidents importants, c’est-à-dire les incidents avec une conséquence opérationnelle, financière ou autre grave, comme le prévoit la loi. C’est pourquoi il faut un critère interne d’évaluation, et non de la panique à chaque alerte.
Qui doit prendre en charge le sujet dans l’entreprise ?
L’équipe technique est indispensable, mais la responsabilité n’est pas seulement technique. La direction, le conseiller juridique, la direction financière, le DPO lorsqu’il existe, les responsables opérationnels et les achats doivent participer. La NIS2 est un programme de gestion des risques, non un projet IT isolé.
Qu’est-ce qu’une entreprise risque de payer ?
La loi prévoit des plafonds d’amendes élevés, surtout pour les violations des mesures de gestion des risques et des obligations de notification des incidents. Au-delà des amendes, il existe un coût réel : interruption d’activité, perte de clients, indemnisations, contrôles, publication de violations et coût de restauration.
Conclusion
La NIS2 en Grèce n’est pas un papier de conformité de plus. C’est un changement de mentalité. L’entreprise doit connaître ses systèmes, évaluer les risques, former ses équipes, contrôler ses fournisseurs, disposer d’un plan d’incident et pouvoir prouver que tout cela est appliqué.
Pour les entreprises concernées, le pire scénario est d’attendre le premier incident grave pour s’organiser. Le meilleur est de commencer par un contrôle d’assujettissement clair et un plan de conformité pratique. Non pour remplir des dossiers, mais pour pouvoir continuer à fonctionner lorsque quelque chose tourne mal.
Sources et références utiles
- Autorité nationale grecque de cybersécurité, Directive NIS2 : Autorité nationale de cybersécurité - Directive NIS2
- Plateforme d’enregistrement des entités de la loi 5160/2024 : Plateforme d’enregistrement des entités NIS2
- FAQ de la plateforme NIS2 : https://nis2register.cyber.gov.gr/app/content/faq/FAQs_NIS2.pdf
- Loi 5160/2024, Journal officiel grec A’ 195/27.11.2024 : Loi 5160/2024 - transposition de NIS2 en Grèce
- Décision ministérielle conjointe 1689/2025, Cadre national des exigences de cybersécurité : https://cyber.gov.gr/wp-content/uploads/2025/05/20250202186.pdf
- Commission européenne, NIS2 Directive : https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- EUR-Lex, Directive (UE) 2022/2555 : Directive (UE) 2022/2555 - NIS2
Comments
Share your thoughts about this article.
No comments yet. Be the first to comment.
Submit a comment