NIS2 : directive européenne cybersécurité pour PME espagnoles
Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.
Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.
NIS2 est la directive européenne 2022/2555 qui remplace NIS (2016). Depuis 2026, elle oblige les PME essentielles et importantes des secteurs critiques (energie, eau, transport, banque, sante, infrastructure numérique) dans toute l'UE.
NIS2 (Directive UE 2022/2555) est la deuxieme directive européenne de cybersécurité. Elle remplace NIS (2016) et a ete transposee en Espagne en 2026. A la difference de NIS, NIS2 inclut aussi les PME essentielles et importantes dans des secteurs elargis : alimentation critique, produits chimiques, fabrication d'equipements medicaux, dechets. Amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires. Elle exige des mesures techniques et organisationnelles de gestion du risque, la notification des incidents en 24 heures, et la responsabilité personnelle de la direction. ISO 27001 + ISO 22301 couvrent environ 75 % des exigences NIS2.
Quelles PME espagnoles sont concernees par NIS2 ?
Entités essentielles (>250 salariés ou >50 M EUR de CA) dans les secteurs : energie, transport, banque, sante, eau, infrastructure numérique, espace. Entités importantes (50-250 salariés ou 10-50 M EUR) dans des secteurs elargis : alimentation critique, produits chimiques, postal/courrier, dechets, fabrication d'equipements medicaux. Certaines petites PME en infrastructure numérique entrent aussi dans le périmètre.
Quelles obligations techniques impose NIS2 ?
Dix domaines : politique de sécurité des systèmes, gestion des incidents (notification 24h INCIBE/CCN-CERT), continuité d'activité et reprise après sinistre, chaine d'approvisionnement (fournisseurs et dependances), sécurité dans l'acquisition et le développement des systèmes, évaluation de l'efficacite, pratiques de cyber-hygiene de base et formation, chiffrement, contrôle d'acces et authentification multifacteur, communications securisees.
Que se passe-t-il si une PME ne respecte pas NIS2 ?
Amendes administratives jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le plus eleve). Responsabilité personnelle de l'organe de direction : la direction peut être personnellement responsable si elle ne deploie pas les mesures. Suspension d'activité dans les cas graves.
Sources officielles
Foire aux questions
Comment cela s'applique a ma PME ?
Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.
Quel est le coût en 2026 ?
Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.
Quelle réglementation espagnole s'applique ?
BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.
Combien de temps prend la mise en oeuvre ?
En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.
Peut-on cofinancer via Kit Digital ou Kit Consulting ?
Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro