L’Espagne arrive plus de 18 mois sans transponeur NIS2. Pendant que BOE espère, les grands clients exigent vos fournisseurs de garanties de sécurité que la majorité de pymes ne peut pas démontrer. Quatre actions concrètes pour modifier cela avant d’appliquer la loi.
Imaginez que l’un de vos clients les plus importants vous envoie une question de sécurité sur ces pages. Il n’y a pas de politique de gestion des risques documentée. Il n’y a pas de registre des incidents. Nous ne savons pas avec certitude si les données que vous gérez sont cifrados en transit et en dépôt. La question a lieu sur la place des deux semaines. Sans réponse satisfaisante, le contrat sera en vigueur.
Cette situation se produit aujourd’hui dans les pymes espagnols de tous les secteurs. Et cela se produira avec beaucoup plus de fréquence lorsque la directive NIS2 — la norme européenne de cybersécurité la plus ambitieuse de la dernière décennie — se terminera par la chaîne de sécurité.
La ley no ha llegado. Les effets, oui.
L’Espagne aura plus de 18 mois de retour sur la transposition de NIS2. La directive européenne a été fixée au 17 octobre 2024 comme limite pour que tous les États puissent se constituer en société dans leur droit national. L’Espagne ne l’a pas complété. L’Antéproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a été approuvé par le Conseil des Ministres en janvier 2025, mais à la date d’aujourd’hui, il n’a pas été remis aux Cortes Generales. La Comisión Europea a émis une directive motivée qui peut dériver en recours devant le Tribunal de Justice de l’UE.
Este retraso no protégé a nadie. Les grandes entreprises et organismes réglementés qui sont sous le paraguay de NIS2 — ou qui anticipent leur application — exigent des garanties de sécurité de la part de leurs fournisseurs. Et cela affecte directement les PYME qui, sur le papier, ne sont pas des « entités essentielles » ni des « entités importantes » selon la directive.
L’effet en cascade : pourquoi NIS2 vous affecte encore sans vous le mentionner
NIS2 est obligatoire pour les entités dans leur objectif de gérer les risques de sécurité de l’ensemble de leur chaîne de fournisseurs et de sous-contractants. Une entreprise de logiciels vendant à un établissement bancaire doit certifier que ses fournisseurs ont des normes minimales. Un intégrateur logistique travaillant avec un grand distributeur devra démontrer que son accès aux systèmes est contrôlé. Le remplissage se fait de l’escalier à l’escalier.
Le mécanisme est direct : le grand client — sujet à NIS2 — traslada ses obligations abajo en forme de clauses contractuelles, de questions, d’auditeurs ou d’exigences de certification. Si vous n’en avez pas besoin, vous êtes déjà un fournisseur éligible. Il n’y a pas d’amenaza future : vous arrivez dans les licitations du secteur public, dans les contrats avec les entreprises financières et dans les secteurs comme l’industrie ou la santé.
Le nombre d’incidents gérés par l’INCIBE — l’Institut national de cybersécurité — a atteint 122 223 en 2025, soit 26 % de plus que l’année précédente. En même temps, la mitad de la pymes espagnole invierte moins de 500 euros annuels en cybersécurité, selon le baromètre de numérisation de la pyme espagnole élaboré par Gigas et Ipsos sur 1.300 entreprises. La rupture entre le risque réel et l’inversion en protection est énorme, et NIS2 — sans transposition formelle — accélère sa correction depuis l’arrivée de la chaîne de valeur.
Cuatro acciones concretas, ordenadas de menor a mayor esfuerzo
La possibilité d’agir avant que la loi soit en vigueur est que vous pouvez faire votre rythme, sans la pression d’un lieu régulateur encima. Ces quatre actions génèrent une valeur immédiate, indépendante du calendrier législatif.
Primera. Documenta ce que tu fais. La majorité des pymes appliquent des contrôles de sécurité raisonnables sans être enregistrés. Tener courrier avec authentification renforcée, copies de sécurité automatiques ou accès restreint aux profils n’ont aucune valeur avant un auditoire s’il n’existe aucune preuve écrite. Dédicace deux tard à l’inventaire des systèmes utilisés, qui ont accès à cela et comment vendre les données de vuestra red. Cet inventaire est le point de départ de toute évaluation des risques et le premier document qui attend un client qui audite.
Seconde. Il y a un simulacre de question du client. Téléchargez la question de la sécurité d’une grande entreprise de votre secteur —beaucoup son public— et répondez-y honnêtement. Las preguntas que no puedas contestar señalan tus brechas reales. Cet exercice a permis de réduire une journée et de produire un diagnostic plus utile que beaucoup d’auditoires formels, car en partie des exigences concrètes du marché, non des cadres théoriques.
Tercera. Définir un protocole minimum de réponse aux incidents. NIS2 exige de notifier les incidents significatifs sur les lieux les plus ajustés : avis initial dans 24 heures, notification complète dans 72 heures. Sans une procédure écrite -quién décide, quién notifica, à quién- le temps est consommé dans le chaos intérieur. Le protocole n’est pas long : les pages avec les rôles, les ombrelles d’activation et les contacts de notification sont suffisants pour effectuer l’opération, ainsi que la différence de forme immédiate avant chaque auditoire.
Cuarta. Attribuez un responsable de sécurité, même si c’est un temps partiel. La directive établit que l’organisme de direction doit vérifier et superviser les mesures de cybersécurité. Cela ne signifie pas embaucher un directeur de sécurité d’un jour complet —pour que la majorité de Pymes n’ait pas de sentiment économique—, mais si quelqu’un dans l’entreprise doit être l’interlocuteur de ces décisions : le responsable informatique, le COO ou un assistant externe. Il est important qu’il existe, qu’il ait une autorité réelle et qu’il participe aux décisions commerciales selon des critères propres.
La responsabilité directe ne disparaît pas pour le retour législatif
NIS2 établit une forme explicite selon laquelle les membres de l’organisme de direction peuvent être considérés comme personnellement responsables du non-respect des obligations de sécurité de votre organisation. Les multiples peuvent gagner les 10 millions d’euros ou les 2% de la facturación mondiale pour les entités essentielles, et les 7 millions pour les importantes. Il n’y a pas de citations abstraites: son cadre que l’Espagne doit incorporer dans sa législation, plus tôt que tard.
NIS2 exige de notifier les incidents significatifs sur les lieux très ajustés : avis initial dans 24 heures, notification complète dans 72 heures
Il existe une tendance compréhensible à penser que, alors que la loi n’est pas publiée au BOE, il n’y a pas d’urgence. C’est une erreur de calcul. Les grands clients ne comptent pas sur BOE pour exiger des garanties à leurs fournisseurs. Les incidents ne sont pas attendus. Et lorsque la loi s’applique, les lieux d’adaptation seront courts pour ceux qui ne sont pas employés.
La cybersécurité est déjà un problème technique à ce moment-là. C’est une décision de direction à définir, chaque fois plus, si un pyme peut suivre une compétition sur les marchés où il travaille.
Par Jorge Mendes, fondateur de Mencar Global Consulting · CISSP, CEH
