Ce que NIS2 impose réellement
L'article 21 de la directive NIS2 (Dir. UE 2022/2555) liste les mesures de gestion des risques que les entités essentielles et importantes doivent mettre en œuvre. Parmi elles :
- Surveillance continue des systèmes d'information
- Détection des incidents de sécurité
- Capacité de réponse et de continuité d'activité
- Sécurité des réseaux et systèmes d'information
SOC obligatoire ou pas ?
NIS2 n'impose pas un "SOC" au sens organisationnel du terme. Mais elle impose des capacités qui, pour la plupart des PME sans équipe cyber interne, nécessitent de fait un SOC externalisé ou un service MDR :
| Exigence NIS2 (Art. 21) | Capacité requise | Solution pratique |
|---|---|---|
| Surveillance continue | Monitoring 24/7 du SI | SOC externalisé ou MDR |
| Détection des incidents | SIEM ou EDR avec alerting | SOC-as-a-Service ou MDR |
| Réponse aux incidents | Procédure + équipe réactive | MDR ou CSIRT externalisé |
| Notification 24h | Détection en temps réel | SOC 24/7 ou MDR |
| Tests de résilience | Exercices annuels | Pentest + tabletop exercises |
Source : Directive UE 2022/2555 (NIS2), Art. 21 et 23 — interprétation SOC Monitor.
Ce que recommande l'ANSSI
L'ANSSI a publié plusieurs guides d'application de NIS2 précisant que la mise en conformité implique une capacité de détection et de réponse aux incidents. Pour les entités importantes (dont la majorité des PME concernées), l'ANSSI recommande de s'appuyer sur des prestataires qualifiés — notamment les PRIS (Prestataires de Réponse aux Incidents de Sécurité) et les prestataires PDIS (détection d'incidents de sécurité).
Conclusion pratique
Si votre PME est soumise à NIS2 et ne dispose pas d'une équipe de sécurité interne capable d'assurer une surveillance 24/7, un SOC externalisé ou un service MDR n'est pas optionnel — c'est la seule voie réaliste pour satisfaire les exigences de l'article 21 et les délais de notification de l'article 23.