Catégories : NIS2 · Réglementation · ⚡ Urgent 2026 Temps de lecture : 7 min ·
Ce que vous allez apprendre dans cet article
Ce qu’est vraiment NIS2, si votre PME est concernée, vos obligations concrètes, et surtout quoi faire maintenant — sans vous noyer dans le jargon.
NIS2 : de quoi parle-t-on vraiment ?
Permettez-moi d’être direct : NIS2 est probablement la réglementation cybersécurité la plus importante depuis le RGPD — et la majorité des dirigeants de PME l’ont à peine entendu mentionner.
NIS2 (Network and Information Security 2) est une directive européenne entrée en vigueur en octobre 2024. Elle impose des obligations concrètes de cybersécurité à des milliers d’entreprises françaises. Et contrairement à son prédécesseur NIS1, qui ne visait qu’une poignée de grands groupes, NIS2 a changé d’échelle de manière radicale.
Quelques chiffres pour mesurer l’ampleur du changement : l’ANSSI estime que 15 000 à 18 000 entités françaises entrent dans le périmètre de NIS2, contre environ 500 sous NIS1. Et pourtant, seulement 23% des PME françaises ont conscience d’être impactées par cette nouvelle réglementation.
Ce qui me frappe dans mes échanges avec des dirigeants, c’est toujours la même réaction : “Ah bon, ça nous concerne nous ?”. Oui. Peut-être. C’est précisément pour répondre à cette question que j’ai écrit cet article.
Point important sur la transposition française. La France n’a pas respecté la date limite d’octobre 2024 pour transposer NIS2 en droit national. Le texte — le projet de loi Résilience — est attendu pour juillet 2026. Mais l’ANSSI est formelle : ne pas attendre la loi pour agir. Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF), un cadre opérationnel déjà applicable.
Qui est concerné ? Les 3 critères clés
Pour être soumis à NIS2, votre entreprise doit remplir deux conditions simultanément : appartenir à l’un des 18 secteurs couverts, ET dépasser certains seuils de taille.
Critère 1 — La taille de votre entreprise
NIS2 distingue deux catégories d’entités :
Les Entités Essentielles (EE) emploient au moins 250 personnes ou dépassent 50 M€ de chiffre d’affaires et 43 M€ de bilan. Elles sont soumises aux obligations les plus strictes et font l’objet d’une supervision proactive de l’ANSSI. Les Entités Importantes (EI) couvrent les entreprises de 50 à 249 salariés ou entre 10 et 50 M€ de chiffre d’affaires. Leurs obligations sont légèrement moins contraignantes, mais restent substantielles.
Critère 2 — Votre secteur d’activité
La directive NIS2 élargit considérablement son champ d’application en ciblant 18 secteurs d’activité, contre 7 pour NIS1.
Les secteurs hautement critiques (Entités Essentielles) : énergie, transports, santé, banque et finance, eau potable, infrastructures numériques, administration publique, espace.
Les secteurs importants (Entités Importantes) : industrie manufacturière, services postaux, gestion des déchets, chimie, agroalimentaire, fournisseurs numériques.
Critère 3 — L’effet de ricochet (le plus méconnu)
C’est le point que j’entends le moins souvent mentionné, et pourtant c’est souvent celui qui concerne le plus grand nombre de PME.
Même si votre PME n’atteint pas les seuils NIS2, vous pouvez être impactée indirectement. La directive impose aux entités régulées de sécuriser leur chaîne d’approvisionnement. Concrètement, vos clients grands comptes vont vous demander des garanties sur votre niveau de cybersécurité.
En clair : si vous êtes sous-traitant d’un groupe industriel ou prestataire d’une clinique, attendez-vous à recevoir des questionnaires de sécurité dès 2026 — que vous soyez formellement dans le périmètre NIS2 ou non.
Le test : Ma PME est-elle concernée ? (5 minutes)
Répondez mentalement aux 4 questions suivantes pour obtenir votre résultat.
Question 1 — Combien de salariés votre entreprise compte-t-elle ?
- Moins de 50 salariés → En dessous des seuils (sauf exceptions)
- Entre 50 et 249 salariés → Zone de vigilance — vérification nécessaire
- 250 salariés ou plus → Potentiellement Entité Essentielle
Question 2 — Quel est votre chiffre d’affaires annuel ?
- Moins de 10 M€ → En dessous des seuils NIS2
- Entre 10 M€ et 50 M€ → Zone de vigilance
- Plus de 50 M€ → Au-dessus du seuil Entité Essentielle
Question 3 — Votre secteur d’activité est-il listé ci-dessus ?
- Secteur critique (énergie, santé, transports…) → Entité Essentielle probable
- Secteur important (industrie, agroalimentaire…) → Entité Importante probable
- Hors secteur / incertain → Pas directement concerné, mais effet ricochet possible
Question 4 — Êtes-vous fournisseur ou sous-traitant d’une grande entreprise ?
- Oui → Impact indirect via la chaîne d’approvisionnement très probable
- Non → Impact indirect limité
Votre résultat :
🔴 Vous avez répondu 50+ salariés ou 10+ M€ de CA ET un secteur couvert → Vous êtes directement dans le périmètre NIS2. Vous avez des obligations légales avant octobre 2026, et la responsabilité personnelle du dirigeant est engagée. Commencez maintenant.
🟠 Vous ne remplissez qu’un seul critère OU vous travaillez avec des grands comptes → Vous serez impacté indirectement. Anticiper vous donnera un avantage concurrentiel sur vos concurrents moins préparés.
🟢 Aucun critère rempli et pas de relations grands comptes → Vous n’êtes a priori pas dans le périmètre direct. Mais les cyberattaques ne font pas de discrimination par taille : 48% des victimes de ransomware sont des TPE/PME.
💡 Pour aller plus loin : l’ANSSI propose un simulateur officiel sur messervices.cyber.gouv.fr pour vérifier votre statut en quelques clics.
Ce que vous risquez si vous ignorez NIS2
Soyons francs : les sanctions NIS2 ne sont pas symboliques. Et pour la première fois dans la réglementation cybersécurité française, la responsabilité personnelle du dirigeant est explicitement engagée.
Les sanctions financières peuvent atteindre jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les Entités Essentielles. Pour les Entités Importantes, le plafond est de 7 M€ ou 1,4% du CA mondial.
Au-delà des amendes, les sanctions peuvent inclure une suspension temporaire de l’autorisation d’exercer pour les dirigeants, des injonctions de mise en conformité avec astreintes journalières, et la publication des sanctions — le fameux “name and shame” — avec un impact réputationnel considérable.
Mais soyons honnêtes : pour une PME, ce n’est pas l’amende ANSSI le vrai risque à court terme. C’est ce qui arrive si vous subissez une cyberattaque sans préparation. Une PME victime de ransomware sans plan de continuité perd en moyenne 350 000€ — la mise en conformité NIS2 aurait coûté 5 à 10 fois moins.
Vos obligations concrètes (article 21 NIS2)
L’article 21 de la directive impose des mesures techniques et organisationnelles que les entités concernées doivent mettre en place. Voici les plus importantes pour une PME, en langage humain.
1. Une politique de gestion des risques documentée. Vous devez identifier vos risques cyber par écrit et la réviser régulièrement. Ce document est ce que l’ANSSI demandera en premier lors d’un contrôle. Ce n’est plus suffisant d’avoir une politique documentée — il faut être capable de prouver que les mesures sont effectivement en place, opérationnelles et testées.
2. Un plan de gestion des incidents. En cas d’attaque : alerte à l’ANSSI sous 24h, rapport détaillé sous 72h, rapport final sous 30 jours. Vous devez avoir ce processus prêt avant qu’un incident ne survienne.
3. Le MFA sur tous les accès critiques. Messagerie, outils cloud, accès distants : l’authentification à double facteur n’est plus une option. Si votre équipe utilise encore des mots de passe seuls, c’est votre priorité numéro 1 — NIS2 ou pas.
4. Des sauvegardes testées et isolées. Une sauvegarde non testée n’est pas une sauvegarde. NIS2 impose de vérifier que vos données peuvent réellement être restaurées, et que les sauvegardes sont inaccessibles depuis le réseau principal.
5. La formation des dirigeants. NIS2 impose explicitement que les dirigeants suivent une formation spécifique en cybersécurité. Ce n’est plus une responsabilité déléguée au DSI ou à votre prestataire informatique.
💡 Bonne nouvelle : si vous utilisez Microsoft 365 ou Google Workspace, vous avez probablement déjà les outils pour activer le MFA, les sauvegardes cloud et la journalisation des accès. L’enjeu, c’est de les configurer correctement — et de le documenter.
Calendrier : ce qui se passe d’ici octobre 2026
Octobre 2024 — NIS2 entre en vigueur en Europe. La directive s’applique. La France accuse du retard sur la transposition, mais les obligations sont déjà réelles.
Mars 2026 — L’ANSSI publie le ReCyF (Référentiel Cyber France). Ce document de travail correspond au référentiel de cybersécurité mentionné dans le projet de loi Résilience. Les entreprises qui l’appliquent peuvent s’en prévaloir lors des contrôles.
Juillet 2026 — Vote de la Loi Résilience prévu. La transposition française de NIS2 sera définitive et les obligations formellement opposables.
⚡ 17 octobre 2026 — ÉCHÉANCE — Date limite de mise en conformité totale. Les contrôles ANSSI débutent à partir de novembre 2026.
La mise en conformité NIS2 prend entre 6 et 12 mois pour une PME selon l’ENISA. Si vous commencez aujourd’hui, vous êtes dans les temps. Si vous attendez la loi en juillet, vous aurez 3 mois pour faire ce qui en demande normalement 9.
3 actions à faire cette semaine
1. Vérifiez votre éligibilité sur MonEspaceNIS2 (ANSSI). Le simulateur officiel sur messervices.cyber.gouv.fr vous donne une réponse en 10 minutes. C’est le premier réflexe à avoir avant toute autre démarche.
2. Activez le MFA sur votre messagerie et vos outils cloud. C’est la mesure la plus simple, la plus rapide, et qui protège contre la majorité des attaques. Si vous ne l’avez pas fait, c’est votre priorité immédiate — NIS2 ou pas.
3. Faites un diagnostic de votre niveau de maturité cyber. Avant de vous lancer dans un plan de mise en conformité, il faut savoir où vous en êtes. Notre outil de diagnostic sur cyberdiagnostic.fr vous donne une image claire de vos forces, vos failles et vos priorités en 10 minutes chrono — pour 9,99€, au lieu des 8 000€ minimum d’un audit PASSI traditionnel.
FAQ — Les questions que me posent les dirigeants
Ma PME a 45 salariés. Suis-je concerné ? Pas directement, en dessous du seuil de 50 salariés. Mais si votre CA dépasse 10 M€, vous pouvez quand même être qualifié d’Entité Importante. Et si vous fournissez des services à des entreprises soumises à NIS2, attendez-vous à des exigences contractuelles.
La loi française n’est pas encore publiée. Dois-je quand même agir ? Oui — et c’est le message clair de l’ANSSI. Attendre la loi de juillet pour commencer, c’est avoir 3 mois pour faire un travail qui en demande normalement 9 à 12.
Combien coûte la mise en conformité NIS2 pour une PME ? Les investissements varient de 35 000 à 180 000€ selon la maturité de départ. Mais une PME victime de ransomware sans préparation perd en moyenne 350 000€. La conformité est un investissement, pas un coût.
Que se passe-t-il concrètement en cas de contrôle ANSSI ? Lors d’un contrôle, c’est la capacité de démonstration qui est évaluée, pas l’existence de documents. Les sanctions vont de l’amende financière à la suspension d’autorisation d’exercer pour les dirigeants.
Article rédigé par l’équipe CyberDiagnostic.fr — Nous aidons les dirigeants de PME à comprendre et améliorer leur niveau de cybersécurité, sans jargon et sans budget de grand groupe.