Frédéric Allain — Fondateur de CTO Externe
20 ans d’expertise en infrastructure, sécurité IT et pilotage de projets numériques · Basé à Damigny (61)
Voir le profil complet
La directive NIS2 transposée en droit français passe de 500 entités concernées sous NIS1 à 10 000 à 15 000 organisations en France. Si vous dirigez une PME, deux questions reviennent en boucle : suis-je dans le périmètre, et si oui, par où commencer avant l’échéance du 17 octobre 2026. Cet article répond aux deux, avec les obligations exactes, les sanctions encourues, une méthode en six étapes et les coûts réels par taille d’entreprise.
Vous voulez savoir si votre PME est concernée par NIS2 et par où commencer ?
Diagnostic gratuit en 30 minutes, sans engagement.
Réserver un diagnostic gratuit
Suis-je concerné par NIS2 ? Le test rapide
Pour qu’une entreprise soit directement concernée par NIS2, deux critères doivent être réunis simultanément.
Critère 1 — Appartenir à l’un des 18 secteurs listés :
| Secteurs hautement critiques (entités essentielles) | Autres secteurs critiques (entités importantes) |
|---|---|
| Énergie, transport, banque, infrastructures de marché financier | Services postaux, gestion des déchets |
| Santé, eau potable, eaux usées | Fabrication et distribution chimique |
| Infrastructure numérique, gestion des services TIC | Production et distribution alimentaire |
| Administration publique, espace | Industries manufacturières critiques, fournisseurs numériques, recherche |
Critère 2 — Dépasser au moins un de ces seuils :
- Plus de 250 salariés
- Plus de 50 millions d’euros de chiffre d’affaires annuel
- Plus de 43 millions d’euros de bilan annuel
Si vous cochez les deux critères, vous êtes directement dans le périmètre NIS2.
Si vous ne cochez aucun des deux, vous pouvez vous penser hors périmètre. La section suivante explique pourquoi ce raisonnement est piégeur.
Le piège des PME sous les seuils : la chaîne d’approvisionnement
C’est l’angle mort le plus fréquent dans les communications sur NIS2. Une PME de 10, 20 ou 50 salariés peut être totalement exemptée des seuils, dans un secteur non listé, et pourtant se retrouver obligée de se mettre en conformité avec l’essentiel des mesures NIS2 — par contrat client.
La raison est l’une des dix mesures imposées aux entités essentielles et importantes : la sécurité de la chaîne d’approvisionnement. Cette obligation force vos clients NIS2 à exiger des garanties contractuelles à leurs fournisseurs, sous-traitants et prestataires techniques.
Concrètement, les PME suivantes sont indirectement concernées :
- Prestataires informatiques travaillant pour des établissements de santé, banques, énergéticiens, opérateurs télécoms
- Éditeurs SaaS B2B dont les clients incluent des entités essentielles
- Agences digitales produisant pour des grands comptes des secteurs critiques
- Sous-traitants industriels d’une chaîne de fabrication critique
- Cabinets de conseil intervenant chez des entités sous NIS2
Pour ces PME, l’obligation arrive par les clauses contractuelles : audits, certifications exigées, clauses de notification d’incident, droits d’inspection. Le délai pour réagir est souvent court : trois à six mois entre la demande client et la coupure du contrat si vous ne pouvez pas démontrer la conformité.
Les 10 mesures minimum imposées par NIS2
La directive impose une base minimale commune. Voici les dix mesures, regroupées par domaine pour faciliter la lecture.
Gouvernance et organisation
- Analyse de risque documentée — identification, évaluation et traitement des risques de cybersécurité, mise à jour régulière.
- Plan de gestion des incidents — détection, classification, traitement, et notifications obligatoires (signalement initial sous 24 heures, notification complète sous 72 heures, rapport final sous 1 mois).
- Sécurité des ressources humaines — politiques de sécurité, gestion des accès lors des départs, sensibilisation à l’embauche.
Continuité d’activité
- Plan de continuité et de reprise d’activité (PCA/PRA) — capacité à maintenir ou rétablir les services critiques après un incident majeur. C’est le sujet traité en détail dans le guide PRA informatique PME.
- Sécurité de la chaîne d’approvisionnement — évaluation et contractualisation de la sécurité avec fournisseurs et sous-traitants.
Mesures techniques
- Politiques de chiffrement — chiffrement des données sensibles au repos et en transit.
- Contrôles d’accès — gestion stricte des identités et des privilèges. L’authentification multifacteur (MFA) devient quasi obligatoire dans les faits.
- Sécurité dans le développement et l’acquisition — security by design pour les produits internes, exigences de sécurité pour les acquisitions logicielles.
Pilotage et amélioration continue
- Audits de sécurité réguliers — évaluation périodique de l’efficacité des mesures, internes ou externes.
- Formation continue à la cybersécurité — sensibilisation des collaborateurs, formation spécifique pour les fonctions techniques et de direction.
Ces dix mesures recouvrent intégralement les domaines du référentiel NIST CSF 2.0 (Identify, Protect, Detect, Respond, Recover). Une PME déjà alignée NIST CSF a la quasi-totalité du chemin NIS2 fait, et inversement.
Un audit numérique pour PME couvre la cartographie de votre situation par rapport à ces dix mesures et produit un plan d’action priorisé.
Sanctions et responsabilité personnelle des dirigeants
Les montants de sanctions sont fixés par la directive et repris dans le projet de loi Résilience français.
| Catégorie | Sanction maximale (le plus élevé) |
|---|---|
| Entités essentielles | 10 millions d’euros OU 2 % du chiffre d’affaires mondial |
| Entités importantes | 7 millions d’euros OU 1,4 % du chiffre d’affaires mondial |
Au-delà des sanctions financières, NIS2 introduit une responsabilité personnelle des dirigeants. En cas de non-conformité avérée, l’autorité de contrôle (en France, l’ANSSI) peut prononcer une interdiction temporaire d’exercer des fonctions de direction. Cette mesure inédite explique pourquoi NIS2 doit remonter au niveau du comité exécutif et du conseil d’administration, et pas rester un sujet purement technique.
Les notifications d’incident sont obligatoires et leurs délais sont stricts :
- 24 heures : signalement initial à l’autorité compétente
- 72 heures : notification complète avec évaluation préliminaire
- 1 mois : rapport final détaillé
Un incident non notifié dans les délais expose l’entreprise à des sanctions distinctes de celles liées à la non-conformité technique.
Calendrier et échéances
NIS2 est entrée en vigueur en Europe le 17 octobre 2024. La transposition française passe par le projet de loi Résilience, qui transpose simultanément trois textes :
- La directive NIS2 (cybersécurité)
- La directive REC (Critical Entities Resilience, sur la résilience physique)
- Le règlement DORA (résilience opérationnelle numérique pour le secteur financier)
Le vote parlementaire est attendu pour juillet 2026. La date butoir de conformité reste le 17 octobre 2026, soit environ quatre mois après le vote. Cette fenêtre courte explique pourquoi engager la démarche dès maintenant fait gagner six à dix-huit mois sur les structures qui attendront la publication du décret.
Pour mémoire, l’autre réglementation européenne touchant aux infrastructures numériques, le Cyber Resilience Act, suit son propre calendrier mais cible les fabricants de produits numériques (logiciels et matériels).
Par où commencer concrètement : une méthode en 6 étapes
Pour une PME 10-50 salariés, voici la trajectoire opérationnelle pour atteindre une conformité raisonnable dans les délais.
Étape 1 — Cartographier votre exposition (1 semaine)
Avant toute action technique, clarifiez votre situation. Êtes-vous directement concerné (secteur + seuils) ? Si non, quels sont vos clients NIS2 et que vont-ils probablement vous demander ? Cette cartographie évite d’investir dans des mesures inutiles à votre profil.
Étape 2 — Réaliser une analyse de risque documentée (1 à 2 semaines)
C’est la première mesure NIS2 et la fondation des neuf autres. Identifiez vos actifs critiques, les menaces probables, les vulnérabilités existantes, et l’impact business potentiel. Le livrable est une matrice de risques formalisée que vous tiendrez à jour.
Étape 3 — Construire ou tester votre PRA / PCA (2 à 4 semaines)
Quatrième mesure NIS2, mais l’une des plus souvent absentes ou non testées dans les PME. Sans plan de reprise documenté et testé, vous n’êtes ni conformes ni opérationnels en cas d’incident. La méthode complète est détaillée dans notre guide PRA pour PME.
Étape 4 — Renforcer les contrôles d’accès (2 à 3 semaines)
Déployez l’authentification multifacteur sur tous les accès sensibles (mail, console d’administration, accès distants), formalisez la gestion des départs et arrivées, auditez les comptes à privilèges. C’est l’investissement avec le meilleur rapport effort / impact pour une PME.
Étape 5 — Sécuriser la chaîne d’approvisionnement (3 à 4 semaines)
Inventoriez vos fournisseurs critiques, intégrez des clauses de sécurité dans vos contrats, demandez des attestations à vos sous-traitants. Cette étape est aussi celle où vous préparez les réponses aux audits que vos propres clients NIS2 vont vous demander.
Étape 6 — Industrialiser et auditer (en continu)
Documentation, formation des équipes, processus d’amélioration continue, audit annuel. NIS2 n’est pas un projet à terminer, c’est un état de l’organisation à maintenir.
Demander un cadrage NIS2 ponctuel
Combien ça coûte vraiment
Ces ordres de grandeur s’observent sur le terrain pour des PME non encore alignées NIS2, hors secteurs très techniques (santé, finance) où les coûts peuvent être supérieurs.
| Composant | PME 10 salariés | PME 25 salariés | PME 50 salariés |
|---|---|---|---|
| Cartographie initiale et analyse de risque | 3 à 5 k€ | 5 à 8 k€ | 8 à 12 k€ |
| Mise à niveau PRA / PCA testé | 2 à 5 k€ | 5 à 10 k€ | 10 à 20 k€ |
| Déploiement MFA et contrôles d’accès | 1 à 3 k€ + abonnements | 3 à 6 k€ + abonnements | 6 à 12 k€ + abonnements |
| Sécurisation chaîne d’approvisionnement | 2 à 4 k€ | 4 à 8 k€ | 8 à 15 k€ |
| Documentation, formation, processus | 1 à 3 k€ | 3 à 6 k€ | 6 à 12 k€ |
| Audit annuel récurrent | 2 à 4 k€/an | 4 à 8 k€/an | 8 à 15 k€/an |
| Total mise en place (an 1) | 9 à 20 k€ | 20 à 38 k€ | 40 à 71 k€ |
| Récurrent annuel (an 2+) | 3 à 6 k€ | 6 à 12 k€ | 12 à 22 k€ |
À comparer aux sanctions maximales (jusqu’à 7 ou 10 millions d’euros) et au coût d’un incident cyber non maîtrisé en PME, estimé entre 50 000 et 200 000 € selon les chiffres publiés par l’ANSSI.
Erreurs courantes à éviter
- Attendre la publication du décret français pour démarrer. La directive est déjà en vigueur, vos clients NIS2 peuvent exiger des garanties dès maintenant. Les six à douze mois de mise en place ne se compresseront pas en deux mois après publication.
- Confondre NIS2 et RGPD. Ce sont deux réglementations distinctes avec des autorités différentes (CNIL pour le RGPD, ANSSI pour NIS2). Être conforme RGPD ne dit rien de votre conformité NIS2 et inversement.
- Traiter NIS2 comme un sujet purement technique. La responsabilité personnelle des dirigeants impose une remontée au comité exécutif et au conseil d’administration. Sans portage direction, le projet stagne.
- Négliger la chaîne d’approvisionnement parce qu’on est trop petit. C’est précisément la PME 10-50 salariés sous-traitante d’un hôpital, d’une banque ou d’un opérateur télécoms qui se réveille trop tard.
- Investir dans les outils avant de cartographier les risques. Acheter un EDR ou un SIEM sans avoir identifié quels actifs ils doivent protéger conduit à de la dépense inefficace.
- Ne pas tester le PRA après l’avoir construit. Un PRA non testé n’est pas un PRA, et NIS2 demande explicitement des audits réguliers des mesures déployées.
Questions fréquentes
Ma PME a 15 salariés et travaille pour un hôpital. Suis-je concernée ?
Pas directement (en-dessous des seuils), mais probablement indirectement via la chaîne d’approvisionnement. L’hôpital est entité essentielle au sens NIS2. Ses obligations de sécurisation des fournisseurs vont se traduire par des clauses contractuelles et des audits que votre PME devra honorer pour conserver le contrat. Anticiper évite de perdre le client lors du renouvellement.
Quel est le délai exact pour notifier un incident en cas d’attaque ?
Trois échéances : signalement initial à l’ANSSI sous 24 heures, notification complète avec évaluation préliminaire sous 72 heures, rapport final détaillé sous 1 mois. Le non-respect de ces délais expose à des sanctions distinctes de la non-conformité technique.
Faut-il un DPO pour la conformité NIS2 ?
Non. Le DPO (Délégué à la Protection des Données) est une obligation RGPD, pas NIS2. NIS2 demande en revanche une responsabilité de pilotage clairement identifiée au niveau de la direction, qui peut être interne (RSSI, DSI, dirigeant désigné) ou externalisée à un consultant ou un DSI externe.
NIS2 remplace-t-il la directive NIS1 ?
Oui. NIS2 remplace NIS1, élargit massivement le périmètre (de 500 à 10 000-15 000 entités en France), durcit les sanctions et introduit la responsabilité personnelle des dirigeants. Les entités déjà conformes NIS1 doivent réviser leurs mesures à la hausse pour NIS2.
Quel lien avec le règlement DORA et le Cyber Resilience Act ?
DORA cible spécifiquement les acteurs financiers (banques, assurances, asset managers, prestataires de services TIC du secteur financier). Le Cyber Resilience Act cible les fabricants de produits numériques. NIS2 cible les opérateurs de services dans 18 secteurs listés. Une PME du secteur financier peut être soumise simultanément à DORA et NIS2 ; un éditeur de logiciel peut être soumis simultanément au CRA (pour ses produits) et à NIS2 (s’il est lui-même fournisseur numérique au sens NIS2).
Comment se passe un audit NIS2 par l’ANSSI ?
L’ANSSI peut auditer une entité sur dossier ou sur site. Les éléments demandés couvrent les dix mesures : analyse de risque à jour, plan de gestion des incidents, PRA testé, journalisation des accès, politiques de chiffrement, contrats fournisseurs intégrant les clauses de sécurité, programme de formation, registre des audits internes. La capacité à produire rapidement ces documents est en soi un indicateur de maturité organisationnelle.
Que se passe-t-il pour une PME qui ne sera pas conforme au 17 octobre 2026 ?
L’application des sanctions financières et de l’interdiction d’exercer ne sera pas automatique le 18 octobre 2026. L’ANSSI privilégiera une logique progressive : information, mise en demeure, contrôles, puis sanctions en cas de non-réponse. Mais cette tolérance disparaîtra rapidement, et tout incident significatif chez une entité non conforme exposera à des sanctions immédiates. Le risque réputationnel auprès des clients NIS2 est tout aussi pénalisant que le risque réglementaire.
En résumé
NIS2 concerne directement les organisations qui appartiennent à l’un des 18 secteurs listés ET qui dépassent les seuils de taille (250 salariés, 50 M€ de CA ou 43 M€ de bilan). Mais une grande partie des PME 10-50 salariés sera concernée indirectement via la chaîne d’approvisionnement, par les clauses contractuelles imposées par leurs clients NIS2.
Les 10 mesures imposées couvrent gouvernance, continuité, sécurité technique et amélioration continue. Le coût de mise en conformité varie de 9 à 20 k€ pour une PME de 10 salariés à 40 à 71 k€ pour une PME de 50 salariés, avec une part récurrente annuelle de 3 à 22 k€.
L’échéance de 17 octobre 2026 laisse environ quatre mois après le vote parlementaire attendu en juillet 2026. Démarrer la cartographie et l’analyse de risque dès maintenant fait gagner six à douze mois sur les structures qui attendront le décret.
Pour les sources officielles, consulter l’ANSSI et l’ENISA qui publient des guides régulièrement mis à jour.
Cadrer la mise en conformité NIS2 avec un consultant CTO
Mission de cadrage 2 à 4 semaines, livrable concret : cartographie de votre situation, plan d’action priorisé, estimation chiffrée. Diagnostic gratuit 30 minutes.
Réserver un diagnostic gratuit
