Mis à jour le 11 juin 2026
En bref
Pour se mettre en conformité NIS2, une PME doit suivre 10 étapes alignées sur les recommandations ANSSI : (1) cartographier le SI, (2) réaliser une analyse de risques, (3) rédiger une PSSI, (4) activer le MFA sur 100 % des comptes, (5) déployer EDR et patch management, (6) sécuriser les sauvegardes 3-2-1 immutables, (7) structurer un plan PRA/PCA, (8) définir les procédures de notification d'incident (24h alerte, 72h rapport), (9) former dirigeants et collaborateurs, (10) auditer la chaîne d'approvisionnement. Calendrier réaliste : 12 mois. Coût première année pour une PME de 50 postes : 15 000 à 40 000 €, puis 5 000 à 15 000 €/an de maintien.
- NIS2 élargit les obligations de cybersécurité à plus de 10 000 entités en France, dont des PME de 50+ salariés dans 18 secteurs.
- Les sous-traitants d'entités concernées sont soumis par effet de cascade, même sous les seuils de taille.
- Sanctions : jusqu'à 10 M€ ou 2 % du CA mondial, avec responsabilité personnelle des dirigeants engagée.
- Sources officielles : ANSSI et cybermalveillance.gouv.fr.
La directive NIS2 (Network and Information Security 2) est entrée en vigueur au niveau européen en octobre 2024. Elle remplace la directive NIS1 de 2016 et élargit considérablement le périmètre des entreprises concernées par des obligations de cybersécurité.
Jusqu'ici, seuls les grands opérateurs de services essentiels étaient visés. Avec NIS2, des milliers de PME françaises entrent dans le périmètre : entreprises de 50 salariés et plus, dans 18 secteurs d'activité, mais aussi certains de leurs sous-traitants.
Votre PME est-elle concernée ? Quelles sont les obligations concrètes ? Comment se préparer sans y consacrer un budget démesuré ? Voici ce que vous devez savoir.
La directive NIS2 (Network and Information Security 2) est une réglementation européenne qui impose des obligations de cybersécurité aux entreprises opérant dans des secteurs critiques. Applicable depuis octobre 2024, elle concerne plus de 10 000 entités en France, dont de nombreuses PME et ETI.
Qu'est-ce que la directive NIS2 ?
NIS2 est une directive européenne adoptée en novembre 2022 et applicable depuis octobre 2024. Elle vise à élever le niveau global de cybersécurité en Europe en imposant des obligations minimales aux entités jugées importantes pour le fonctionnement de l'économie et de la société.
En France, la transposition en droit national est en cours. Le texte sera piloté par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Contrairement à NIS1, qui ne concernait qu'environ 300 entités en France, NIS2 devrait s'appliquer à plus de 10 000 entités, dont une grande partie de PME et ETI.
L'objectif est clair : face à la multiplication des cyberattaques (ransomwares, attaques sur la supply chain, espionnage industriel), l'Europe considère que la cybersécurité ne peut plus être optionnelle pour les entreprises qui jouent un rôle dans l'économie.
Votre PME est-elle concernée ?
Deux critères principaux déterminent si vous entrez dans le périmètre NIS2 :
Critère de taille : votre entreprise compte 50 salariés ou plus, OU réalise un chiffre d'affaires supérieur à 10 millions d'euros.
Critère sectoriel : votre activité relève de l'un des 18 secteurs définis par la directive. Les secteurs « hautement critiques » :
- Énergie (électricité, gaz, pétrole, hydrogène)
- Transports (aérien, ferroviaire, maritime, routier)
- Secteur bancaire et infrastructures des marchés financiers
- Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
- Eau potable et eaux usées
- Infrastructures numériques (DNS, datacenters, cloud, télécoms)
- Administration publique
- Espace
Les secteurs « importants » :
- Services postaux et d'expédition
- Gestion des déchets
- Industrie chimique
- Industrie alimentaire
- Fabrication (dispositifs médicaux, produits électroniques, machines, véhicules)
- Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
- Recherche
Point crucial : même si votre PME ne relève pas directement de ces secteurs, si vous êtes sous-traitant ou fournisseur d'une entité concernée, vous serez soumis à des exigences de sécurité par effet de cascade. NIS2 impose la sécurisation de toute la chaîne d'approvisionnement.
Votre PME est-elle concernée par NIS2 ?
Répondez à 5 questions pour évaluer votre situation
Votre entreprise compte-t-elle plus de 50 salariés ou réalise-t-elle un CA supérieur à 10 millions d'euros ?
NIS2 cible les entités de taille moyenne et grande.
Exercez-vous dans un secteur critique (santé, énergie, transport, numérique, eau, alimentation, industrie, services postaux, gestion des déchets) ?
NIS2 couvre 18 secteurs d'activité jugés essentiels ou importants.
Vos clients ou partenaires vous ont-ils déjà demandé des garanties sur la sécurité de vos systèmes informatiques ?
Conformité ISO, audits fournisseurs, clauses de sécurité dans les contrats : autant de signaux que la cybersécurité devient une exigence commerciale.
Traitez-vous des données sensibles (santé, financières, personnelles à grande échelle) ?
Le traitement de données sensibles augmente votre niveau d'obligation.
Avez-vous déjà subi un incident de sécurité informatique (ransomware, fuite de données, phishing réussi) ?
Un historique d'incidents renforce l'urgence de structurer votre gouvernance cyber.
Les 10 obligations clés de NIS2
La directive impose un socle minimal de mesures de cybersécurité. Voici les 10 obligations principales que les entités concernées devront mettre en œuvre :
- 1. Analyse de risques : réaliser et maintenir à jour une analyse des risques pesant sur votre système d'information.
- 2. Politique de sécurité : définir et appliquer une politique de sécurité des systèmes d'information documentée.
- 3. Gestion des incidents : mettre en place des procédures de détection, de gestion et de signalement des incidents de sécurité.
- 4. Continuité d'activité : disposer d'un plan de continuité et de reprise d'activité (PRA/PCA), incluant la gestion des sauvegardes.
- 5. Sécurité de la chaîne d'approvisionnement : évaluer et gérer les risques liés à vos fournisseurs et sous-traitants.
- 6. Formation des dirigeants : les organes de direction doivent être formés à la cybersécurité et approuver les mesures de gestion des risques.
- 7. Chiffrement : mettre en œuvre le chiffrement des données sensibles en transit et au repos.
- 8. Gestion des vulnérabilités : détecter et corriger les vulnérabilités de vos systèmes (patch management).
- 9. Tests réguliers : réaliser des tests de sécurité périodiques (audits, tests d'intrusion, exercices de crise).
- 10. Notification des incidents : signaler tout incident significatif à l'autorité compétente dans un délai de 24 heures (alerte initiale), puis fournir un rapport complet sous 72 heures.
Ces obligations ne sont pas toutes au même niveau d'exigence selon que vous êtes classé « entité essentielle » ou « entité importante ». Mais le socle commun reste exigeant. Un audit de sécurité initial permet de mesurer votre écart par rapport à ces obligations.
Les sanctions en cas de non-conformité
NIS2 introduit un régime de sanctions significativement plus sévère que NIS1 :
- Entités essentielles : amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé).
- Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel.
Mais au-delà des amendes, la vraie nouveauté de NIS2 est la responsabilité personnelle des dirigeants. Les organes de direction peuvent être tenus personnellement responsables en cas de manquement aux obligations de cybersécurité. C'est un changement majeur : la cybersécurité n'est plus un sujet technique délégué à l'IT. C'est une responsabilité de la direction.
En pratique, cela signifie que les dirigeants de PME doivent s'impliquer directement dans la stratégie de cybersécurité de leur entreprise, sous peine d'engager leur responsabilité civile, voire pénale.
Comment se préparer concrètement
Si votre PME entre dans le périmètre NIS2 (directement ou par effet de cascade), voici les quatre actions à engager dès maintenant :
- 1. Réaliser un audit de sécurité initial : mesurez votre niveau actuel de maturité en cybersécurité face aux 10 obligations NIS2. Identifiez les écarts et les priorités. Notre accompagnement en cybersécurité inclut cet audit initial.
- 2. Définir un plan de mise en conformité : priorisez les actions selon votre niveau de risque et vos moyens. Tout ne doit pas être fait en une fois. Commencez par les fondamentaux : sauvegardes, patch management, authentification multi-facteurs.
- 3. Nommer un responsable sécurité : même à temps partiel, quelqu'un doit porter le sujet. Dans une PME, un DSI externalisé peut remplir ce rôle sans le coût d'un poste à temps plein.
- 4. Former les équipes : NIS2 exige la formation des dirigeants. Mais la sensibilisation de tous les collaborateurs est tout aussi importante : 90 % des incidents de sécurité ont une composante humaine. Nos formations certifiées Qualiopi couvrent la cybersécurité pour dirigeants et collaborateurs.
Le coût de la mise en conformité dépend de votre point de départ. Pour une PME de 50 postes partant de zéro, comptez 15 000 à 40 000 € la première année (audit + mise en œuvre + formation), puis 5 000 à 15 000 € par an pour le maintien. C'est un investissement significatif, mais inférieur au coût moyen d'un incident de cybersécurité (150 000 €) et incomparablement inférieur aux sanctions NIS2. Consultez notre article sur le budget informatique d'une PME en 2026 pour intégrer ces coûts dans votre planification.
Votre calendrier de mise en conformité NIS2
La mise en conformité NIS2 se planifie sur 12 mois. Voici un calendrier réaliste pour une PME partant des fondamentaux :
- Mois 1-3 : évaluation et gap analysis. Audit de sécurité initial, cartographie du SI, identification des écarts par rapport aux 10 obligations NIS2. Livrable : rapport d'écart avec scoring et plan d'action priorisé. Un guide cybersécurité PME détaille les actions fondamentales à lancer en priorité.
- Mois 4-6 : PSSI et gestion des risques. Rédaction de la politique de sécurité du système d'information (PSSI), formalisation de l'analyse de risques, mise en place du MFA, déploiement EDR, renforcement des sauvegardes 3-2-1 PME.
- Mois 7-9 : tests et procédures incidents. Première campagne de phishing simulée, rédaction des procédures de gestion d'incidents (détection, notification 24h, rapport 72h), test du plan de reprise d'activité, sensibilisation des dirigeants et collaborateurs.
- Mois 10-12 : audit de validation et amélioration continue. Audit interne ou externe pour valider la conformité, correction des écarts résiduels, mise en place du reporting trimestriel. Un RSSI externalisé peut piloter ce cycle dans la durée.
Source officielle : ANSSI — La directive NIS 2 (mai 2026) qui détaille les seuils de seuils d'entité essentielle/importante et les modalités d'auto-déclaration via MonEspaceNIS2.
NIS2 et RGPD : quelles différences, quels recoupements ?
Le RGPD protège les données personnelles. NIS2 protège les systèmes d'information. Les deux réglementations se complètent mais ne couvrent pas le même périmètre.
En pratique, les recoupements sont nombreux : les deux exigent des mesures techniques de sécurité (chiffrement, contrôle d'accès, gestion des incidents), une documentation formalisée (registre de traitement pour le RGPD, PSSI pour NIS2), et des procédures de notification en cas d'incident. Un audit de sécurité bien conduit couvre une partie des obligations des deux textes.
La différence majeure : le RGPD s'applique à toute entreprise traitant des données personnelles, quelle que soit sa taille. NIS2 vise les entreprises d'une certaine taille dans des secteurs critiques. Une PME soumise à NIS2 est mécaniquement soumise au RGPD, mais l'inverse n'est pas vrai. Pour aller plus loin, consultez notre checklist sécurité PME qui couvre les exigences communes aux deux cadres.
Vos questions sur NIS2 et les PME
Comment se mettre en conformité NIS2 pour une PME ?
Pour se mettre en conformité NIS2, une PME doit suivre 10 étapes alignées sur les recommandations ANSSI : 1) Cartographier le SI et les actifs critiques ; 2) Réaliser une analyse de risques formalisée ; 3) Rédiger une politique de sécurité (PSSI) ; 4) Activer le MFA sur 100 % des comptes ; 5) Déployer un EDR et un patch management ; 6) Mettre en place des sauvegardes 3-2-1 immutables avec tests de restauration ; 7) Structurer un plan PRA/PCA ; 8) Définir des procédures de notification d'incident (24h alerte / 72h rapport) ; 9) Former les dirigeants et sensibiliser les collaborateurs ; 10) Auditer la chaîne d'approvisionnement et les sous-traitants. Calendrier réaliste : 12 mois. Coût première année : 15 000 à 40 000 € pour une PME de 50 postes.
Quelles sont les sanctions NIS2 en cas de non-conformité ?
Les entités essentielles risquent jusqu'à 10 millions d'euros d'amende ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé est retenu). Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4 % du CA mondial. Nouveauté majeure : la responsabilité personnelle des dirigeants est engagée. Les organes de direction peuvent être tenus personnellement responsables (civilement, voire pénalement) en cas de manquement aux obligations de cybersécurité, sans pouvoir se retrancher derrière une délégation à l'IT.
Quel est le coût de la mise en conformité NIS2 pour une PME ?
Pour une PME de 50 postes partant de zéro : 15 000 à 40 000 € la première année (audit initial, déploiement MFA + EDR, rédaction PSSI, formation dirigeants, plan PRA), puis 5 000 à 15 000 € par an pour le maintien (RSSI externalisé, tests de phishing, audits annuels). Ce coût reste inférieur au coût moyen d'un incident de cybersécurité PME (150 000 €) et largement inférieur aux sanctions NIS2.
Ma PME est-elle concernée par NIS2 ?
Deux critères cumulatifs : taille (50 salariés ou plus, OU 10 M€ de CA) ET secteur d'activité parmi les 18 visés (énergie, transports, banque, santé, eau, infrastructures numériques, administration, espace pour les essentiels ; postaux, déchets, chimie, alimentaire, manufacturing, fournisseurs numériques, recherche pour les importants). Exception : si vous êtes sous-traitant d'une entité concernée, vous serez soumis à des exigences par effet de cascade, quelle que soit votre taille. NIS2 impose la sécurisation de toute la supply chain.
Quelle est la date limite de mise en conformité NIS2 ?
La directive devait être transposée en droit national avant le 17 octobre 2024. En France, la transposition est en cours via un projet de loi (LPM cyber). Les entreprises concernées doivent dès maintenant entamer leur mise en conformité : les contrôles débuteront dès la publication du texte français. L'ANSSI recommande de ne pas attendre la date d'application formelle pour commencer le chantier — un calendrier 12 mois est réaliste si lancé dès aujourd'hui.
Quelle différence entre NIS1 et NIS2 ?
NIS1 (2016) ne concernait qu'environ 300 entités en France (opérateurs de services essentiels uniquement). NIS2 élargit massivement à plus de 10 000 entités, dont des PME de 50+ salariés dans 18 secteurs. Les obligations sont renforcées : notification d'incident en 24h (vs 72h sous NIS1), responsabilité directe des dirigeants, sécurisation de la supply chain, et amendes alourdies (10 M€ vs 1,5 M€ sous NIS1).
Mon entreprise est sous-traitant d'un secteur critique, suis-je concerné ?
Potentiellement oui. NIS2 impose aux entités concernées de sécuriser leur chaîne d'approvisionnement. En pratique : vos clients concernés par NIS2 vous demanderont des garanties de sécurité (audits, certifications ISO 27001, clauses contractuelles type article 28 RGPD adaptées NIS2, plan de remédiation documenté). Ne pas être prêt, c'est risquer de perdre ces clients et de sortir des appels d'offres.
Conclusion
NIS2 n'est pas une contrainte bureaucratique de plus. C'est un cadre structurant qui pousse les entreprises à adopter les bonnes pratiques de cybersécurité que la menace actuelle rend de toute façon indispensables.
Que votre PME soit directement concernée ou qu'elle soit sous-traitant d'une entité visée, se préparer maintenant est un avantage compétitif. Les entreprises conformes seront privilégiées dans les appels d'offres et les relations commerciales. Celles qui ne le sont pas risquent de perdre des clients et de s'exposer à des sanctions.
Accompagnement mise en conformité NIS2
Diagnostic 30 min pour cadrer votre situation, gap analysis face aux 10 obligations ANSSI, plan d'action 12 mois chiffré. Pilotage par un RSSI externalisé Sicollab.