NIS2 pour les PME : suis-je concerné ? Checklist pratique 2026

NIS2 est la nouvelle directive européenne de cybersécurité. Elle concerne 15 000 entités en France, contre 500 pour l'ancienne version. Si votre PME fait plus de 50 salariés ou plus de 10M€ de chiffre d'affaires et opère dans un secteur sensible, vous êtes probablement dedans.

Cet article vous donne les réponses concrètes : suis-je concerné ? Que dois-je faire ? Combien ça coûte ? Quel est le calendrier ?

Pas de jargon juridique. Que du pratico-pratique.

NIS2 en 30 secondes

NIS2 (Network and Information Security 2) remplace la directive NIS de 2016. L'objectif : forcer les entreprises à se protéger contre les cyberattaques, parce que la menace a explosé et que les PME sont devenues les cibles préférées des attaquants.

La France transpose cette directive via la loi Résilience, votée au Sénat en mars 2025. La promulgation et les décrets d'application sont attendus courant 2026. Une fois la loi promulguée, vous aurez 3 ans pour être en conformité.

Trois ans, ça paraît confortable. Ça ne l'est pas. Certaines obligations s'appliquent immédiatement (la notification d'incidents sous 24h, par exemple). Et mettre en place une vraie politique de cybersécurité prend du temps quand on part de zéro.

Suis-je concerné ? Le test en 2 minutes

Deux critères déterminent si NIS2 s'applique à votre PME : la taille et le secteur.

Critère 1 : la taille

Si vous avez 50 salariés ou plus, ou un CA supérieur à 10M€, passez au critère 2.

En dessous de ces seuils, vous n'êtes pas directement concerné. Mais attention : si vous êtes fournisseur d'une entité régulée, elle vous imposera des exigences contractuelles de sécurité. NIS2 a un effet cascade sur toute la chaîne d'approvisionnement.

Critère 2 : le secteur

Secteurs hautement critiques (entités essentielles) :

• Énergie (électricité, pétrole, gaz, hydrogène)
• Transports (aérien, ferroviaire, maritime, routier)
• Banque et infrastructures financières
• Santé (hôpitaux, labos, fabricants de dispositifs médicaux)
• Eau potable et eaux usées
• Infrastructures numériques (cloud, data centers, DNS, registres de noms de domaine)
• Gestion de services TIC en B2B
• Espace
• Administrations publiques

Autres secteurs critiques (entités importantes) :

• Services postaux et d'expédition
• Gestion des déchets
• Fabrication industrielle (machines, véhicules, équipements électriques)
• Chimie (production et distribution)
• Agroalimentaire (production, transformation, distribution)
• Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
• Recherche

Vous cochez les deux critères (taille + secteur) ? Vous êtes concerné.

Pour en avoir le cœur net, l'ANSSI a mis en place MonEspaceNIS2, un simulateur en ligne. Réponse en 5 minutes.

Les 10 obligations de l'article 21

L'article 21 de NIS2 liste 10 mesures de cybersécurité obligatoires. Les voici, traduites en langage concret.

1. Politique d'analyse des risques et de sécurité des systèmes d'information

Concrètement : vous devez avoir un document écrit qui identifie vos risques informatiques et les mesures en place. Pas un pavé de 200 pages. Un document clair qui dit : "voici nos systèmes critiques, voici les menaces, voici ce qu'on fait."

2. Gestion des incidents

Un plan de réponse aux incidents. Qui fait quoi quand ça tombe en panne ou quand vous détectez une intrusion ? Si la réponse est "on verra", c'est un problème.

3. Continuité d'activité

Sauvegardes, plan de reprise, gestion de crise. Si votre serveur principal meurt demain matin, combien de temps pour repartir ? Si vous ne connaissez pas la réponse, c'est que vous n'avez pas de plan.

4. Sécurité de la chaîne d'approvisionnement

Vos fournisseurs IT sont-ils fiables ? Utilisent-ils des pratiques de sécurité correctes ? Vous devez évaluer et documenter les risques liés à vos prestataires.

5. Sécurité de l'acquisition, du développement et de la maintenance des systèmes

Chaque nouveau logiciel ou mise à jour doit suivre des pratiques de sécurité. Gestion des vulnérabilités incluse : quand une faille est découverte, vous devez la corriger dans un délai raisonnable.

6. Évaluation de l'efficacité des mesures

Tester régulièrement que vos protections fonctionnent. Tests de pénétration basiques, audits, revues de sécurité.

7. Hygiène cyber et formation du personnel

Former vos équipes aux bases : mots de passe solides, reconnaissance du phishing, bonnes pratiques. 90% des attaques réussies commencent par une erreur humaine. La formation n'est pas optionnelle.

8. Cryptographie et chiffrement

Utiliser le chiffrement pour protéger les données sensibles, en transit et au repos. Concrètement : HTTPS partout, bases de données chiffrées, emails sensibles protégés.

9. Sécurité des ressources humaines et contrôle d'accès

Qui a accès à quoi dans votre entreprise ? Un stagiaire a-t-il les mêmes droits qu'un admin système ? Le principe du moindre privilège : chacun n'accède qu'à ce dont il a besoin.

10. Authentification multi-facteurs (MFA)

Le MFA est obligatoire. Un mot de passe seul ne suffit plus. Vos comptes critiques (email, ERP, CRM, admin serveur) doivent utiliser un second facteur d'authentification.

La notification d'incidents : 24h, pas 24 jours

C'est l'obligation la plus immédiate. Dès la promulgation de la loi, vous devez notifier l'ANSSI (via le CERT-FR) en trois étapes :

24 heures. Pas 24 jours. Si vous n'avez pas de procédure en place pour détecter et remonter un incident rapidement, vous serez hors délai avant même de savoir ce qui s'est passé.

Les sanctions : ce que vous risquez

NIS2 a des dents. Les sanctions varient selon votre catégorie.

Entités importantes (la plupart des PME concernées) :

• Jusqu'à 7 millions d'euros ou 1,4% du CA mondial annuel (le montant le plus élevé)

Entités essentielles :

• Jusqu'à 10 millions d'euros ou 2% du CA mondial annuel

Et ce n'est pas tout. NIS2 prévoit la responsabilité personnelle des dirigeants. En cas de manquement grave, le dirigeant peut être tenu personnellement responsable, avec des sanctions individuelles pouvant aller jusqu'à une interdiction temporaire d'exercer.

Ce n'est plus un problème "informatique". C'est un problème de direction générale.

Combien coûte la mise en conformité ?

La fourchette est large, parce qu'elle dépend d'où vous partez.

Ces chiffres incluent l'audit initial, la mise en place technique, la documentation, la formation du personnel et les tests.

La bonne nouvelle : ces investissements vous protègent aussi contre les cyberattaques. Le coût moyen d'une attaque pour une PME en France dépasse les 100 000 €, sans compter l'arrêt d'activité. La conformité NIS2 n'est pas qu'une contrainte réglementaire. C'est une assurance.

Checklist NIS2 : 10 actions concrètes pour démarrer

Vous êtes concerné et vous ne savez pas par où commencer ? Voici les 10 premières actions, par ordre de priorité.

• 1. Vérifier si vous êtes concerné. Utilisez le simulateur MonEspaceNIS2 de l'ANSSI. 5 minutes, gratuit.

• 2. Activer le MFA partout. Emails, ERP, CRM, accès serveurs, outils cloud. C'est l'action qui a le meilleur ratio effort/impact. Faisable en une semaine.

• 3. Vérifier vos sauvegardes. Existent-elles ? Sont-elles automatiques ? Hors site ? Testées récemment ? Si votre dernière restauration de sauvegarde date de "jamais", c'est un signal d'alarme.

• 4. Mettre à jour vos systèmes. Serveurs, postes, logiciels. Les mises à jour de sécurité ne sont pas optionnelles. Établir un processus de mise à jour mensuel minimum.

• 5. Auditer les accès. Qui a accès à quoi ? Supprimer les comptes inutilisés, limiter les droits admin, appliquer le principe du moindre privilège.

• 6. Documenter une procédure d'incident. Un document simple : qui contacter, dans quel ordre, quelles informations collecter, comment notifier l'ANSSI sous 24h.

• 7. Former vos équipes. Une session de sensibilisation au phishing et aux bonnes pratiques. Pas besoin de 3 jours. 2 heures suffisent pour couvrir l'essentiel.

• 8. Identifier vos fournisseurs critiques. Listez vos prestataires IT, hébergeurs, éditeurs de logiciels. Vérifiez leurs engagements de sécurité.

• 9. Chiffrer les données sensibles. HTTPS sur tous vos services web. Chiffrement des bases de données contenant des données personnelles ou business.

• 10. Planifier un audit de sécurité. Un test de pénétration basique pour identifier vos failles avant qu'un attaquant ne le fasse.

Les actions 1 à 5 sont faisables en moins de deux semaines, avec ou sans prestataire. C'est le socle. Le reste suit naturellement.

Le calendrier à retenir

Ne vous fiez pas au délai de 3 ans. Les obligations de notification s'appliquent immédiatement. Et les entreprises qui attendent le dernier moment se retrouvent toujours dans l'urgence, avec des prestataires surchargés et des prix qui montent.

FAQ

NIS2 s'applique-t-il aux PME de moins de 50 salariés ?

Pas directement, sauf exceptions (fournisseurs de services DNS, registres de noms de domaine, ou si l'État vous désigne spécifiquement). Mais si vous êtes fournisseur d'une entité régulée, attendez-vous à des exigences contractuelles de cybersécurité. NIS2 a un effet domino sur toute la chaîne d'approvisionnement.

Quelle est la différence entre entité essentielle et entité importante ?

Les entités essentielles (250+ salariés, secteurs hautement critiques) ont des obligations plus lourdes et des sanctions plus élevées (10M€ ou 2% du CA). Les entités importantes (50+ salariés, secteurs critiques) ont des obligations proportionnées et des sanctions plafonnées à 7M€ ou 1,4% du CA. Dans la pratique, les 10 mesures de l'article 21 s'appliquent aux deux catégories, mais avec un niveau d'exigence adapté.

Combien de temps pour se mettre en conformité ?

3 ans après la promulgation de la loi. Mais la notification d'incidents sous 24h s'applique immédiatement. Comptez 6 à 24 mois de travail effectif selon votre niveau de maturité actuel.

L'ANSSI va-t-elle contrôler les PME ?

Oui. L'ANSSI peut effectuer des contrôles, y compris des audits sur site, des analyses de sécurité et des demandes de documentation. Les entités importantes seront contrôlées a posteriori (après un incident ou sur signalement), tandis que les entités essentielles pourront être contrôlées de manière proactive.

Existe-t-il des aides financières pour la mise en conformité ?

Plusieurs dispositifs existent. BPI France propose le Prêt Digital PME (jusqu'à 500K€, taux 0,9%, 7 ans). Le Fonds IA PME peut couvrir 30 à 50% des investissements technologiques (max 100K€). Certaines régions ont des aides spécifiques à la cybersécurité. France Num référence l'ensemble des dispositifs disponibles.

Vous ne savez pas par où commencer ?

J'ai créé le Sprint Sécurité pour les PME dans exactement cette situation. En 2 semaines, pour 5 000 €, je mets en place le socle :

• MFA sur tous vos comptes critiques
• Audit et mise à jour des dépendances logicielles
• Sauvegardes automatisées et testées
• Test de pénétration basique
• Analyse de conformité NIS2 (gap analysis)

Vous repartez avec un rapport clair : ce qui est fait, ce qui reste à faire, et un plan d'action chiffré pour la suite.

Réserver un appel découverte : 30 min, gratuit, sans engagement. On fait le point sur votre situation et je vous dis si le Sprint Sécurité est adapté à votre cas.