par
AccueilBlogRéglementation
Réglementation 03 mars 2026 · 10 min de lecture

NIS2 : ce que ça change concrètement pour les PME françaises

La directive européenne NIS2 est entrée en vigueur. Elle élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité — et descend jusqu’aux PME dans de nombreux secteurs. Qui est concerné, quelles obligations, quelles sanctions.

NIS2 : de quoi parle-t-on exactement ?

NIS2 est la directive européenne sur la sécurité des réseaux et des systèmes d’information, publiée en décembre 2022 et entrée en vigueur dans les États membres depuis octobre 2024. Elle remplace la directive NIS1 de 2016, dont la portée était jugée trop limitée face à l’explosion de la menace cyber.

La différence fondamentale avec NIS1 : NIS2 élargit considérablement le périmètre des entreprises concernées. Là où NIS1 ciblait principalement les opérateurs d’importance vitale (OIV) — grandes entreprises d’énergie, transport, finance — NIS2 descend jusqu’aux PME et ETI dans de nombreux secteurs.

⚠ Transposition française en cours

La France devait transposer NIS2 dans son droit national avant octobre 2024. Cette transposition est en cours de finalisation. Les obligations exactes et les délais de mise en conformité seront précisés par la loi française. L’ANSSI est l’autorité nationale compétente pour NIS2 en France. Consultez ssi.gouv.fr pour les mises à jour officielles.

Qui est concerné parmi les PME ?

NIS2 distingue deux catégories d’entités : les entités essentielles (EE) et les entités importantes (EI). Cette distinction détermine le niveau d’obligations et l’intensité des contrôles.

Sont concernées les entreprises de plus de 50 salariés ou plus de 10 millions d’euros de CA dans les secteurs suivants :

  • Énergie (électricité, gaz, pétrole, hydrogène, chauffage)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Banque et infrastructures des marchés financiers
  • Santé (hôpitaux, laboratoires, fabricants de médicaments)
  • Eau potable et eaux usées
  • Infrastructure numérique (fournisseurs cloud, data centers, DNS)
  • Administrations publiques
  • Gestion des services TIC — ce point concerne de nombreuses PME informatiques et ESN
  • Espace
  • Secteurs additionnels : chimie, agroalimentaire, industrie manufacturière critique, services postaux, recherche
La règle des 50 salariés

NIS2 ne s’applique en principe pas aux TPE de moins de 50 salariés et moins de 10 M€ de CA — sauf exceptions. Si vous êtes prestataire d’une entité NIS2, vous pouvez être impacté indirectement via les clauses contractuelles que votre client vous imposera. C’est la principale façon dont NIS2 touchera les petites PME.

Les obligations concrètes de NIS2

Pour les entités concernées, NIS2 impose un ensemble de mesures dans quatre grandes catégories.

1. Gestion des risques cyber

Chaque entité doit adopter des mesures appropriées pour gérer les risques qui menacent la sécurité de ses réseaux et systèmes. Concrètement : analyse des risques documentée, politique de sécurité formalisée, gestion des actifs numériques, contrôle des accès.

2. Notification des incidents

Les incidents significatifs doivent être notifiés à l’autorité compétente (l’ANSSI en France) dans des délais stricts : alerte préliminaire dans les 24 heures, notification complète dans les 72 heures, rapport final dans le mois. C’est plus strict que les 72 heures du RGPD pour la CNIL.

3. Continuité d’activité

Chaque entité doit disposer d’un plan de continuité d’activité (PCA) et d’un plan de reprise après sinistre (PRA). Ces plans doivent être testés et mis à jour régulièrement.

4. Sécurité de la chaîne d’approvisionnement

C’est la nouveauté la plus significative pour les PME sous-traitantes. Les entités NIS2 doivent évaluer et gérer les risques de sécurité liés à leurs fournisseurs et prestataires. En pratique, elles vont exiger de leurs sous-traitants des garanties de sécurité — y compris des attestations d’assurance cyber.

Les sanctions en cas de non-conformité

NIS2 introduit des sanctions dissuasives, alignées sur les niveaux du RGPD.

  • Entités essentielles : jusqu’à 10 millions d’euros ou 2% du CA annuel mondial
  • Entités importantes : jusqu’à 7 millions d’euros ou 1,4% du CA annuel mondial

Au-delà des amendes, NIS2 prévoit des sanctions personnelles pour les dirigeants : suspension temporaire de leurs fonctions en cas de manquement grave et répété.

Ce que vous pouvez faire maintenant

1

Déterminez si vous êtes concerné

Vérifiez votre secteur et votre taille. Si vous êtes dans un des secteurs listés avec plus de 50 salariés ou 10 M€ de CA, vous êtes probablement concerné. En cas de doute, consultez un conseil spécialisé.

2

Évaluez votre maturité cybersécurité actuelle

Faites un état des lieux de vos pratiques : politique de sécurité, gestion des accès, sauvegardes, formation des équipes. Le delta avec les exigences NIS2 définira votre plan de travail.

3

Suivez la transposition française

La loi française de transposition précisera les détails. Abonnez-vous aux publications de l’ANSSI et, si vous êtes concerné, anticipez en contactant un prestataire certifié PRIS ou un cabinet spécialisé.

4

Vérifiez vos clauses contractuelles fournisseurs

Si vous êtes sous-traitant d’une grande entreprise, attendez-vous à recevoir des questionnaires de sécurité ou de nouvelles clauses contractuelles dans les prochains mois.

À lire aussi
Guide pratique6 cyberattaques qui ciblent les PME françaisesChoisirComment choisir son assurance cyber PMEPME IndustrieCybersécurité des PME industriellesMenace QuantiqueLa menace quantique expliquée aux PME

Votre assurance cyber est-elle à la hauteur ?

Comprendre ce que couvre votre contrat — et ce qu’il ne couvre pas.

Lire le guide →

Laisser un commentaire