Cybersécurité

Directive NIS2 France PME 2026 : obligations, secteurs concernés, sanctions

1Acces7 mai 2026

# Directive NIS2 France 2026 : tout ce qu'une PME doit savoir

La directive NIS2 (Network and Information Security 2) est transposée en droit français depuis le 17 octobre 2024. Elle remplace NIS1 (2016) en élargissant considérablement son périmètre : environ 10 000 entités françaises sont désormais concernées, contre ~500 sous NIS1.

Pour les dirigeants de PME, la question n'est plus "est-ce que ça me concerne" mais "comment je m'y conforme avant les premiers contrôles ANSSI prévus en 2026-2027". Cet article répond aux questions les plus fréquentes.

TL;DR — Ce qu'il faut retenir

NIS2 transposée en France depuis le 17 octobre 2024 (loi 2024-1009)
~10 000 entités concernées (vs 500 sous NIS1) : 18 secteurs essentiels + importants
Critère seuil PME : ≥ 50 employés ET (10 M€ CA OU 10 M€ bilan)
Obligations : 10 catégories de mesures techniques + organisationnelles
Notification incident : 24h pour alerte, 72h pour rapport, 1 mois pour rapport final
Responsabilité personnelle des dirigeants : amendes jusqu'à 10 M€ ou 2 % CA
Délai mise en conformité : variable selon ANSSI, premiers contrôles ciblés 2026
Coût conformité PME 50 pers : 12-30 k€ première année puis 8-15 k€/an

1. Qu'est-ce que la directive NIS2 et pourquoi maintenant ?

1.1 Origine et objectif

La directive (UE) 2022/2555 dite NIS2 a été adoptée par le Parlement européen en décembre 2022. Elle vise à harmoniser et renforcer la cybersécurité des entités essentielles et importantes dans l'Union européenne.

Elle remplace la directive NIS1 (2016) qui présentait 3 limites majeures : - Périmètre trop restreint (uniquement Opérateurs de Services Essentiels) - Disparité d'application entre États membres - Sanctions peu dissuasives

1.2 Transposition en France

| Date | Étape | | --- | --- | | 14 décembre 2022 | Adoption de NIS2 par le Parlement européen | | 16 janvier 2023 | Entrée en vigueur officielle UE | | 17 octobre 2024 | Date limite de transposition par les États membres | | 17 octobre 2024 | Transposition en France via la loi n° 2024-1009 du 22 octobre 2024 | | 2025-2026 | Décrets d'application + outils ANSSI | | 2026-2027 | Premiers contrôles ANSSI ciblés | | 2027 | Application pleine et entière des sanctions |

> ⚠️ Important : la France a transposé NIS2 dans la loi, mais les décrets d'application précisent les obligations par secteur. Vérifier régulièrement le site de l'ANSSI : https://cyber.gouv.fr

1.3 Pourquoi cette directive ?

La Commission européenne justifie NIS2 par 4 constats : - +150 % de cyberattaques en Europe sur 2020-2023 (source : ENISA) - Coût économique des cyberattaques estimé à 6 000 Md€/an mondialement - Vulnérabilité supply chain mise en évidence (SolarWinds, Log4j, MOVEit) - Maillon faible PME : 60 % des cyberattaques visent désormais les PME

NIS2 vise à élever le niveau de cybersécurité de toutes les entités jugées critiques pour le fonctionnement économique et social européen.

2. Suis-je concerné ? — diagnostic en 3 questions

Question 1 — Mon secteur d'activité

NIS2 distingue 2 catégories d'entités :

#### A. Entités essentielles (Annexe I)

Plus contrôlées, sanctions max 10 M€ ou 2 % CA :

1. Énergie : électricité, gaz, pétrole, hydrogène, chauffage urbain 2. Transports : aérien, ferroviaire, maritime, routier 3. Banque + infrastructures de marché financier 4. Santé : établissements de santé, fabricants dispositifs médicaux 5. Eau potable + eaux usées 6. Infrastructures numériques : DNS, datacenters, services cloud, IXP, communications électroniques 7. Administration publique (centrale + régionale + secteurs critiques) 8. Espace (opérateurs satellites)

#### B. Entités importantes (Annexe II)

Sanctions max 7 M€ ou 1,4 % CA :

9. Services postaux et courrier 10. Gestion des déchets 11. Industrie chimique 12. Fabrication de produits alimentaires 13. Industries manufacturières : équipements informatiques, machines, électrique, automobile, défense 14. Fournisseurs de services numériques : places de marché, moteurs de recherche, réseaux sociaux 15. Recherche (organismes publics et privés)

> ✅ Astuce : utilisez l'outil officiel ANSSI MonServicePublic pour un diagnostic rapide : https://monservicepublic.gouv.fr/nis2

Question 2 — Ma taille

Sauf exception (cf. section 3), NIS2 s'applique aux entités : - Moyennes : 50-249 employés ET (10-50 M€ CA OU 10-43 M€ bilan) - Grandes : 250+ employés OU (>50 M€ CA OU >43 M€ bilan)

Les micro et petites entités (< 50 employés ET < 10 M€ CA + bilan) sont exclues sauf exceptions sectorielles (cf. section 3).

Question 3 — Mon application des exceptions

Certaines entités sont soumises à NIS2 quelle que soit leur taille (même TPE/PME < 50 personnes) : - Fournisseurs de réseaux ou services de communications électroniques publics - Prestataires de confiance qualifiés (signature électronique eIDAS) - Registres de noms de domaine .fr (registres TLD) - Fournisseurs de services DNS - Entités assurant un service essentiel à un État membre (désignation discrétionnaire France)

> Une PME tech de 10 personnes opérant un service DNS public est concernée. Une PME boulangerie de 80 personnes ne l'est pas.

3. Les 10 catégories d'obligations NIS2 (article 21)

NIS2 impose 10 catégories de mesures techniques et organisationnelles que les entités doivent mettre en place :

3.1 Politique d'analyse des risques

Cartographie des risques cyber annuelle
Méthodologie type EBIOS RM (ANSSI) ou ISO 27005
Comité de pilotage trimestriel

3.2 Gestion des incidents

Plan de Réponse à Incident (IR plan) documenté
Cellule de crise identifiée
Procédures isolement / forensic / communication
Notification ANSSI obligatoire (cf. section 4)

3.3 Continuité d'activité et gestion de crise

PRA (Plan de Reprise d'Activité) documenté + testé annuellement
PCA (Plan de Continuité d'Activité) pour fonctions critiques
Sauvegardes immutables 3-2-1-1-0
RTO + RPO définis

3.4 Sécurité de la chaîne d'approvisionnement (supply chain)

Audit fournisseurs critiques (logiciels, cloud, MSP, MSSP)
Clauses contractuelles cybersécurité
SBOM (Software Bill of Materials) pour produits logiciels
Plan de résilience supply chain

3.5 Sécurité dans l'acquisition, le développement et la maintenance des SI

Secure SDLC (cycle de développement sécurisé)
Tests de pénétration avant production
Patching automatique
Gestion des vulnérabilités (CVE monitoring)

3.6 Politiques d'évaluation de l'efficacité

Indicateurs (KPI) : MTTD, MTTR, taux de patches, taux de phishing échoués
Audit interne + externe
Revue annuelle PSSI

3.7 Pratiques de cyber hygiène et sensibilisation

Sensibilisation utilisateurs trimestrielle (ANSSI recommande)
Formation phishing + tests
Politique mots de passe + 2FA
Formation dirigeants obligatoire (responsabilité personnelle)

3.8 Cryptographie et chiffrement

Chiffrement at-rest (AES-256) sur stockages sensibles
Chiffrement in-transit (TLS 1.3 minimum)
Gestion des clés (KMS, HSM pour secteurs sensibles)

3.9 Sécurité des ressources humaines, contrôle d'accès, gestion des actifs

Inventaire des actifs IT (CMDB)
IAM (Identity Access Management)
Principe du moindre privilège (RBAC)
Onboarding/offboarding sécurisé (procédure départ collaborateur)
Vérification antécédents pour postes sensibles

3.10 Authentification multifacteur, sécurisation des communications

MFA / 2FA obligatoire sur :
- Tous les comptes administrateur
- VPN / accès distant
- Email professionnel
- Applications critiques (ERP, banque, RH)
Communications sécurisées : VoIP chiffré, messagerie chiffrée
Communications d'urgence alternatives (en cas de crise)

4. Notification d'incident NIS2 — délais et procédure

4.1 Délais imposés

| Délai | Action | | --- | --- | | Sans délai | Décision sur opportunité notification | | 24 heures | Alerte précoce à l'ANSSI (forme libre, info minimum) | | 72 heures | Notification d'incident détaillée à l'ANSSI | | 1 mois | Rapport final : analyse causes + actions correctives | | À la demande | Rapports intermédiaires si demandé par ANSSI |

4.2 Quels incidents notifier ?

Tout incident significatif ayant ou pouvant avoir un impact substantiel sur la fourniture du service : - Perturbation grave du service - Atteinte à la confidentialité, intégrité, disponibilité - Compromission majeure - Ransomware avec impact opérationnel

4.3 Procédure pratique

1. Détecter (EDR/XDR/MDR) 2. Évaluer (cellule de crise) 3. Notifier ANSSI : portail dédié à venir (https://cyber.gouv.fr) 4. Notifier CNIL sous 72h si données personnelles compromises (RGPD article 33) 5. Notifier clients si requis (RGPD article 34) 6. Communiquer publiquement si risque grave (article 23 NIS2)

> ⚠️ Attention : double notification ANSSI + CNIL souvent nécessaire pour les ransomwares avec exfiltration de données.

5. Sanctions NIS2 — barème 2026

5.1 Sanctions financières

| Catégorie | Sanction max | | --- | --- | | Entité essentielle | 10 M€ ou 2 % du CA mondial annuel (le plus élevé) | | Entité importante | 7 M€ ou 1,4 % du CA mondial annuel (le plus élevé) |

5.2 Sanctions complémentaires

Astreintes journalières en cas de non-conformité persistante
Suspension temporaire de fonctions de direction (responsabilité personnelle)
Suspension d'activité dans cas extrêmes
Publication du nom de l'entité non conforme (name and shame)

5.3 Responsabilité personnelle des dirigeants

NIS2 introduit une responsabilité personnelle des dirigeants (article 20 directive) : - Approbation des mesures cybersécurité - Suivi de la mise en œuvre - Formation cybersécurité obligatoire - Sanctions personnelles possibles (suspension fonction)

6. Comment se mettre en conformité NIS2 — feuille de route 6 mois

Mois 1 — Diagnostic

[ ] Diagnostic NIS2 (suis-je concerné ? quelle catégorie ?)
[ ] Audit gap par cabinet certifié ANSSI ou outil ANSSI
[ ] Cartographie des risques (EBIOS RM ou ISO 27005)
[ ] Désignation du responsable conformité NIS2 (DSI / RSSI)

Mois 2 — Plan d'action

[ ] Documenter PSSI (Politique de Sécurité des SI)
[ ] Définir périmètre + actifs critiques
[ ] Plan d'action priorisé sur 12 mois
[ ] Budget validé par direction

Mois 3 — Outils techniques

[ ] EDR/XDR déployé (Microsoft Defender, CrowdStrike, Sophos, Tehtris)
[ ] Sauvegarde immutable 3-2-1-1-0 testée
[ ] 2FA activé partout (M365/Google + VPN + ERP + banque)
[ ] SIEM ou MDR managé (PME 50+ pers)

Mois 4 — Procédures

[ ] Plan de Réponse à Incident (IR plan) documenté
[ ] PRA + PCA documentés et testés
[ ] Procédure notification ANSSI 24h/72h
[ ] Sensibilisation utilisateurs + dirigeants

Mois 5 — Supply chain

[ ] Audit fournisseurs critiques
[ ] Clauses contractuelles cybersécurité ajoutées
[ ] SBOM pour produits logiciels (si éditeur)

Mois 6 — Validation

[ ] Audit conformité externe (recommandé)
[ ] Test PRA complet
[ ] Déclaration auprès ANSSI (selon modalités décret)
[ ] Comité de pilotage trimestriel actif
[ ] Cyber-assurance souscrite

7. Budget conformité NIS2 PME — réaliste

7.1 PME 50 personnes (entité importante)

| Poste | Coût année 1 | Coût récurrent /an | | --- | ---: | ---: | | Audit gap NIS2 + cartographie risques | 5 500 € | 2 000 € | | EDR + email security (50 postes) | 4 500 € | 4 500 € | | Sauvegarde immutable cloud (5 To) | 3 000 € | 2 400 € | | MDR managé (option) | 6 000 € | 6 000 € | | Formation dirigeants + sensibilisation | 1 800 € | 1 200 € | | Documentation PSSI / IR / PRA | 3 500 € | 800 € | | Audit fournisseurs critiques | 2 500 € | 1 000 € | | Cyber-assurance | 4 500 € | 4 500 € | | Total | 31 300 € | 22 400 € |

7.2 PME 100 personnes (entité essentielle)

| Poste | Coût année 1 | Coût récurrent /an | | --- | ---: | ---: | | Audit + cartographie + plan détaillé | 12 000 € | 4 000 € | | EDR/XDR + email + DNS filtering | 9 500 € | 9 500 € | | Sauvegarde immutable + DR site | 7 200 € | 6 000 € | | MDR managé 24/7 | 12 000 € | 12 000 € | | RSSI mutualisé (1 j/mois) | 9 600 € | 9 600 € | | Formation + sensibilisation | 3 600 € | 2 400 € | | Documentation PSSI complète | 6 500 € | 1 500 € | | Audit fournisseurs + SBOM | 4 500 € | 2 000 € | | Audit externe annuel | 8 000 € | 8 000 € | | Cyber-assurance étendue | 8 500 € | 8 500 € | | Total | 81 400 € | 63 500 € |

> Soit 2-4 % du budget IT global consacré à la conformité NIS2. C'est 5× moins cher qu'une cyberattaque majeure (120 k€ ransomware moyen) ou qu'une amende NIS2 (jusqu'à 10 M€).

8. NIS2 vs RGPD vs DORA — quelles différences ?

| Aspect | RGPD | NIS2 | DORA | | --- | --- | --- | --- | | Année | 2018 | 2024-2026 | 2025 | | Périmètre | Données personnelles | Cybersécurité opérationnelle | Résilience financière numérique | | Cible | Toute entité traitant données | Secteurs essentiels + importants | Secteur financier (banque, assurance, fintech) | | Notification incident | 72h CNIL | 24h ANSSI | 4h alerte / 24h notification | | Sanction max | 4 % CA mondial | 10 M€ ou 2 % CA | 2 % CA | | Autorité | CNIL | ANSSI | AMF / ACPR / EBA | | Cumul possible | OUI | OUI | OUI |

> Une PME du secteur financier de 80 personnes traitant données personnelles sera simultanément soumise à RGPD + NIS2 + DORA.

9. FAQ — questions fréquentes NIS2 PME

Suis-je concerné par NIS2 si je suis une PME de 30 personnes dans le tertiaire classique ?

Probablement non sauf si vous opérez un service essentiel (DNS, communication, certification eIDAS, etc.). Les PME < 50 personnes sont généralement exclues. Vérifiez avec l'outil ANSSI MonServicePublic.

Que se passe-t-il si je ne me déclare pas auprès de l'ANSSI ?

L'ANSSI peut diligenter des contrôles ciblés ou inopinés. Le défaut de déclaration ou de mise en conformité expose à des astreintes et amendes (jusqu'à 10 M€ ou 2 % CA). En 2026, l'ANSSI privilégie l'accompagnement mais les sanctions deviendront effectives à partir de 2027.

NIS2 m'oblige-t-elle à passer chez un hébergeur souverain SecNumCloud ?

Non, sauf décret sectoriel spécifique. Cependant, NIS2 valorise les hébergeurs SecNumCloud dans la gestion supply chain. Pour les secteurs essentiels (santé, défense, finance), c'est fortement recommandé.

Combien de temps faut-il pour se mettre en conformité NIS2 ?

Comptez 6 à 12 mois pour une PME 50-100 personnes partant de zéro. Si vous avez déjà une politique cybersécurité solide, 3-6 mois suffisent.

La directive NIS2 est-elle compatible avec ISO 27001 ?

Oui, ISO 27001 est largement compatible avec NIS2. Une certification ISO 27001 simplifie significativement la conformité NIS2 (~70 % du référentiel commun).

Mon prestataire IT est-il responsable en cas d'incident NIS2 ?

La responsabilité juridique reste à l'entité, pas au prestataire. Cependant, vous devez auditer vos prestataires critiques et les engager contractuellement (clauses cybersécurité, audits, SLA, notification incidents).

Faut-il un DPO et un RSSI sous NIS2 ?

NIS2 n'impose pas formellement un RSSI mais impose la désignation d'un responsable conformité (peut être le DSI ou un RSSI mutualisé). Le DPO reste lié au RGPD, pas à NIS2.

Comment notifier un incident à l'ANSSI ?

Via le portail dédié : https://cert.ssi.gouv.fr (CERT-FR). En 2026, un nouveau portail spécifique NIS2 est en cours de déploiement. En urgence : 0 805 805 817 (Cybermalveillance.gouv.fr).

Mes employés en télétravail sont-ils concernés par NIS2 ?

Oui. Le périmètre NIS2 couvre tous les SI de l'entité, y compris en télétravail. Mesures à prévoir : VPN sécurisé, MFA, EDR sur poste personnel ou pro, sensibilisation phishing.

Que faire si mon fournisseur cloud (AWS, Azure, Google) refuse certaines clauses NIS2 ?

Les grands cloud providers ont déjà des contrats NIS2-compatibles (DPA, SCC, audit logs, notifications incidents). Pour les secteurs régulés, envisager un cloud souverain SecNumCloud (Outscale, OVHcloud SecNumCloud, Numspot, Scaleway) qui présente des garanties supérieures.

Conclusion — checklist NIS2 PME 2026

Phase 1 — Diagnostic (mois 1) - [ ] Vérifier si concerné (outil ANSSI MonServicePublic) - [ ] Identifier catégorie (essentiel ou important) - [ ] Audit gap par cabinet ou self-assessment

Phase 2 — Plan d'action (mois 2-3) - [ ] Documenter PSSI - [ ] Cartographier risques (EBIOS RM) - [ ] Définir budget + calendrier

Phase 3 — Mise en œuvre (mois 4-6) - [ ] Déployer outils techniques (EDR, sauvegarde immutable, 2FA) - [ ] Documenter procédures (IR plan, PRA, notification) - [ ] Sensibiliser dirigeants + utilisateurs - [ ] Auditer fournisseurs critiques

Phase 4 — Validation (mois 6+) - [ ] Audit externe conformité - [ ] Test PRA complet - [ ] Comité cyber trimestriel - [ ] Veille réglementaire continue

---

À lire aussi sur le cluster Cybersécurité PME :

Pour aller plus loin :