· Mikaël Masson · Conformité · 4 min read
NIS2 arrive en France : votre PME est-elle concernée ?
La directive NIS2 concerne 15 000 entreprises françaises dès 2026. Découvrez si votre PME/ETI est visée et comment vous y préparer concrètement.
La directive NIS2 : un tournant pour la cybersécurité des PME
La directive européenne NIS2 (Network and Information Security 2) est entrée en vigueur en janvier 2023 et doit être transposée dans le droit français en 2024. Elle remplace la directive NIS1 de 2016 et élargit considérablement son champ d’application.
Concrètement, ce sont environ 15 000 entreprises françaises qui seront concernées, contre seulement quelques centaines avec NIS1. Si vous dirigez une PME ou une ETI, il y a de fortes chances que vous soyez impacté.
Êtes-vous concerné par NIS2 ?
Les critères de taille
NIS2 s’applique aux entreprises répondant à au moins un des critères suivants :
- Entreprises moyennes : 50 à 249 salariés OU chiffre d’affaires entre 10 et 50 M€
- Grandes entreprises : 250 salariés ou plus OU chiffre d’affaires supérieur à 50 M€
Les secteurs concernés
NIS2 distingue deux catégories d’entités :
Entités essentielles (hautement critiques)
- Énergie (électricité, gaz, pétrole, hydrogène)
- Transports (aérien, ferroviaire, maritime, routier)
- Banque et infrastructures des marchés financiers
- Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
- Eau potable et eaux usées
- Infrastructure numérique (DNS, IXP, cloud, data centers)
- Administration publique
- Espace
Entités importantes
- Services postaux et de courrier
- Gestion des déchets
- Chimie (fabrication, production, distribution)
- Alimentation (production, transformation, distribution)
- Fabrication (dispositifs médicaux, informatique, électronique, machines, véhicules)
- Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
- Recherche
Le cas particulier des sous-traitants
Attention : même si votre entreprise n’est pas directement concernée par les critères ci-dessus, vous pouvez être impacté indirectement. Les entités soumises à NIS2 devront s’assurer de la sécurité de leur chaîne d’approvisionnement, ce qui inclut leurs sous-traitants.
Si vous travaillez pour des grands comptes dans les secteurs concernés, attendez-vous à des exigences renforcées en matière de cybersécurité.
Quelles sont les obligations concrètes ?
1. Gouvernance et responsabilité
La direction de l’entreprise est directement responsable de la cybersécurité. Cela implique :
- Formation obligatoire des dirigeants aux enjeux cyber
- Validation des mesures de gestion des risques par la direction
- Responsabilité personnelle des dirigeants en cas de manquement
2. Mesures de sécurité techniques et organisationnelles
Les entreprises doivent mettre en place des mesures “appropriées et proportionnées” couvrant :
- Analyse des risques et politiques de sécurité des systèmes d’information
- Gestion des incidents (détection, réponse, notification)
- Continuité d’activité (sauvegardes, PCA/PRA)
- Sécurité de la chaîne d’approvisionnement
- Sécurité lors de l’acquisition, du développement et de la maintenance des systèmes
- Évaluation de l’efficacité des mesures de sécurité
- Pratiques de base (hygiène cyber, formation)
- Cryptographie et chiffrement
- Sécurité des ressources humaines et contrôle d’accès
- Authentification multi-facteurs (MFA)
3. Notification des incidents
En cas d’incident de sécurité significatif, vous devrez :
- Alerte précoce : dans les 24 heures suivant la détection
- Notification complète : dans les 72 heures avec une évaluation initiale
- Rapport final : dans le mois suivant la notification
Quelles sanctions en cas de non-conformité ?
NIS2 prévoit des sanctions dissuasives :
Pour les entités essentielles
- Jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial
Pour les entités importantes
- Jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires mondial
Ces sanctions peuvent également inclure :
- Suspension temporaire des certifications
- Interdiction temporaire d’exercer des fonctions de direction
- Publication des manquements (name and shame)
Comment se préparer ? Les 5 étapes clés
Étape 1 : Évaluer votre situation
Déterminez si votre entreprise est concernée et à quel titre (entité essentielle ou importante). Cartographiez vos systèmes d’information critiques.
Étape 2 : Réaliser une analyse de risques
Identifiez les menaces, les vulnérabilités et les impacts potentiels sur votre activité. Cette analyse doit être documentée et régulièrement mise à jour.
Étape 3 : Définir votre politique de sécurité
Formalisez votre PSSI (Politique de Sécurité des Systèmes d’Information) en cohérence avec les exigences NIS2.
Étape 4 : Mettre en œuvre les mesures techniques
- Sauvegardes testées régulièrement
- Authentification multi-facteurs
- Segmentation réseau
- Mise à jour des systèmes
- Chiffrement des données sensibles
Étape 5 : Préparer la gestion des incidents
Définissez une procédure de détection, qualification et notification des incidents. Testez-la régulièrement avec des exercices de crise.
Pourquoi un RSSI à temps partagé est pertinent pour NIS2
Pour une PME, recruter un RSSI à temps plein représente un investissement de 80 000 € à 120 000 € par an. C’est souvent disproportionné par rapport au niveau de maturité cyber actuel.
Le RSSI à temps partagé permet de :
- Structurer la démarche sans embaucher un expert à temps plein
- Bénéficier d’une expertise senior quelques jours par mois
- Accélérer la mise en conformité avec un retour d’expérience éprouvé
- Maîtriser les coûts en adaptant l’intervention au besoin réel
J’accompagne régulièrement des PME et ETI dans leur mise en conformité NIS2. Si vous souhaitez évaluer votre situation et définir une feuille de route pragmatique, contactez-moi pour un premier échange.
Cet article sera mis à jour au fur et à mesure de la transposition de NIS2 dans le droit français. Dernière mise à jour : janvier 2026.