NIS2 : votre PME est-elle concernée par la nouvelle directive cyber ?
La cybersécurité n’est plus un sujet réservé aux grands groupes. Avec la directive NIS2, transposée en droit français par la Loi Résilience, plus de 15 000 entités en France devront se conformer à de nouvelles obligations avant octobre 2026. Si votre PME compte plus de 50 salariés, vous êtes potentiellement concerné.
Voici ce que vous devez savoir — et faire — avant l’échéance.
NIS2 en cinq minutes : ce qui change par rapport à NIS1
La directive NIS1 ne concernait que 500 opérateurs essentiels en France. NIS2 multiplie ce chiffre par 30 : environ 15 000 à 18 000 entités sont désormais dans le périmètre. Le changement majeur tient en trois points.
Le périmètre explose. Dix-huit secteurs sont couverts, dont l’énergie, les transports, la santé, les services numériques, la gestion des déchets, l’industrie manufacturière et les services postaux. Si votre activité touche l’un de ces secteurs, lisez la suite.
Les dirigeants sont responsables. L’article 20 de NIS2 impose que les organes de direction soient directement impliqués dans la gestion des risques cyber. La cybersécurité n’est plus un sujet qu’on délègue au service informatique : c’est une responsabilité de gouvernance.
Les sanctions sont dissuasives. Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles. Pour les entités importantes (catégorie dans laquelle tombent la plupart des PME) : 7 millions d’euros ou 1,4 % du CA.
Êtes-vous concerné ? Le test en trois questions
Avant de paniquer ou d’ignorer le sujet, répondez à ces trois questions.
Question 1 : votre secteur d’activité est-il listé ? NIS2 couvre 18 secteurs répartis en deux catégories — « hautement critiques » (énergie, transports, santé, eau, infrastructure numérique, administration publique, espace) et « critiques » (services postaux, gestion des déchets, industrie manufacturière, agroalimentaire, services numériques, recherche). Les prestataires de services numériques (cloud, SaaS, marketplaces) sont explicitement inclus.
Question 2 : dépassez-vous les seuils de taille ? Vous êtes concerné si votre entreprise compte au moins 50 salariés ET réalise un chiffre d’affaires annuel (ou bilan) d’au moins 10 millions d’euros. En dessous de ces seuils, vous n’êtes pas directement soumis à NIS2 — sauf si vous êtes désigné par l’ANSSI en raison de votre criticité.
Question 3 : êtes-vous fournisseur d’une entité régulée ? Même si votre PME ne remplit pas les critères de taille, vos clients grands comptes soumis à NIS2 pourraient vous imposer des exigences cyber dans le cadre de la gestion de leur chaîne d’approvisionnement. C’est l’effet cascade de la directive.
Si vous avez répondu oui à au moins une question, continuez votre lecture.
Guide gratuit
Le Guide du Site Web pour PME
Un guide pour comprendre les choix techniques, les pièges à éviter et les critères de sélection d'un prestataire web.
Recevoir le guide gratuitementVos obligations concrètes
L’article 21 de NIS2 impose dix mesures de cybersécurité. Voici les plus impactantes pour une PME.
Gouvernance des risques. Vous devez formaliser une politique de sécurité, désigner un responsable, et prouver que la direction est impliquée. Un simple antivirus ne suffit plus : il faut un cadre documenté.
Gestion des incidents. En cas de cyberattaque, vous avez 24 heures pour effectuer une première notification à l’ANSSI, puis 72 heures pour un rapport détaillé. Cela suppose d’avoir un plan de réponse aux incidents testé et opérationnel.
Sécurité de la chaîne d’approvisionnement. Vous devez évaluer les risques liés à vos fournisseurs et prestataires. Si votre hébergeur cloud ou votre prestataire logiciel présente des failles, c’est votre responsabilité de le vérifier.
Continuité d’activité. Un plan de reprise après sinistre (PRA) est désormais obligatoire. Sauvegardes régulières, procédures de restauration testées, et plan de continuité documenté.
Formation et sensibilisation. Vos équipes doivent être formées aux bonnes pratiques cyber. La directive impose une logique d’amélioration continue, avec des réévaluations régulières.
Le budget réaliste et le calendrier
Soyons concrets sur les chiffres.
Le diagnostic initial. Un prestataire certifié PASSI facture entre 8 000 et 25 000 euros pour un audit complet : analyse d’écart, cartographie des actifs critiques, et plan d’action priorisé. C’est l’investissement le plus rentable car il vous évite de dépenser à l’aveugle.
La mise en conformité complète. Selon votre maturité initiale, comptez entre 35 000 et 180 000 euros. Une PME qui a déjà des bases solides (sauvegardes, antivirus, politique de mots de passe) sera dans le bas de la fourchette. Une entreprise partant de zéro devra investir davantage en infrastructure et en accompagnement.
Le calendrier recommandé. La conformité ne se fait pas en un mois. Voici un planning réaliste sur six mois :
- Mois 1-2 : diagnostic et analyse d’écart via MonEspaceNIS2 (portail ANSSI)
- Mois 2-3 : politique de sécurité, désignation du responsable, plan de réponse aux incidents
- Mois 3-4 : mise en œuvre technique (sauvegardes, contrôle d’accès, segmentation réseau)
- Mois 4-5 : audit de la chaîne d’approvisionnement, contrats fournisseurs
- Mois 5-6 : formation des équipes, tests du PRA, première réévaluation
Si vous commencez en mars 2026, vous serez prêt pour l’échéance d’octobre. Attendre l’été, c’est prendre le risque de devoir tout compresser en trois mois — avec les coûts et le stress qui vont avec.
MonEspaceNIS2 : votre point de départ
L’ANSSI a mis en place le portail MonEspaceNIS2 pour accompagner les entreprises. Vous pouvez y vérifier si vous êtes concerné, vous enregistrer auprès de l’autorité compétente, et accéder à des ressources de sensibilisation.
C’est la première étape à réaliser — et elle est gratuite. Le portail propose un parcours guidé qui vous permet d’évaluer votre situation en moins de trente minutes.
Pour les PME qui découvrent le sujet, l’ANSSI publie également des guides sectoriels et des modèles de politiques de sécurité sur cyber.gouv.fr. Ce sont des bases solides pour structurer votre démarche sans repartir d’une feuille blanche.
NIS2 et AI Act : deux réglementations, une même logique
Si vous avez lu notre guide de conformité AI Act, vous reconnaîtrez la même logique : l’Europe renforce le cadre réglementaire du numérique, et les PME doivent s’adapter. NIS2 (cybersécurité) et AI Act (intelligence artificielle) sont complémentaires — et les deux entrent en application en 2026.
La bonne nouvelle : les investissements se recoupent. Un audit de sécurité pour NIS2 couvrira une partie des exigences de l’AI Act sur la protection des données. Une politique de gouvernance IA bien structurée renforcera votre posture NIS2. Traiter les deux sujets ensemble est plus efficace que de les aborder séparément.
Commencer maintenant, pas en septembre
NIS2 n’est pas une contrainte de plus — c’est une opportunité de structurer votre sécurité avant qu’un incident ne vous y oblige. Le coût moyen d’une cyberattaque pour une PME en France est estimé à 466 000 euros par l’ANSSI. Comparé à un budget de mise en conformité de 35 000 à 180 000 euros, le calcul est vite fait.
Votre première action cette semaine : rendez-vous sur MonEspaceNIS2 pour vérifier si votre entreprise est dans le périmètre. Si c’est le cas, contactez-nous pour un diagnostic de votre situation et un plan de mise en conformité adapté à votre budget.
Restez informé des dernières actualités gratuitement
Automatisation, IA, développement web et stratégie digitale pour PME. Un email par semaine, zéro spam.
Articles similaires
AI Act août 2026 : guide de conformité pratique pour les PME
IRN : diagnostiquez la dépendance SaaS de votre PME
Sécurité IA en PME : protégez vos données dès maintenant
