Guide NIS2 PME 2026 — comprendre la directive en 15 minutes

La directive NIS2 est devenue en quelques mois la principale obligation cybersécurité pour les entreprises françaises de moins de 250 salariés. Beaucoup en ont entendu parler par un email d’un client donneur d’ordre, par un commercial cyber agressif, ou par leur expert-comptable inquiet. Ce guide reprend l’essentiel de ce qu’un dirigeant de PME doit savoir en 2026, sans jargon réglementaire, pour décider sereinement de la marche à suivre.

Ce qu’est NIS2, en une phrase

NIS2 est la directive européenne (UE) 2022/2555 du 14 décembre 2022 qui impose aux entités publiques et privées de 18 secteurs critiques un niveau commun élevé de cybersécurité dans toute l’Union européenne. Elle remplace la directive NIS1 de 2016 en élargissant considérablement son périmètre, en durcissant les sanctions et en introduisant la responsabilité personnelle des dirigeants.

L’objectif politique est clair : harmoniser un cadre fragmenté, protéger les chaînes d’approvisionnement critiques face à l’explosion des ransomwares depuis 2020, et éviter qu’un État membre ne devienne un maillon faible exploitable par des attaques étatiques ou criminelles.

Pourquoi NIS2 est différente de NIS1

NIS1, adoptée en 2016, était une directive d’amorçage. Elle visait environ 300 opérateurs de services essentiels (OSE) en France, avec une transposition nationale très hétérogène d’un État membre à l’autre. Trois constats ont motivé la rédaction de NIS2.

D’abord, NIS1 ne couvrait que 6 secteurs, alors que les attaques se propageaient dans des secteurs non régulés (collectivités, hôpitaux non reconnus OSE, grandes industries non listées). Ensuite, le critère de désignation OSE laissait beaucoup de pouvoir discrétionnaire aux États, ce qui créait des distorsions de concurrence. Enfin, l’explosion des ransomwares et des supply chain attacks (SolarWinds, Kaseya, MOVEit) a démontré que la sécurisation isolée des grands opérateurs ne suffisait pas : il fallait étendre l’obligation à toute leur chaîne d’approvisionnement.

NIS2 répond à ces trois critiques en passant à 18 secteurs, en retenant un critère automatique d’inclusion (taille + secteur), et en imposant explicitement la sécurisation de la chaîne d’approvisionnement.

Les 18 secteurs concernés

NIS2 distingue les secteurs hautement critiques (annexe I) et les autres secteurs critiques (annexe II). La distinction détermine la catégorie d’entité et le montant maximal des sanctions.

Sont hautement critiques : énergie, transport, banque, marchés financiers, santé, eau potable et eaux usées, infrastructures numériques (DNS, IXP, cloud, datacenters, CDN, MSP/MSSP), administration publique, espace.

Sont autres secteurs critiques : services postaux, gestion des déchets, fabrication chimique, agroalimentaire, fabrication critique (équipements médicaux, informatiques, électroniques, optiques, machines, véhicules), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.

Entités essentielles vs entités importantes

NIS2 crée deux catégories d’entités, avec des conséquences différentes en matière de surveillance et de sanctions.

Les entités essentielles (EE) sont les structures dans les secteurs hautement critiques avec plus de 250 salariés ou plus de 50 M€ de CA ou plus de 43 M€ de bilan. Elles sont soumises à une supervision a priori (audits réguliers possibles, contrôles ANSSI), et les sanctions maximales atteignent 10 M€ ou 2% du CA mondial.

Les entités importantes (EI) sont les structures dans tous les secteurs concernés avec 50 à 249 salariés ou 10 à 50 M€ de CA. Elles sont soumises à une supervision a posteriori (en réaction à un incident ou à un signalement), avec des sanctions maximales à 7 M€ ou 1,4% du CA mondial.

Certaines entités sont concernées quel que soit leur effectif : opérateurs DNS, registres TLD, IXP, fournisseurs de services managés critiques, certaines administrations publiques. La taille n’est plus un critère pour ces structures.

Le calendrier français en 2026

La directive a été adoptée le 27 décembre 2022 et est entrée en vigueur le 17 janvier 2023. La date limite officielle de transposition par les États membres était le 17 octobre 2024. La France, comme la majorité des pays européens, n’a pas tenu cette échéance. Le projet de loi de transposition a été adopté au Sénat en mars 2025, voté en commission à l’Assemblée nationale en septembre 2025, et la loi devrait être promulguée au premier trimestre 2026, suivie des décrets d’application au deuxième trimestre.

La date de mise en conformité opérationnelle retenue est le 17 octobre 2026 : à cette date, toute entité concernée doit être en mesure de démontrer la mise en place des dix mesures techniques et organisationnelles imposées par l’article 21 de la directive. Les sanctions deviendront applicables après cette date.

Concrètement, pour une PME, cela laisse environ 5 à 10 mois selon la date à laquelle elle découvre son obligation pour conduire un audit, déployer les contrôles manquants, rédiger les politiques et former les équipes.

Les 10 mesures de l’article 21

L’article 21 de la directive impose dix mesures techniques et organisationnelles minimales. Ce sont elles qui structurent tout audit NIS2 sérieux.

1. Politique de sécurité des systèmes d’information : un document approuvé par la direction qui décrit les principes, les rôles et les responsabilités cyber dans l’organisation.
2. Gestion des risques cybersécurité : une analyse des risques périodique, formalisée, avec des décisions explicites de couverture.
3. Gestion des incidents : un processus de détection, d’analyse, de notification et de retour d’expérience post-incident.
4. Continuité d’activité et gestion des crises : un plan de continuité, de reprise après incident, et des tests réguliers.
5. Sécurité de la chaîne d’approvisionnement : audit des fournisseurs critiques, clauses contractuelles, vérification de la conformité des sous-traitants.
6. Sécurité de l’acquisition, du développement et de la maintenance des SI : intégration de la sécurité dans le cycle de vie des projets IT.
7. Politiques d’évaluation de l’efficacité : KPIs cyber, revues internes, mesure des contrôles.
8. Pratiques de cyberhygiène et formation : sensibilisation des collaborateurs, exercices phishing, formation des équipes IT.
9. Cryptographie et chiffrement : chiffrement des données sensibles au repos et en transit.
10. Sécurité des ressources humaines, contrôle d’accès, MFA : authentification multifactorielle, gestion des comptes à privilèges, départ des collaborateurs.

Sanctions et responsabilité

Les sanctions financières sont calibrées sur le modèle du RGPD. Pour les entités essentielles, jusqu’à 10 M€ ou 2% du CA mondial annuel (le plus élevé des deux). Pour les entités importantes, jusqu’à 7 M€ ou 1,4% du CA mondial.

La nouveauté la plus marquante par rapport à NIS1 est la responsabilité personnelle des dirigeants. La directive prévoit explicitement que les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation cybersécurité régulière. En cas de manquement caractérisé, les autorités nationales pourront prononcer une suspension temporaire des fonctions du dirigeant, ou interdire à l’entité concernée d’exercer certaines activités.

À cela s’ajoutent des sanctions plus immédiates et souvent plus douloureuses : la suspension de contrats par les donneurs d’ordre régulés, la non-attestation par les assureurs cyber, et la mise en demeure publique par les autorités, avec un effet de réputation potentiellement durable.

Notification des incidents : 24h et 72h

La directive impose un calendrier strict de notification des incidents significatifs à l’autorité nationale (ANSSI en France).

24 heures : alerte précoce contenant les premières informations disponibles. 72 heures : rapport d’incident plus complet incluant les informations techniques et la nature de la menace. 1 mois : rapport final décrivant l’incident, les actions correctrices prises et les leçons tirées.

Pour une PME sans procédure formelle, tenir ces délais en plein incident est un défi. C’est pourquoi un plan de réponse aux incidents documenté et testé fait partie des livrables d’audit prioritaires.

Plan d’action pratique pour une PME

Si vous êtes concerné, voici la démarche structurée que nous recommandons.

Mois 1 : pré-audit pour identifier les écarts majeurs et établir un plan d’action priorisé. Validation interne du plan auprès de la direction. Affectation d’un référent cybersécurité (souvent un dirigeant ou un IT manager).

Mois 2-3 : audit complet sur les dix mesures de l’article 21. Rédaction des politiques manquantes (politique de sécurité, plan de continuité, charte informatique, plan de réponse aux incidents). Mise en place des contrôles techniques de base : MFA généralisé, sauvegardes immuables, journalisation des accès aux systèmes critiques.

Mois 4-5 : déploiement des contrôles avancés (gestion des comptes à privilèges, chiffrement des données sensibles, cloisonnement réseau si pertinent). Sensibilisation des équipes. Test du plan de continuité.

Mois 6 : audit de conformité interne, préparation des questionnaires fournisseurs pour les donneurs d’ordre. Souscription d’une cyber-assurance si pertinent.

Continu : maintenance, veille réglementaire, exercices de simulation d’incident, revue trimestrielle des contrôles.

Ce que NIS2 n’est pas

Pour éviter les confusions, voici trois choses que NIS2 n’est pas.

NIS2 n’est pas le RGPD. Elle s’occupe de la sécurité des systèmes d’information et de la résilience face aux cyberattaques, pas de la protection des données personnelles. Les deux réglementations se complètent et peuvent toutes deux s’appliquer à une même entité.

NIS2 n’est pas une obligation d’avoir un PASSI. Sauf cas spécifiques (entités essentielles très exposées, secteurs sectoriellement régulés), il n’y a pas d’obligation légale de faire appel à un prestataire qualifié ANSSI pour réaliser l’audit. Un audit conduit par un prestataire compétent suffit pour la grande majorité des PME.

NIS2 n’est pas une garantie de cybersécurité. Se conformer à la directive ne dispense pas de continuer à faire évoluer son dispositif face aux menaces. Le piratage par ransomware d’un hôpital français en 2024 montre qu’une conformité formelle peut coexister avec une faille opérationnelle.

Combien ça coûte

Pour une PME de 10 à 50 personnes, le budget total de mise en conformité varie typiquement entre 2 000 € et 10 000 €, selon le niveau initial. Cela inclut un audit (1 500 € chez nous), la mise à jour des politiques, le déploiement de la MFA si elle n’est pas déjà en place, l’amélioration des sauvegardes, et 1 à 2 jours de formation des équipes. Pour une structure plus mature, le coût peut se limiter à 1 000-2 000 € de mise à jour documentaire et de formation.

À noter que le Diag Cybersécurité de BPI France subventionne jusqu’à 32% des prestations d’audit et de mise en conformité pour les PME éligibles. C’est un levier important à mobiliser dès le début de la démarche.

Conclusion

NIS2 n’est ni une formalité administrative qu’on règle en cochant des cases, ni un mur infranchissable réservé aux grands comptes. Pour une PME, c’est un projet structurant de 3 à 6 mois, à un budget raisonnable, qui apporte au passage des bénéfices opérationnels (résilience, image, capacité à répondre aux appels d’offres). La deadline du 17 octobre 2026 est ferme. Plus tôt vous démarrez, plus tôt vous arrivez à une posture défendable.

Pour aller plus loin : le quiz NIS2 en 5 minutes pour savoir si vous êtes concerné, l’article sur les 10 mesures de l’article 21 expliquées simplement, et notre pré-audit à 299€ pour démarrer concrètement.