Guide NIS 2 pour PME

Préface

Si vous lisez ce guide, c'est probablement parce qu'un client, un appel d'offres, un assureur ou un commercial cyber vous a parlé de NIS 2 ces derniers mois. Et vous vous demandez ce que ça change concrètement pour votre PME.

Bonne nouvelle : l'essentiel tient sur une trentaine de pages. Mauvaise nouvelle : la deadline du 17 octobre 2026 approche, et plusieurs milliers de PME françaises seront prises de court parce qu'elles auront cru "ne pas être concernées" alors que la chaîne d'approvisionnement les rattrape.

Ce guide est conçu pour vous donner, en lecture rapide, tout ce qu'un dirigeant ou un DSI de PME a besoin de savoir pour décider sereinement de la marche à suivre. Pas de jargon réglementaire inutile, pas de sur-promesses, des chiffres et des actions concrètes.

Bonne lecture, et si vous avez une question, écrivez-nous à aubryetienne@icloud.com ou réservez 30 minutes en visio sur calendly.com/dilmseo/votre-audit-nis2.

Chapitre 1 — Qu'est-ce que NIS 2 ?

1.1 Origine et objectif

La directive NIS 2 (Network and Information Security 2) est le règlement européen (UE) 2022/2555 publié le 27 décembre 2022. Elle remplace la directive NIS 1 de 2016 et impose un niveau commun élevé de cybersécurité dans toute l'Union européenne.

L'objectif politique : harmoniser un cadre fragmenté, protéger les chaînes d'approvisionnement face à l'explosion des ransomwares depuis 2020, et éviter qu'un État membre ne devienne un maillon faible exploitable par des attaques étatiques ou criminelles.

1.2 Trois nouveautés majeures par rapport à NIS 1

Élargissement du périmètre : 18 secteurs concernés (vs 6 sous NIS 1), avec environ 15 000 entités directement obligées en France et 50 000 à 100 000 sous-traitants concernés indirectement.
Sanctions calibrées : jusqu'à 10 M€ ou 2% du CA mondial (entités essentielles), 7 M€ ou 1,4% (entités importantes), avec responsabilité personnelle des dirigeants.
Sécurité de la chaîne d'approvisionnement : obligation explicite d'auditer ses fournisseurs critiques et d'inscrire des clauses de sécurité dans les contrats.

1.3 Pourquoi c'est différent du RGPD

NIS 2 et RGPD se complètent mais ne se confondent pas. Le RGPD protège les données personnelles. NIS 2 protège la résilience des systèmes d'information critiques. Une même PME peut être soumise aux deux. Les deux régimes se croisent sur la sécurité des traitements (article 32 RGPD ↔ mesures techniques NIS 2), mais leurs autorités, sanctions et délais de notification sont distincts.

Chapitre 2 — Qui est concerné

2.1 Les deux catégories

Entités Essentielles (EE) : ≥ 250 salariés ou ≥ 50 M€ de CA, dans un secteur hautement critique (énergie, santé, transport, finance, eau, infrastructures numériques, administration publique). Sanctions max : 10 M€ ou 2% du CA mondial.

Entités Importantes (EI) : 50 à 249 salariés ou 10 à 50 M€ de CA, dans tous les secteurs concernés. Sanctions max : 7 M€ ou 1,4% du CA.

Certains opérateurs sont concernés quel que soit leur effectif : opérateurs DNS, registres TLD, IXP, fournisseurs de services managés (MSP, MSSP), prestataires de services de confiance, certains opérateurs de communications électroniques.

2.2 Les 18 secteurs listés

Secteurs hautement critiques (annexe I) : énergie, transport, banque, marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, administration publique, espace.

Autres secteurs critiques (annexe II) : services postaux, gestion des déchets, fabrication chimique, agroalimentaire, fabrication critique (équipements médicaux, informatiques, électroniques, machines, véhicules), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.

2.3 Le piège de la chaîne d'approvisionnement

Le mécanisme qui ratisse le plus de PME est l'effet domino contractuel. Si vous êtes sous-traitant d'une entité essentielle ou importante, votre client vous transfère son obligation de sécurisation par contrat. Concrètement : questionnaire fournisseur sécurité, avenant contractuel, ou audit fournisseur. Pas de réponse → suspension du contrat ou non-renouvellement.

2.4 Auto-test rapide

Êtes-vous dans un secteur listé NIS 2, avec ≥ 50 salariés ou ≥ 10 M€ de CA ? → Concerné directement.
Avez-vous reçu une demande NIS 2 d'un client (questionnaire, courrier, avenant) ? → Concerné indirectement.
Êtes-vous fournisseur de services managés numériques (MSP, MSSP, hébergeur, infogérance, opérateur DNS) ? → Concerné quel que soit l'effectif.
Êtes-vous sous-traitant régulier d'un grand donneur d'ordre régulé (industrie, santé, énergie, finance, télécom) ? → Très probablement concerné dans les 12 prochains mois.

Chapitre 3 — Les 10 mesures de l'article 21

L'article 21 de la directive impose dix mesures techniques et organisationnelles minimales. Pour chacune, voici ce qu'il faut documenter et déployer.

Mesure 1 — Politique de sécurité des SI

Document de référence du dispositif cybersécurité, approuvé par la direction, communiqué aux collaborateurs, revu au moins annuellement. Pour une PME, 8 à 15 pages suffisent.

Mesure 2 — Gestion des risques cybersécurité

Analyse de risques formelle (méthodologie EBIOS RM allégée recommandée), cartographie des actifs critiques, plan de traitement avec décisions explicites (accepter, réduire, transférer, éviter).

Mesure 3 — Gestion des incidents

Plan de réponse aux incidents, capacité à notifier l'ANSSI dans les délais imposés (24h alerte précoce, 72h rapport, 1 mois rapport final). Une boîte mail dédiée et un canal de communication isolé suffisent pour démarrer.

Mesure 4 — Continuité d'activité

Plan de continuité opérationnel avec RTO/RPO chiffrés sur les services critiques, sauvegardes immuables (3-2-1-1-0 minimum), test de restauration documenté au moins une fois par an.

Mesure 5 — Sécurité de la chaîne d'approvisionnement

Inventaire des fournisseurs critiques, questionnaire de sécurité fournisseur, clauses contractuelles types (notification d'incident, droit d'audit, obligations de sécurité de base).

Mesure 6 — Sécurité acquisition / développement / maintenance SI

Politique d'achat IT avec critères de sécurité, intégration de scans de vulnérabilités dans les pipelines de déploiement, politique de patch management (au moins mensuel).

Mesure 7 — Évaluation de l'efficacité

Tableau de bord cyber avec quelques indicateurs clés (couverture MFA, temps de patch, taux de phishing simulé), revue annuelle par la direction.

Mesure 8 — Cyberhygiène et formation

Charte informatique signée, sensibilisation annuelle (1h minimum), formation cybersécurité spécifique des dirigeants (4-8h/an).

Mesure 9 — Cryptographie et chiffrement

HTTPS obligatoire, TLS 1.2+, chiffrement disques (BitLocker, FileVault), chiffrement des bases de données contenant des données sensibles, sauvegardes chiffrées.

Mesure 10 — RH, contrôle d'accès, MFA

MFA généralisée sur tous les accès externes et tous les comptes à privilèges, procédures d'arrivée et de départ documentées, revue trimestrielle des accès.

Chapitre 4 — Sanctions et risques réels

4.1 Amendes administratives

Plafonds : 10 M€ ou 2% du CA mondial (entités essentielles) ; 7 M€ ou 1,4% du CA mondial (entités importantes), le plus élevé des deux. L'autorité tient compte de la gravité, de la durée, du caractère intentionnel ou négligent, et du degré de coopération.

4.2 Responsabilité personnelle des dirigeants

Nouveauté majeure : les organes de direction doivent approuver formellement les mesures de gestion des risques et suivre une formation régulière. En cas de manquement caractérisé, suspension temporaire des fonctions du dirigeant possible.

4.3 Le vrai risque pour une PME : la perte de contrats

Pour la majorité des PME, l'amende ANSSI n'est pas le risque principal. Le vrai risque est commercial : perte de contrats avec les donneurs d'ordre régulés, non-attestation par les assureurs cyber, sortie des short-lists d'appels d'offres.

4.4 Anticiper la phase de démarrage

Les premières sanctions effectives sont attendues courant 2027, avec une approche pédagogique pour la phase initiale. Les PME ayant une démarche structurée même partielle sont dans une position défendable.

Chapitre 5 — Calendrier français

Date	Évènement
27 décembre 2022	Publication de la directive UE 2022/2555 au JOUE
17 janvier 2023	Entrée en vigueur européenne
17 octobre 2024	Date limite officielle de transposition (France en retard)
Mars 2025	Adoption au Sénat français
Septembre 2025	Vote en commission Assemblée nationale
T1 2026	Promulgation loi française attendue
T2 2026	Décrets d'application
17 octobre 2026	Date butoir mise en conformité opérationnelle
Fin 2026 / 2027	Début progressif des contrôles et sanctions

Chapitre 6 — Plan d'action 6 mois pour PME

Pour une PME de 10-50 personnes qui démarre début 2026, voici un plan tenable.

Mois 1 — Diagnostic

Pré-audit pour positionner votre situation. Désignation d'un référent cybersécurité interne (souvent le dirigeant ou un IT manager). Validation du budget par la direction.

Mois 2-3 — Documentation et contrôles techniques

Audit complet sur les 10 mesures. Rédaction des politiques manquantes. Déploiement MFA sur tous les comptes admin et accès externes. Mise en place de sauvegardes immuables.

Mois 4-5 — Déploiement avancé

Gestion des comptes à privilèges. Chiffrement généralisé. Sensibilisation des équipes. Formation cybersécurité du dirigeant. Inventaire et avenants fournisseurs critiques.

Mois 6 — Finalisation

Audit interne de conformité. Préparation du dossier opposable aux donneurs d'ordre. Test du plan de continuité. Souscription cyber-assurance si pertinent.

Continu après octobre 2026

Maintenance, revues trimestrielles, exercices phishing, veille réglementaire. Renouvellement audit annuel.

Chapitre 7 — Articulation avec ISO 27001, RGPD, HDS

NIS 2 ↔ ISO 27001

Recouvrement de ~80% sur les contrôles. Une PME certifiée ISO 27001 a quasi-totalement la conformité NIS 2. À l'inverse, démarrer par NIS 2 prépare une éventuelle certification ISO 27001 ultérieure.

NIS 2 ↔ RGPD

Complémentaires. La sécurité des traitements (RGPD article 32) recoupe les mesures techniques NIS 2 (cryptographie, contrôle d'accès). Un même incident peut déclencher deux notifications (CNIL pour RGPD, ANSSI pour NIS 2).

NIS 2 ↔ HDS / SecNumCloud

Les acteurs HDS (hébergeurs de données de santé) ou SecNumCloud (cloud souverain ANSSI) couvrent déjà 90% des exigences NIS 2. Quelques points spécifiques restent à traiter (notification 24h-72h, sécurisation chaîne d'approvisionnement).

Chapitre 8 — Ressources & contacts

Sources officielles

Texte de la directive : eur-lex.europa.eu — règlement (UE) 2022/2555
ANSSI : ssi.gouv.fr — guides cybersécurité, recommandations
MesServicesCyber.gouv.fr — référentiel français de transposition
Cybermalveillance.gouv.fr — annuaire des prestataires référencés

Outils gratuits Audit NIS2

Quiz NIS 2 en 5 minutes : audit-nis2.com/etes-vous-concerne-nis2
Blog : audit-nis2.com/blog (14+ articles approfondis)
Calculateur budget NIS 2 : sur demande à aubryetienne@icloud.com

Nous contacter

Pré-audit (299 €, livré 48h) : audit-nis2.com/services/pre-audit-nis2
Audit complet (1 500 €) : audit-nis2.com/services/audit-nis2-complet
Audit + accompagnement 3 mois (2 500 €) : audit-nis2.com/services/audit-accompagnement-nis2
Visio découverte gratuite 30 min : calendly.com/dilmseo/votre-audit-nis2

Téléphone : 07 51 13 37 69 · Email : aubryetienne@icloud.com