Cybersécurité

NIS2 et PME : le guide complet pour se mettre en conformité en 2026

mai 15, 2026

La directive NIS2 est entrée en application en France fin 2024. En 2026, des milliers de PME découvrent qu’elles sont concernées sans le savoir. Ce guide explique en clair qui doit se mettre en conformité, quelles sont les obligations réelles, ce que vous risquez en cas de manquement, et comment avancer concrètement sans transformer votre PME en forteresse.

Qu’est-ce que la directive NIS2 et pourquoi vous êtes peut-être concerné

NIS2 (Network and Information Security 2) est la directive européenne qui remplace NIS1. Elle impose un socle minimum de cybersécurité aux entreprises jugées essentielles au fonctionnement de l’économie et de la société.

La différence majeure avec NIS1 : le périmètre explose. NIS1 visait environ 300 acteurs en France. NIS2 en vise plusieurs milliers, dont une majorité de PME et d’ETI. La directive a été transposée en droit français en 2024. Son application monte en charge en 2025-2026.

Vous êtes potentiellement concerné dès lors que :

  • votre entreprise compte 50 collaborateurs ou plus, ou réalise plus de 10 M€ de chiffre d’affaires ;
  • votre activité relève d’un des 18 secteurs listés par la directive (énergie, transports, santé, eau, infrastructures numériques, services postaux, gestion des déchets, fabrication, agroalimentaire, services numériques, recherche, etc.) ;
  • ou vous êtes sous-traitant critique d’une entité régulée.

Concrètement, beaucoup de PME industrielles, logistiques, agroalimentaires, ou éditrices de SaaS B2B tombent dans le filet.

Entités essentielles ou entités importantes : la table de référence

NIS2 distingue deux régimes. La différence porte sur l’intensité du contrôle et le niveau de sanctions.

Critère Entité essentielle (EE) Entité importante (EI)
Taille ≥ 250 salariés ou CA > 50 M€ 50-249 salariés ou CA 10-50 M€
Secteurs concernés Secteurs « hautement critiques » (énergie, santé, transports, banque, infrastructures numériques, eau, espace) Secteurs « critiques » (poste, déchets, chimie, alimentaire, manufacturing, numérique, recherche)
Contrôle A priori et a posteriori, audits réguliers possibles A posteriori, sur signalement ou incident
Sanction administrative max. 10 M€ ou 2 % du CA mondial 7 M€ ou 1,4 % du CA mondial
Responsabilité dirigeants Engagée personnellement Engagée personnellement

[SOURCE À VÉRIFIER pour les seuils précis et plafonds applicables en France via la loi de transposition.]

Si vous êtes une PME de 50 à 250 salariés, vous serez le plus souvent une entité importante. Le régime est moins strict que pour les grands groupes, mais il existe bel et bien.

Les 4 grandes obligations NIS2 à connaître

NIS2 ne demande pas de devenir une banque. Elle exige un socle de gestion du risque cyber, mesurable et auditable.

1. Gouvernance et responsabilité du dirigeant

Le ou la dirigeante est responsable. Elle doit valider la politique de sécurité, suivre les indicateurs, et se former. C’est nouveau : la responsabilité ne peut plus être déléguée silencieusement à la DSI ou au prestataire info.

2. Gestion des risques cyber

Vous devez identifier vos actifs critiques, évaluer les risques, et mettre en place des mesures proportionnées : sauvegardes, gestion des accès, chiffrement, segmentation réseau, gestion des correctifs, sécurité de la chaîne d’approvisionnement.

3. Notification d’incidents

Un incident significatif doit être notifié à l’ANSSI dans les 24 heures (alerte précoce), avec un rapport complet sous 72 heures puis un rapport final sous un mois. Cela suppose d’avoir détecté l’incident — donc un minimum de supervision.

4. Formation et sensibilisation

Les équipes, en particulier les dirigeants, doivent être formées régulièrement aux risques cyber. Ce n’est pas une option.

Sanctions NIS2 : ce que vous risquez vraiment

Les sanctions sont graduées :

  • Mise en demeure publique de l’autorité compétente (ANSSI en France).
  • Sanctions financières jusqu’à 10 M€ ou 2 % du CA mondial pour une entité essentielle, 7 M€ ou 1,4 % pour une entité importante.
  • Suspension temporaire de certifications ou d’autorisations d’exercice pour certains secteurs.
  • Responsabilité personnelle du dirigeant, qui peut se voir interdire l’exercice de fonctions dirigeantes en cas de manquement grave.

[SOURCE À VÉRIFIER pour les plafonds définitifs en droit français après transposition.]

À retenir : la sanction probable pour une PME de bonne foi qui progresse est faible. La sanction probable pour une PME qui ignore le sujet et subit un incident grave est, elle, très réelle.

Calendrier de mise en œuvre en France

  • Octobre 2024 : entrée en vigueur formelle de la directive en Europe.
  • 2024-2025 : transposition française, publication des textes d’application.
  • 2025 : phase de déclaration auprès de l’ANSSI pour les entités concernées.
  • 2026 : entrée en régime de contrôle effectif. Les premières mises en demeure tombent.
  • 2027-2028 : montée en charge des contrôles et des sanctions financières.

Si vous n’avez rien fait au 15 mai 2026, vous êtes en retard, mais pas hors-jeu. Le bon réflexe est de démarrer maintenant, par étapes.

Comment se mettre en conformité quand on est une PME : 5 étapes pratiques

Étape 1 : Qualifier votre situation (1 à 2 semaines)

Vérifiez si vous êtes entité essentielle, importante, ou hors périmètre. Le critère est binaire : secteur + seuil. Un audit de qualification suffit. Coût : nul si interne, [VALEUR PROPOSÉE : 1 500 à 3 000 € si externalisé].

Étape 2 : Cartographier vos actifs critiques (2 à 4 semaines)

Listez vos systèmes, vos données sensibles, vos prestataires critiques. Sans cette cartographie, aucune analyse de risque n’a de sens.

Étape 3 : Réaliser une analyse de risque (4 à 6 semaines)

Méthode EBIOS RM ou méthode simplifiée pour PME. L’objectif n’est pas la perfection, c’est d’identifier les 10 à 20 risques majeurs et de prioriser.

Étape 4 : Mettre en place le socle technique et organisationnel (3 à 6 mois)

MFA partout, sauvegardes immuables testées, gestion des accès, supervision basique (SOC ou EDR managé), plan de réponse à incident, politique de sécurité documentée.

Étape 5 : Former, exercer, documenter (en continu)

Sensibilisation annuelle des équipes, exercice de crise au moins une fois par an, mise à jour de la documentation. La conformité NIS2 n’est pas un projet, c’est un cycle.

Le rôle d’un RSSI externalisé pour les PME

Une PME de 100 personnes ne recrute pas un RSSI à temps plein à 90 k€/an. La solution standard est le RSSI externalisé (ou RSSI à temps partagé) : un expert qui intervient quelques jours par mois pour piloter la conformité, l’analyse de risque, et la relation avec l’ANSSI en cas d’incident.

Budget indicatif pour une PME : [VALEUR PROPOSÉE : 800 à 1 500 €/mois selon le périmètre]. C’est sans commune mesure avec le coût d’un incident non maîtrisé ou d’une sanction administrative.

C’est exactement le modèle que nous portons avec Zoumio Security : un RSSI dédié, des outils intégrés (cartographie, registre des incidents, politique documentée), et un hébergement Azure France pour la souveraineté des données.

Les 5 erreurs à éviter

  1. Attendre une mise en demeure pour démarrer. Le coût de mise en conformité explose en mode pompier.
  2. Tout déléguer à la DSI sans portage dirigeant. La directive engage personnellement la direction.
  3. Acheter des outils avant d’avoir analysé les risques. Vous payez des solutions à des problèmes que vous n’avez pas.
  4. Confondre RGPD et NIS2. Les deux se renforcent mais ne se substituent pas. RGPD = données personnelles. NIS2 = continuité et sécurité des systèmes.
  5. Oublier la chaîne fournisseurs. Vos sous-traitants critiques doivent eux aussi être au niveau. C’est un point de contrôle explicite.

FAQ

NIS2 s’applique-t-elle aux PME de moins de 50 salariés ? Non, sauf cas particuliers (fournisseurs critiques, opérateurs de services numériques spécifiques, services essentiels au sens strict). Le seuil général est 50 salariés ou 10 M€ de CA.

Quelle est la différence entre NIS2 et le RGPD ? Le RGPD protège les données personnelles. NIS2 protège la continuité et la sécurité des systèmes d’information dans des secteurs jugés critiques. Une PME peut être soumise aux deux.

Quand commencent les contrôles NIS2 en France ? La phase de contrôle effectif a démarré en 2026. Les premières mises en demeure publiques sont attendues dans les mois qui viennent.

Combien coûte une mise en conformité NIS2 pour une PME de 100 salariés ? Comptez entre [VALEUR PROPOSÉE : 25 000 et 60 000 € la première année], puis 10 000 à 25 000 € en récurrent annuel, RSSI externalisé inclus. Le détail dépend de votre maturité de départ.

Qui est responsable en cas de manquement NIS2 ? Le dirigeant. La directive engage personnellement la direction générale, qui ne peut pas se défausser sur la DSI ou un prestataire.

Faut-il une certification ISO 27001 pour être conforme NIS2 ? Non. ISO 27001 aide, mais n’est pas exigée. NIS2 fixe un résultat (gestion du risque), pas une norme d’implémentation.

Que faire si on subit un incident demain ? Notifier l’ANSSI dans les 24 heures via la procédure officielle, isoler les systèmes touchés, déclencher votre plan de réponse, prévenir vos clients impactés. Si vous n’avez pas de plan, c’est exactement ce qu’il faut bâtir en premier.

Un cabinet d’avocats suffit-il pour être conforme ? Non. La conformité NIS2 est à 80 % technique et organisationnelle. L’avocat aide sur la qualification et le risque juridique, pas sur la sécurité opérationnelle.

En résumé

NIS2 concerne la majorité des PME françaises de plus de 50 salariés dans 18 secteurs d’activité. Les obligations tiennent en quatre piliers : gouvernance, gestion des risques, notification d’incident en 24 h, formation. Les sanctions vont jusqu’à 7 M€ ou 1,4 % du CA mondial pour une entité importante, avec engagement personnel du dirigeant. Le calendrier de contrôle effectif court depuis 2026. Pour une PME, le bon point de départ tient en cinq étapes : qualifier, cartographier, analyser, déployer un socle, former. Budget réaliste : 25 à 60 k€ la première année avec un RSSI externalisé.