LAUCKED
ConnexionDemander un diagnostic
← Blog/16 mars 202611 min de lecture

Checklist NIS2 PME 2026 : obligations, secteurs et plan d'action

La directive NIS2 concerne potentiellement plus de 15 000 entreprises françaises, dont de nombreuses PME de secteurs critiques. Cette checklist vous aide à déterminer si votre entreprise est visée, à comprendre les 10 obligations clés et à structurer un plan d'action réaliste. Si vous avez besoin d'un accompagnement opérationnel, consultez notre page mise en conformité NIS2.

R
Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

16 mars 2026·11 min de lecture·Fondateurs·LinkedIn

Qu'est-ce que la directive NIS2 ?

La directive NIS2 (UE 2022/2555) est la refonte majeure du cadre européen de cybersécurité. Adoptée en décembre 2022 et transposée en droit français en 2024-2025, elle remplace la directive NIS1 de 2016 qui ne s'appliquait qu'à quelques centaines d'opérateurs de services essentiels (OSE) en France. NIS2 élargit considérablement le périmètre : de 7 secteurs à 18 secteurs, et de quelques centaines d'entités à plus de 15 000 entreprises directement concernées.

NIS2 distingue deux catégories d'entités. Les entités essentielles (énergie, transports, santé, eau, infrastructure numérique, espace, administrations publiques) sont soumises aux obligations les plus strictes et à un régime de supervision proactif. Les entités importantes (services postaux, gestion des déchets, industrie chimique, alimentation, fabrication, services numériques, recherche) sont soumises à un régime de supervision réactif mais avec les mêmes obligations de base en matière de cybersécurité.

Les sanctions prévues sont dissuasives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % du CA pour les entités importantes. La responsabilité personnelle des dirigeants peut également être engagée en cas de manquement avéré, une nouveauté majeure par rapport à NIS1.

Votre PME est-elle concernée par NIS2 ?

La directive NIS2 utilise deux critères cumulatifs pour déterminer si votre entreprise est concernée : le secteur d'activité et la taille de l'entreprise. Votre PME est directement visée si elle opère dans l'un des 18 secteurs listés ci-dessous et qu'elle dépasse les seuils de taille définis.

Les 18 secteurs concernés

Énergie (électricité, gaz, pétrole, hydrogène)

Transports (aérien, ferroviaire, maritime, routier)

Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)

Eau potable et eaux usées

Infrastructure numérique (DNS, cloud, data centers, CDN)

Espace (opérateurs de systèmes spatiaux)

Services postaux et de courrier

Gestion des déchets

Fabrication (produits chimiques, dispositifs médicaux, électronique)

Industrie chimique (production, stockage, distribution)

Alimentation (production, transformation, distribution)

Recherche (organismes de recherche)

Services numériques (places de marché, moteurs de recherche, réseaux sociaux)

Administrations publiques

Fabrication de machines et équipements

Fabrication de véhicules et matériels de transport

Fournisseurs de services de sécurité managés

Fournisseurs de réseaux de communications électroniques

Critères de taille

Entités moyennes et grandes

Plus de 50 employés ou chiffre d'affaires annuel supérieur à 10 millions d'euros. Si votre PME remplit l'un de ces deux critères et opère dans un secteur couvert, elle est concernée par NIS2.

Exceptions : petites entités visées

Certaines petites entreprises sont concernées quelle que soit leur taille : fournisseurs de DNS, registres de noms de domaine, fournisseurs de services de confiance, opérateurs de réseaux de communications publics, et entités identifiées par les États membres comme critiques.

Arbre de décision simplifié

  1. 1. Votre entreprise opère-t-elle dans l'un des 18 secteurs listés ci-dessus ? Si non, vous n'êtes pas directement concerné (mais vos clients pourraient l'être).
  2. 2. Votre entreprise compte-t-elle plus de 50 employés OU réalise-t-elle plus de 10 M€ de CA annuel ? Si oui, vous êtes concerné.
  3. 3. Même sous ces seuils, êtes-vous fournisseur DNS, registre de domaine, prestataire de services de confiance ou opérateur télécom ? Si oui, vous êtes concerné.
  4. 4. En cas de doute, consultez la liste des entités publiée par l'ANSSI ou faites-vous accompagner par un expert en conformité cyber.

Les 10 obligations clés de NIS2

L'article 21 de la directive NIS2 définit les mesures de gestion des risques en matière de cybersécurité que les entités essentielles et importantes doivent mettre en œuvre. Voici les 10 obligations fondamentales à intégrer dans votre feuille de route.

  1. 1Analyse de risques — Réaliser une analyse de risques complète couvrant les systèmes d’information, les processus métier critiques et les menaces cyber pertinentes pour votre secteur.
  2. 2Gestion des incidents (notification 24h) — Mettre en place un processus de détection et de notification des incidents significatifs. Alerte initiale à l’ANSSI sous 24 heures, rapport intermédiaire sous 72 heures, rapport final sous un mois.
  3. 3Continuité d’activité — Élaborer un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) incluant gestion de crise, sauvegardes et procédures de restauration testées régulièrement.
  4. 4Sécurité de la chaîne d’approvisionnement — Évaluer les risques liés à vos fournisseurs et prestataires. Intégrer des clauses de sécurité dans les contrats et vérifier la posture cyber de vos sous-traitants critiques.
  5. 5Sécurité des réseaux et systèmes d’information — Sécuriser les architectures réseau, segmenter les environnements, protéger les accès distants et surveiller le trafic en temps réel.
  6. 6Politiques de gestion des vulnérabilités — Mettre en place un processus de veille, d’identification et de correction des vulnérabilités. Appliquer les correctifs de sécurité dans des délais définis et documentés.
  7. 7Tests de sécurité réguliers (pentest) — Conduire des tests d’intrusion et des audits de sécurité réguliers pour vérifier l’efficacité des mesures en place et identifier les failles exploitables.
  8. 8Chiffrement — Mettre en œuvre le chiffrement des données en transit et au repos, ainsi que des politiques de gestion des clés cryptographiques adaptées au niveau de sensibilité des données.
  9. 9Contrôle d’accès et MFA — Implémenter une gestion stricte des identités et des accès, avec authentification multi-facteurs (MFA) pour les accès critiques, comptes administrateurs et accès distants.
  10. 10Formation cybersécurité du personnel — Former l’ensemble des collaborateurs aux bonnes pratiques cyber et sensibiliser la direction aux enjeux de sécurité. La responsabilité des dirigeants peut être engagée en cas de manquement.

Comment Laucked vous aide à être conforme NIS2

La mise en conformité NIS2 peut sembler complexe pour une PME. Laucked propose des services qui répondent directement aux obligations de la directive, avec une approche pragmatique et adaptée aux moyens des PME françaises.

Pentest = Tests de sécurité (obligation 7)

Notre service de pentest couvre l'obligation de tests de sécurité réguliers. Tests d'intrusion web, API, infrastructure selon la méthodologie OWASP/PTES avec rapport de remédiation priorisé.

Guard = Monitoring continu (obligation 5)

Laucked Guard assure une surveillance continue de vos actifs exposés : détection de vulnérabilités, monitoring des certificats, alertes en temps réel. Cela répond à l'obligation de sécurité des réseaux et SI.

Diagnostic = Analyse de risques (obligation 1)

Notre diagnostic de sécurité identifie vos actifs critiques, évalue votre surface d'attaque et produit une analyse de risques conforme aux attentes de NIS2 et de l'ANSSI.

Au-delà de ces trois piliers, nous accompagnons les PME sur la gestion des vulnérabilités (obligation 6), le contrôle d'accès et MFA (obligation 9), et la sécurité de la chaîne d'approvisionnement (obligation 4) avec des audits de vos prestataires critiques.

Découvrez notre page dédiée conformité NIS2 pour un aperçu complet de notre accompagnement, ou consultez notre guide sur l'assurance cyber qui complète utilement une démarche NIS2.

Traduire NIS2 en actions concrètes

NIS2 devient concret quand il faut produire des preuves pour un client ou qualifier un fournisseur critique dans votre chaîne de sous-traitance.

Questionnaire sécurité client

Pour transformer vos exigences NIS2 en dossier lisible, exploitable et défendable face à un acheteur.

Revue fournisseur

Pour cadrer la qualification cyber de vos prestataires quand la supply chain devient un sujet de conformité.

Vérifiez votre conformité NIS2

Ne prenez pas le risque de sanctions pouvant atteindre 10 millions d'euros. Laucked accompagne les PME françaises dans leur mise en conformité NIS2 avec une approche pragmatique : diagnostic, pentest, monitoring continu et plan de remédiation priorisé.

Demander un diagnostic NIS2Voir notre offre NIS2

Sources et références

  • Directive (UE) 2022/2555 — NIS2 (EUR-Lex)
  • La directive NIS 2 — Guide ANSSI (cyber.gouv.fr)
  • NIS Directive — ENISA (enisa.europa.eu)
LAUCKED

Diagnostic de surface, pentest expert et Guard pour les PME exposées au web, aux API et aux intégrations sensibles.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 7 43 58 07 38
6 certifications et qualifications →

Produit

  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse
  • Changelog
  • Statut

Entreprise

  • Pourquoi Laucked
  • Centre de confiance
  • Auteur
  • Contact
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données