← Blog/19 avril 202622 min de lecture

NIS2 PME : guide complet 2026

Q: Quand NIS2 s'applique-t-elle réellement en France ?

La directive UE 2022/2555 (NIS2) devait être transposée par les États membres au plus tard le 17 octobre 2024. En France, la transposition a été votée par la loi n° 2024-2025 dite « REN » (Résilience des activités d'importance vitale, protection des infrastructures critiques et cybersécurité) promulguée en 2025. Les décrets d'application précisent les seuils, les secteurs et les modalités. L'ANSSI est l'autorité nationale compétente et accompagne les entreprises avec un calendrier progressif : auto-déclaration des entités concernées sur MonEspaceNIS2, puis contrôles et sanctions à partir de 2026-2027.

Q: Quelle différence entre entité essentielle (EE) et entité importante (EI) ?

La distinction dépend du secteur (annexe I = secteurs de haute criticité, annexe II = autres secteurs critiques), de la taille (>250 salariés ou >50M€ CA et >43M€ bilan = grande entreprise ; 50-250 salariés ou 10-50M€ CA = moyenne entreprise) et, dans certains cas, d'une désignation par l'ANSSI. Les EE ont des obligations renforcées : supervision proactive, sanctions jusqu'à 10M€ ou 2% du CA mondial, possibilité de suspension temporaire du dirigeant. Les EI ont des obligations identiques en substance mais avec un régime de supervision ex-post et des sanctions plafonnées à 7M€ ou 1,4% du CA.

Tout ce qu'une PME française doit savoir sur la directive NIS2 : transposition par la loi REN, distinction entité essentielle / importante, les 18 secteurs concernés, les obligations article par article, les sanctions (jusqu'à 10 M€ ou 2% du CA), l'articulation avec RGPD, DORA et CRA, et une feuille de route 18 mois budgétisée. Ce guide est pensé pour les décideurs (CEO, DSI, RSSI, DPO) et pour justifier les arbitrages en CODIR.

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

19 avril 2026·22 min de lecture·Fondateurs·LinkedIn

1. De NIS à NIS2 : pourquoi le renforcement

La directive NIS originelle (UE 2016/1148) visait une poignée d'opérateurs de services essentiels (OSE) et de fournisseurs de service numérique (FSN). En France, environ 300 entités étaient concernées : opérateurs d'importance vitale (OIV), grands acteurs énergétiques, transport, santé, infrastructures numériques critiques.

La Commission européenne a constaté en 2020 trois limites majeures : un champ d'application trop étroit face à l'explosion des cyberattaques, une harmonisation trop faible entre États membres (chacun désignait ses OSE différemment), et un régime de sanctions peu dissuasif. Le Parlement européen a donc adopté NIS2 (règlement UE 2022/2555) en décembre 2022 pour transposition avant le 17 octobre 2024.

Les changements structurants de NIS2 par rapport à NIS :

Passage de ~300 entités françaises visées par NIS à 15 000+ entités françaises par NIS2 (estimation ANSSI).
Création de la distinction entité essentielle (EE) / entité importante (EI) à la place du binôme OSE/FSN.
Couverture de 18 secteurs (au lieu de 7), avec des sous-secteurs élargis (healthtech, MSP, administration, espace, recherche).
Responsabilité personnelle des dirigeants (art. 20) : approbation et supervision des mesures cyber au niveau de l'organe de direction.
Sanctions renforcées : jusqu'à 10 M€ ou 2% du CA mondial (entités essentielles), 7 M€ ou 1,4% du CA (entités importantes).
Obligation de notification d'incident en trois temps : 24h (alerte initiale), 72h (rapport intermédiaire), 1 mois (rapport final).
Responsabilité explicite sur la chaîne d'approvisionnement logicielle et IT (supply chain cyber).

2. Transposition française : la loi REN et le rôle de l'ANSSI

La France a transposé NIS2 via la loi « REN » (Résilience des activités d'importance vitale, protection des infrastructures critiques et cybersécurité). Le texte intègre dans un véhicule unique les transpositions de NIS2, REC (Résilience des Entités Critiques, directive UE 2022/2557) et DORA pour le secteur financier. Les décrets d'application et arrêtés ANSSI précisent les modalités opérationnelles (seuils, secteurs désignés, canaux de notification).

L'ANSSI est l'autorité nationale compétente. Elle :

maintient le registre des entités régulées via la plateforme MonEspaceNIS2 (auto-déclaration obligatoire) ;
publie des guides sectoriels et un référentiel minimal des mesures (vade-mecum NIS2) ;
conduit ou mandate les audits et contrôles (inspections, audits documentaires, audits techniques pouvant inclure des pentests) ;
reçoit les notifications d'incidents significatifs et coordonne la réponse avec le CERT-FR ;
propose ou prononce les sanctions, avec gradation (mise en demeure, astreintes, sanctions financières, sanctions individuelles des dirigeants pour EE).

Un calendrier progressif est en vigueur : auto-déclaration 2025-2026, contrôles documentaires généralisés 2026, inspections techniques ciblées et sanctions pleinement activées à partir de 2027. Les entités déjà régulées LPM (OIV) ou déjà certifiées ISO 27001 / SecNumCloud bénéficient d'une reconnaissance partielle de leurs efforts existants.

3. Qui est concerné : secteurs, taille, entité essentielle vs importante

Pour savoir si votre PME est concernée, trois critères se combinent : le secteur, la taille, et la désignation par l'ANSSI.

Critère 1 — le secteur

NIS2 distingue les secteurs de haute criticité (annexe I) et les autres secteurs critiques (annexe II).

Secteur annexe I (haute criticité)	Exemples
Énergie	électricité, gaz, pétrole, chauffage urbain, hydrogène
Transports	aérien, ferroviaire, maritime, routier (flottes critiques)
Banque et marchés financiers	établissements de crédit, plateformes, infrastructures de marché (prime DORA)
Santé	hôpitaux, laboratoires, fabricants de DM, produits pharma, éditeurs HDS
Eau potable et eaux usées	distribution, assainissement collectif
Infrastructures numériques	IXP, DNS TLD, registraires, clouds, data centers, CDN, services de confiance eIDAS
Administration publique	centrale et régionale désignée
Espace	opérateurs de services spatiaux au sol
Gestion de services TIC (B2B)	MSP, MSSP, intégrateurs de systèmes

Secteur annexe II (critique)	Exemples
Services postaux et de courrier	opérateurs postaux, messageries express
Gestion des déchets	collecte, tri, traitement, économie circulaire
Fabrication et distribution de produits chimiques	industrie chimique, détergents, matériaux
Production, transformation et distribution alimentaire	agroalimentaire, grossistes, plateformes logistiques
Fabrication (manufacturing)	DM (hors santé EE), électronique, machines, automobile, aérospatial (hors militaire)
Fournisseurs numériques	places de marché, moteurs de recherche, réseaux sociaux
Recherche	organismes de recherche désignés

Critère 2 — la taille (règles européennes PME)

NIS2 reprend les seuils européens de classification des entreprises :

Grande entreprise : >250 salariés OU (CA >50 M€ ET bilan >43 M€).
Moyenne entreprise : 50-250 salariés OU (CA 10-50 M€ ET bilan 10-43 M€).
Petite entreprise : 10-49 salariés OU (CA 2-10 M€ ET bilan 2-10 M€).
Micro-entreprise : <10 salariés et CA <2 M€.

Critère 3 — la croisée des deux

Entité essentielle (EE) = grande entreprise dans un secteur annexe I, ou entité désignée par l'ANSSI pour son rôle systémique (hors de la règle de taille).
Entité importante (EI) = moyenne ou grande entreprise dans un secteur annexe II, OU moyenne entreprise dans un secteur annexe I.
Exclusions / exceptions : micro et petites entreprises sont en principe hors scope, sauf désignation ANSSI (prestataire IT critique, gestionnaire DNS, acteur unique sur un marché).

À retenir pour une PME

Si vous avez entre 50 et 250 salariés et que vous opérez dans un des 18 secteurs de l'annexe I ou II, vous êtes a minima entité importante (EI). Au-dessus de 250 salariés en secteur annexe I, vous passez entité essentielle (EE). Dans le doute : auto-diagnostic sur MonEspaceNIS2.

4. Les obligations article par article

Les obligations concrètes sont concentrées dans les articles 20 à 23 de NIS2. Elles se lisent en cohérence avec les actes d'exécution (implementing acts) publiés par la Commission en 2024-2025, qui précisent le contenu attendu des politiques et contrôles.

Article 20 — Gouvernance et responsabilité des dirigeants

Les organes de direction doivent approuver les mesures de gestion des risques cyber et superviser leur mise en œuvre.
Les dirigeants doivent suivre une formation cybersécurité obligatoire et régulière.
Les manquements à l'art. 21 peuvent entraîner une responsabilité personnelle (EE : possibilité de suspension temporaire des fonctions).

Article 21 — 10 mesures techniques et organisationnelles

Politiques d'analyse des risques et de sécurité des SI (méthodologie documentée, revue annuelle).
Gestion des incidents : détection, analyse, réponse, retour d'expérience.
Continuité d'activité : PCA, PRA, sauvegardes testées (au moins annuellement), gestion de crise.
Sécurité de la chaîne d'approvisionnement : évaluation de risque par fournisseur, clauses contractuelles, revues périodiques.
Sécurité dans l'acquisition, le développement et la maintenance : SDLC sécurisé, gestion des vulnérabilités, politique de divulgation coordonnée.
Évaluation de l'efficacité des mesures : pentests, audits, tests PCA/PRA, indicateurs KPI sécurité.
Hygiène informatique et formation : politique utilisateurs, phishing simulé, formation annuelle minimale pour toute personne ayant un accès.
Politique de cryptographie : chiffrement en transit (TLS 1.2+), au repos (AES-256), gestion des clés (HSM, KMS, rotation).
Sécurité des ressources humaines : contrôle à l'embauche, gestion des départs, habilitations.
Authentification forte (MFA), gestion des accès et identités, solutions de communication sécurisée (mail/voix/vidéo chiffrées).

Les actes d'exécution 2024-2025 imposent un niveau de détail minimum pour chaque mesure : contenu minimum d'une politique, preuves attendues en audit, fréquence minimale des revues.

Article 23 — Notification des incidents significatifs

24 heures après avoir eu connaissance d'un incident significatif : alerte initiale à l'ANSSI.
72 heures : rapport intermédiaire avec évaluation, gravité, impact.
1 mois : rapport final détaillé, mesures correctives, enseignements.
Notification possible aux destinataires des services si un impact direct est avéré.

Un incident est « significatif » s'il est susceptible de perturber gravement l'activité, de causer un préjudice financier ou un préjudice matériel ou immatériel considérable à d'autres personnes. L'ANSSI affine ces critères par secteur.

Article 24 — Utilisation de systèmes certifiés et schémas européens

Les États membres peuvent exiger l'utilisation de produits, services ou processus certifiés au titre des schémas européens de certification cybersécurité (EUCC, EUCS). En France, cela peut se traduire par l'obligation d'utiliser des solutions qualifiées ANSSI (SecNumCloud pour l'hébergement des données sensibles, CSPN pour les produits de sécurité).

5. Notification d'incident : 24h / 72h / 1 mois — ce qui coince en pratique

La fenêtre de 24 heures est le point de rupture le plus fréquent chez les PME. Trois écueils typiques, observés en mission :

Absence de procédure de déclenchement — personne n'est clairement désigné pour décider qu'un événement est « significatif ». Résultat : 3 à 5 jours perdus entre la détection et l'alerte formelle.
Confusion avec la notification RGPD 72h (art. 33) — le DPO fait sa notification CNIL mais personne ne déclenche NIS2, qui exige 24h ET qui doit aller à l'ANSSI, pas à la CNIL. Ce sont deux flux distincts.
Double peine avec l'assureur cyber — la police d'assurance exige souvent une notification sous 24 à 72h du sinistre, sous peine de déchéance de garantie. Trois canaux à synchroniser : ANSSI, CNIL, assureur.

Recommandations concrètes :

Un playbook d'incident unique, avec des critères prédéfinis de gravité et un arbre de décision pour chaque canal (ANSSI, CNIL, assureur, clients, presse).
Un astreinte 24/7 avec au moins 2 personnes autorisées à déclencher les notifications.
Un exercice annuel de crise simulé (tabletop exercise) qui inclut la rédaction effective des notifications en conditions de temps réel.

6. Sanctions et responsabilité des dirigeants

Type de sanction	Entité essentielle (EE)	Entité importante (EI)
Sanction financière maximale	10 M€ ou 2% du CA mondial (le plus élevé)	7 M€ ou 1,4% du CA mondial (le plus élevé)
Astreintes périodiques	Oui	Oui
Suspension temporaire du dirigeant	Possible pour manquement grave	Non prévu
Mise en demeure / avertissement	Oui	Oui
Publicité de la décision	Possible	Possible

Au-delà du montant, le risque réputationnel et le risque commercial priment souvent : une sanction publique sur une plateforme cyber d'un acteur SaaS peut déclencher en cascade des questionnaires sécurité de tous ses clients grands comptes, des demandes de remise en concurrence, voire des dénonciations de contrats.

7. Articulation avec RGPD, DORA, CRA, SecNumCloud, ISO 27001

Les textes cyber s'empilent mais se recoupent largement. Voici la carte des recoupements :

RGPD (art. 32) : obligation de sécurité des données personnelles. Se recoupe avec NIS2 art. 21 #8 (chiffrement) et #10 (MFA, gestion des accès). Le registre des incidents RGPD alimente le registre NIS2.
DORA (applicable depuis janvier 2025) : prime sur NIS2 pour les entités financières (lex specialis). Un établissement de paiement applique DORA et non NIS2. Voir notre guide pentest fintech DORA.
Cyber Resilience Act (CRA) (applicable 2027) : exigences sur les produits avec éléments numériques. Un éditeur logiciel soumis à NIS2 (car 100+ salariés) sera aussi soumis au CRA pour son produit. Cumul des obligations.
SecNumCloud : qualification ANSSI pour l'hébergement sensible. Si votre hébergeur est SecNumCloud-qualifié, cela couvre une partie de vos obligations NIS2 art. 21 #4 (supply chain) et simplifie vos audits.
ISO 27001 : norme internationale. Une ISO 27001 bien tenue couvre 80-90% des exigences NIS2 art. 21. Un rapport d'audit de surveillance récent est la preuve la plus efficace en contrôle ANSSI.
HDS (santé) : cumul avec NIS2 pour les healthtechs en secteur annexe I santé. Voir notre guide pentest healthtech HDS.
PCI-DSS (paiement) : cumul avec NIS2 pour les acteurs du paiement. PCI-DSS couvre une partie technique mais ne remplace pas l'analyse de risques NIS2.

Stratégie recommandée pour une PME : choisir un référentiel pivot (ISO 27001 le plus souvent, ou ANSSI / SecNumCloud pour les acteurs français sensibles) et construire un mapping unique qui coche NIS2, RGPD, DORA (si applicable), CRA (si produit logiciel), et les exigences clients. Un seul système de management, plusieurs conformités couvertes.

8. Feuille de route 18 mois et budget pour une PME 100-250 salariés

Scénario cible : PME 150 salariés, secteur annexe II, entité importante, maturité cyber moyenne (MFA partiel, pas de SOC, ISO 27001 non certifiée). Objectif : être NIS2-compliant en 18 mois pour résister à un premier contrôle ANSSI.

Mois 0-3 — Cadrage et diagnostic

Auto-déclaration MonEspaceNIS2 et désignation du responsable cyber opérationnel (RSSI ou délégué).
Gap analysis contre l'art. 21 NIS2 (interne ou cabinet spécialisé) : 5 à 15 k€.
Formation des dirigeants (COMEX/CODIR) : 2 sessions demi-journée, 3 à 8 k€.
Décision CODIR sur le référentiel pivot (ISO 27001 recommandé).

Mois 3-9 — Construction du socle

Rédaction des politiques majeures : PSSI, gestion des incidents, gestion des accès, gestion des vulnérabilités, chiffrement, supply chain. 10-25 k€ (rédaction + ateliers).
Déploiement MFA généralisé, EDR, centralisation des logs (SIEM ou XDR managé) : 30-80 k€ (investissement + première année).
Cartographie SI et classification des actifs : 5-15 k€.
Plan de sauvegarde 3-2-1 et PRA cloud : 10-40 k€ selon infra existante.
Clauses cyber dans les contrats fournisseurs et cartographie risque supply chain : 5-10 k€.

Mois 9-15 — Épreuve par le test

Pentest externe (périmètre : exposition internet + app métier critique) : 8-20 k€. Voir grille prix pentest PME.
Campagne de phishing simulé + formation ciblée : 3-8 k€.
Exercice de crise (tabletop) avec dirigeants : 3-10 k€.
Test restauration PRA en conditions réelles : 2-5 k€.
Revue interne des politiques, plan de remédiation sur les findings pentest : 5-15 k€.

Mois 15-18 — Industrialisation et preuve

Audit interne ISO 27001 ou équivalent : 5-10 k€.
Certification ISO 27001 étape 1 (optionnelle mais très efficace en contrôle ANSSI) : 15-30 k€ sur la première année.
Mise en place KPI cyber et reporting trimestriel CODIR : temps interne.
Re-test pentest sur vulnérabilités critiques : 2-5 k€.

Budget total 18 mois pour une PME 150 salariés partant d'une maturité moyenne : 100 000 à 250 000 € selon les choix (outillage interne vs MSSP, certification ou non). Au-delà, le run annuel représente 40-120 k€ (licences, MSSP, pentest annuel, formation continue, audit surveillance).

9. Les 7 erreurs fréquentes à éviter

Croire que « on est trop petits ». Un prestataire IT ou un MSP à 40 salariés peut être désigné par l'ANSSI pour son rôle systémique. Faites l'auto-diagnostic.
Déléguer NIS2 au DPO. Le DPO est compétent sur le RGPD, pas nécessairement sur la sécurité opérationnelle, la gestion d'incident et la gouvernance de crise.
Acheter des outils avant de faire la gap analysis. On voit des PME déployer un SIEM à 60 k€/an alors que l'analyse de risques, les sauvegardes testées et le MFA de base ne sont pas en place.
Oublier la supply chain. L'art. 21 #4 exige une évaluation des fournisseurs IT critiques. C'est le point le plus sous-estimé en PME et le plus scruté en audit ANSSI.
Traiter NIS2 isolément. Un projet NIS2 qui n'est pas mutualisé avec RGPD, assurance cyber, questionnaires clients et certification est 2-3x plus cher à terme.
Sous-estimer la formation des dirigeants. L'art. 20 l'exige formellement. Pas de preuve de formation = sanction individuelle possible.
Pas de pentest ou pentest de complaisance. Un scan automatisé vendu comme un pentest ne passera pas en audit ANSSI. La méthodologie, les CVs des pentesters et les preuves d'exploitation sont vérifiés. Voir pentest vs scan.

10. FAQ

Quand NIS2 s'applique-t-elle réellement en France ?

La directive UE 2022/2555 (NIS2) devait être transposée par les États membres au plus tard le 17 octobre 2024. En France, la transposition a été votée par la loi n° 2024-2025 dite « REN » (Résilience des activités d'importance vitale, protection des infrastructures critiques et cybersécurité) promulguée en 2025. Les décrets d'application précisent les seuils, les secteurs et les modalités. L'ANSSI est l'autorité nationale compétente et accompagne les entreprises avec un calendrier progressif : auto-déclaration des entités concernées sur MonEspaceNIS2, puis contrôles et sanctions à partir de 2026-2027.

Quelle différence entre entité essentielle (EE) et entité importante (EI) ?

La distinction dépend du secteur (annexe I = secteurs de haute criticité, annexe II = autres secteurs critiques), de la taille (>250 salariés ou >50M€ CA et >43M€ bilan = grande entreprise ; 50-250 salariés ou 10-50M€ CA = moyenne entreprise) et, dans certains cas, d'une désignation par l'ANSSI. Les EE ont des obligations renforcées : supervision proactive, sanctions jusqu'à 10M€ ou 2% du CA mondial, possibilité de suspension temporaire du dirigeant. Les EI ont des obligations identiques en substance mais avec un régime de supervision ex-post et des sanctions plafonnées à 7M€ ou 1,4% du CA.

Mon PME de 60 personnes est-elle obligatoirement concernée ?

Pas automatiquement. Le critère principal est votre secteur d'activité (18 secteurs listés entre annexe I et II) ET votre taille. En dessous de 50 salariés et 10M€ CA, vous n'êtes généralement pas concernée sauf exceptions (prestataire IT critique, gestionnaire DNS, fournisseur de services de confiance, acteur désigné par l'ANSSI pour son rôle systémique). À 60 personnes dans un secteur annexe I ou II, vous êtes entité importante a minima. Dans le doute, faites l'auto-diagnostic sur MonEspaceNIS2 puis faites valider par un conseil spécialisé.

Les dirigeants sont-ils personnellement responsables ?

Oui. L'article 20 de NIS2 impose que l'organe de direction « approuve les mesures de gestion des risques en matière de cybersécurité, supervise leur mise en œuvre et est responsable des manquements ». La loi de transposition française prévoit des sanctions personnelles possibles pour les dirigeants d'entités essentielles en cas de manquement grave, incluant suspension temporaire des fonctions de direction. En pratique : les conseils d'administration doivent tracer leurs décisions cyber, suivre des formations obligatoires et documenter leur due diligence sur la posture de sécurité.

Comment articuler NIS2 avec RGPD, DORA et Cyber Resilience Act ?

Chaque texte a un périmètre propre mais ils se recoupent sur la sécurité. RGPD couvre la protection des données personnelles (obligation de sécurité art. 32). DORA couvre la résilience opérationnelle numérique du secteur financier (prime sur NIS2 pour les entités financières). Le Cyber Resilience Act (CRA, applicable 2027) couvre les produits avec éléments numériques (hardware + software). NIS2 couvre la sécurité globale des systèmes d'information des entités critiques. Pour une PME, la stratégie est de mutualiser : un socle ISO 27001 ou SecNumCloud couvre l'essentiel des 4 textes. Un pentest annuel satisfait les exigences de tests techniques de NIS2 art. 21, DORA art. 24 et RGPD art. 32.

Combien coûte la mise en conformité NIS2 pour une PME ?

Pour une PME de 50 à 250 salariés, le budget de mise en conformité initiale (18 mois) oscille entre 60 000 et 250 000 € selon la maturité de départ : audit initial 5-15k€, remédiation technique 20-100k€ (MFA, EDR, segmentation, logs centralisés), documentation et politiques 10-30k€, pentest annuel 5-20k€, formation dirigeants et équipes 5-15k€, outillage de supervision 15-70k€/an. Les entreprises avec un bon existant (ISO 27001, SOC 2) limitent la facture à 30-80k€. L'ANSSI publie régulièrement des guides gratuits et des outils pour réduire ces coûts.

Dois-je être certifié ISO 27001 pour être NIS2-compliant ?

Non, NIS2 n'exige pas de certification formelle. Mais l'article 21 impose 10 catégories de mesures qui couvrent exactement le périmètre ISO 27001 / SecNumCloud. En pratique, une certification ISO 27001 ou une qualification SecNumCloud fournit une preuve directe de conformité aux principales exigences NIS2. Si vous n'êtes pas certifié, vous devez pouvoir produire des politiques, procédures, journaux et résultats de tests démontrant l'équivalence. Le rapport de pentest, le DRM (Document de Référence de la Mission), le PCA/PRA testé et le registre des incidents sont les preuves les plus scrutées par les auditeurs ANSSI.

Préparer votre contrôle NIS2

Gap analysis NIS2 art. 21, pentest annuel avec rapport exécutif, suivi de remédiation. Livré sous 2 à 4 semaines selon périmètre, re-test inclus.

Demander un diagnostic NIS2

← Blog/19 avril 202622 min de lecture

NIS2 PME : guide complet 2026

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

19 avril 2026·22 min de lecture·Fondateurs·LinkedIn

1. De NIS à NIS2 : pourquoi le renforcement

Les changements structurants de NIS2 par rapport à NIS :

Passage de ~300 entités françaises visées par NIS à 15 000+ entités françaises par NIS2 (estimation ANSSI).
Création de la distinction entité essentielle (EE) / entité importante (EI) à la place du binôme OSE/FSN.
Couverture de 18 secteurs (au lieu de 7), avec des sous-secteurs élargis (healthtech, MSP, administration, espace, recherche).
Responsabilité personnelle des dirigeants (art. 20) : approbation et supervision des mesures cyber au niveau de l'organe de direction.
Sanctions renforcées : jusqu'à 10 M€ ou 2% du CA mondial (entités essentielles), 7 M€ ou 1,4% du CA (entités importantes).
Obligation de notification d'incident en trois temps : 24h (alerte initiale), 72h (rapport intermédiaire), 1 mois (rapport final).
Responsabilité explicite sur la chaîne d'approvisionnement logicielle et IT (supply chain cyber).

2. Transposition française : la loi REN et le rôle de l'ANSSI

L'ANSSI est l'autorité nationale compétente. Elle :

maintient le registre des entités régulées via la plateforme MonEspaceNIS2 (auto-déclaration obligatoire) ;
publie des guides sectoriels et un référentiel minimal des mesures (vade-mecum NIS2) ;
conduit ou mandate les audits et contrôles (inspections, audits documentaires, audits techniques pouvant inclure des pentests) ;
reçoit les notifications d'incidents significatifs et coordonne la réponse avec le CERT-FR ;
propose ou prononce les sanctions, avec gradation (mise en demeure, astreintes, sanctions financières, sanctions individuelles des dirigeants pour EE).

3. Qui est concerné : secteurs, taille, entité essentielle vs importante

Pour savoir si votre PME est concernée, trois critères se combinent : le secteur, la taille, et la désignation par l'ANSSI.

Critère 1 — le secteur

NIS2 distingue les secteurs de haute criticité (annexe I) et les autres secteurs critiques (annexe II).

Secteur annexe I (haute criticité)	Exemples
Énergie	électricité, gaz, pétrole, chauffage urbain, hydrogène
Transports	aérien, ferroviaire, maritime, routier (flottes critiques)
Banque et marchés financiers	établissements de crédit, plateformes, infrastructures de marché (prime DORA)
Santé	hôpitaux, laboratoires, fabricants de DM, produits pharma, éditeurs HDS
Eau potable et eaux usées	distribution, assainissement collectif
Infrastructures numériques	IXP, DNS TLD, registraires, clouds, data centers, CDN, services de confiance eIDAS
Administration publique	centrale et régionale désignée
Espace	opérateurs de services spatiaux au sol
Gestion de services TIC (B2B)	MSP, MSSP, intégrateurs de systèmes

Secteur annexe II (critique)	Exemples
Services postaux et de courrier	opérateurs postaux, messageries express
Gestion des déchets	collecte, tri, traitement, économie circulaire
Fabrication et distribution de produits chimiques	industrie chimique, détergents, matériaux
Production, transformation et distribution alimentaire	agroalimentaire, grossistes, plateformes logistiques
Fabrication (manufacturing)	DM (hors santé EE), électronique, machines, automobile, aérospatial (hors militaire)
Fournisseurs numériques	places de marché, moteurs de recherche, réseaux sociaux
Recherche	organismes de recherche désignés

Critère 2 — la taille (règles européennes PME)

NIS2 reprend les seuils européens de classification des entreprises :

Grande entreprise : >250 salariés OU (CA >50 M€ ET bilan >43 M€).
Moyenne entreprise : 50-250 salariés OU (CA 10-50 M€ ET bilan 10-43 M€).
Petite entreprise : 10-49 salariés OU (CA 2-10 M€ ET bilan 2-10 M€).
Micro-entreprise : <10 salariés et CA <2 M€.

Critère 3 — la croisée des deux

Entité essentielle (EE) = grande entreprise dans un secteur annexe I, ou entité désignée par l'ANSSI pour son rôle systémique (hors de la règle de taille).
Entité importante (EI) = moyenne ou grande entreprise dans un secteur annexe II, OU moyenne entreprise dans un secteur annexe I.
Exclusions / exceptions : micro et petites entreprises sont en principe hors scope, sauf désignation ANSSI (prestataire IT critique, gestionnaire DNS, acteur unique sur un marché).

À retenir pour une PME

4. Les obligations article par article

Article 20 — Gouvernance et responsabilité des dirigeants

Les organes de direction doivent approuver les mesures de gestion des risques cyber et superviser leur mise en œuvre.
Les dirigeants doivent suivre une formation cybersécurité obligatoire et régulière.
Les manquements à l'art. 21 peuvent entraîner une responsabilité personnelle (EE : possibilité de suspension temporaire des fonctions).

Article 21 — 10 mesures techniques et organisationnelles

Politiques d'analyse des risques et de sécurité des SI (méthodologie documentée, revue annuelle).
Gestion des incidents : détection, analyse, réponse, retour d'expérience.
Continuité d'activité : PCA, PRA, sauvegardes testées (au moins annuellement), gestion de crise.
Sécurité de la chaîne d'approvisionnement : évaluation de risque par fournisseur, clauses contractuelles, revues périodiques.
Sécurité dans l'acquisition, le développement et la maintenance : SDLC sécurisé, gestion des vulnérabilités, politique de divulgation coordonnée.
Évaluation de l'efficacité des mesures : pentests, audits, tests PCA/PRA, indicateurs KPI sécurité.
Hygiène informatique et formation : politique utilisateurs, phishing simulé, formation annuelle minimale pour toute personne ayant un accès.
Politique de cryptographie : chiffrement en transit (TLS 1.2+), au repos (AES-256), gestion des clés (HSM, KMS, rotation).
Sécurité des ressources humaines : contrôle à l'embauche, gestion des départs, habilitations.
Authentification forte (MFA), gestion des accès et identités, solutions de communication sécurisée (mail/voix/vidéo chiffrées).

Les actes d'exécution 2024-2025 imposent un niveau de détail minimum pour chaque mesure : contenu minimum d'une politique, preuves attendues en audit, fréquence minimale des revues.

Article 23 — Notification des incidents significatifs

24 heures après avoir eu connaissance d'un incident significatif : alerte initiale à l'ANSSI.
72 heures : rapport intermédiaire avec évaluation, gravité, impact.
1 mois : rapport final détaillé, mesures correctives, enseignements.
Notification possible aux destinataires des services si un impact direct est avéré.

Article 24 — Utilisation de systèmes certifiés et schémas européens

5. Notification d'incident : 24h / 72h / 1 mois — ce qui coince en pratique

La fenêtre de 24 heures est le point de rupture le plus fréquent chez les PME. Trois écueils typiques, observés en mission :

Absence de procédure de déclenchement — personne n'est clairement désigné pour décider qu'un événement est « significatif ». Résultat : 3 à 5 jours perdus entre la détection et l'alerte formelle.
Confusion avec la notification RGPD 72h (art. 33) — le DPO fait sa notification CNIL mais personne ne déclenche NIS2, qui exige 24h ET qui doit aller à l'ANSSI, pas à la CNIL. Ce sont deux flux distincts.
Double peine avec l'assureur cyber — la police d'assurance exige souvent une notification sous 24 à 72h du sinistre, sous peine de déchéance de garantie. Trois canaux à synchroniser : ANSSI, CNIL, assureur.

Recommandations concrètes :

Un playbook d'incident unique, avec des critères prédéfinis de gravité et un arbre de décision pour chaque canal (ANSSI, CNIL, assureur, clients, presse).
Un astreinte 24/7 avec au moins 2 personnes autorisées à déclencher les notifications.
Un exercice annuel de crise simulé (tabletop exercise) qui inclut la rédaction effective des notifications en conditions de temps réel.

6. Sanctions et responsabilité des dirigeants

Type de sanction	Entité essentielle (EE)	Entité importante (EI)
Sanction financière maximale	10 M€ ou 2% du CA mondial (le plus élevé)	7 M€ ou 1,4% du CA mondial (le plus élevé)
Astreintes périodiques	Oui	Oui
Suspension temporaire du dirigeant	Possible pour manquement grave	Non prévu
Mise en demeure / avertissement	Oui	Oui
Publicité de la décision	Possible	Possible

7. Articulation avec RGPD, DORA, CRA, SecNumCloud, ISO 27001

Les textes cyber s'empilent mais se recoupent largement. Voici la carte des recoupements :

RGPD (art. 32) : obligation de sécurité des données personnelles. Se recoupe avec NIS2 art. 21 #8 (chiffrement) et #10 (MFA, gestion des accès). Le registre des incidents RGPD alimente le registre NIS2.
DORA (applicable depuis janvier 2025) : prime sur NIS2 pour les entités financières (lex specialis). Un établissement de paiement applique DORA et non NIS2. Voir notre guide pentest fintech DORA.
Cyber Resilience Act (CRA) (applicable 2027) : exigences sur les produits avec éléments numériques. Un éditeur logiciel soumis à NIS2 (car 100+ salariés) sera aussi soumis au CRA pour son produit. Cumul des obligations.
SecNumCloud : qualification ANSSI pour l'hébergement sensible. Si votre hébergeur est SecNumCloud-qualifié, cela couvre une partie de vos obligations NIS2 art. 21 #4 (supply chain) et simplifie vos audits.
ISO 27001 : norme internationale. Une ISO 27001 bien tenue couvre 80-90% des exigences NIS2 art. 21. Un rapport d'audit de surveillance récent est la preuve la plus efficace en contrôle ANSSI.
HDS (santé) : cumul avec NIS2 pour les healthtechs en secteur annexe I santé. Voir notre guide pentest healthtech HDS.
PCI-DSS (paiement) : cumul avec NIS2 pour les acteurs du paiement. PCI-DSS couvre une partie technique mais ne remplace pas l'analyse de risques NIS2.

8. Feuille de route 18 mois et budget pour une PME 100-250 salariés

Mois 0-3 — Cadrage et diagnostic

Auto-déclaration MonEspaceNIS2 et désignation du responsable cyber opérationnel (RSSI ou délégué).
Gap analysis contre l'art. 21 NIS2 (interne ou cabinet spécialisé) : 5 à 15 k€.
Formation des dirigeants (COMEX/CODIR) : 2 sessions demi-journée, 3 à 8 k€.
Décision CODIR sur le référentiel pivot (ISO 27001 recommandé).

Mois 3-9 — Construction du socle

Rédaction des politiques majeures : PSSI, gestion des incidents, gestion des accès, gestion des vulnérabilités, chiffrement, supply chain. 10-25 k€ (rédaction + ateliers).
Déploiement MFA généralisé, EDR, centralisation des logs (SIEM ou XDR managé) : 30-80 k€ (investissement + première année).
Cartographie SI et classification des actifs : 5-15 k€.
Plan de sauvegarde 3-2-1 et PRA cloud : 10-40 k€ selon infra existante.
Clauses cyber dans les contrats fournisseurs et cartographie risque supply chain : 5-10 k€.

Mois 9-15 — Épreuve par le test

Pentest externe (périmètre : exposition internet + app métier critique) : 8-20 k€. Voir grille prix pentest PME.
Campagne de phishing simulé + formation ciblée : 3-8 k€.
Exercice de crise (tabletop) avec dirigeants : 3-10 k€.
Test restauration PRA en conditions réelles : 2-5 k€.
Revue interne des politiques, plan de remédiation sur les findings pentest : 5-15 k€.

Mois 15-18 — Industrialisation et preuve

Audit interne ISO 27001 ou équivalent : 5-10 k€.
Certification ISO 27001 étape 1 (optionnelle mais très efficace en contrôle ANSSI) : 15-30 k€ sur la première année.
Mise en place KPI cyber et reporting trimestriel CODIR : temps interne.
Re-test pentest sur vulnérabilités critiques : 2-5 k€.

9. Les 7 erreurs fréquentes à éviter

Croire que « on est trop petits ». Un prestataire IT ou un MSP à 40 salariés peut être désigné par l'ANSSI pour son rôle systémique. Faites l'auto-diagnostic.
Déléguer NIS2 au DPO. Le DPO est compétent sur le RGPD, pas nécessairement sur la sécurité opérationnelle, la gestion d'incident et la gouvernance de crise.
Acheter des outils avant de faire la gap analysis. On voit des PME déployer un SIEM à 60 k€/an alors que l'analyse de risques, les sauvegardes testées et le MFA de base ne sont pas en place.
Oublier la supply chain. L'art. 21 #4 exige une évaluation des fournisseurs IT critiques. C'est le point le plus sous-estimé en PME et le plus scruté en audit ANSSI.
Traiter NIS2 isolément. Un projet NIS2 qui n'est pas mutualisé avec RGPD, assurance cyber, questionnaires clients et certification est 2-3x plus cher à terme.
Sous-estimer la formation des dirigeants. L'art. 20 l'exige formellement. Pas de preuve de formation = sanction individuelle possible.
Pas de pentest ou pentest de complaisance. Un scan automatisé vendu comme un pentest ne passera pas en audit ANSSI. La méthodologie, les CVs des pentesters et les preuves d'exploitation sont vérifiés. Voir pentest vs scan.

10. FAQ

Quand NIS2 s'applique-t-elle réellement en France ?

Quelle différence entre entité essentielle (EE) et entité importante (EI) ?

Mon PME de 60 personnes est-elle obligatoirement concernée ?

Les dirigeants sont-ils personnellement responsables ?

Comment articuler NIS2 avec RGPD, DORA et Cyber Resilience Act ?

Combien coûte la mise en conformité NIS2 pour une PME ?

Dois-je être certifié ISO 27001 pour être NIS2-compliant ?

Préparer votre contrôle NIS2

Gap analysis NIS2 art. 21, pentest annuel avec rapport exécutif, suivi de remédiation. Livré sous 2 à 4 semaines selon périmètre, re-test inclus.

Demander un diagnostic NIS2

NIS2 PME : guide complet 2026

1. De NIS à NIS2 : pourquoi le renforcement

2. Transposition française : la loi REN et le rôle de l'ANSSI

3. Qui est concerné : secteurs, taille, entité essentielle vs importante

Critère 1 — le secteur

Critère 2 — la taille (règles européennes PME)

Critère 3 — la croisée des deux

4. Les obligations article par article

5. Notification d'incident : 24h / 72h / 1 mois — ce qui coince en pratique

6. Sanctions et responsabilité des dirigeants

7. Articulation avec RGPD, DORA, CRA, SecNumCloud, ISO 27001

8. Feuille de route 18 mois et budget pour une PME 100-250 salariés

9. Les 7 erreurs fréquentes à éviter

10. FAQ

Articles liés

Préparer votre contrôle NIS2

NIS2 PME : guide complet 2026

1. De NIS à NIS2 : pourquoi le renforcement

2. Transposition française : la loi REN et le rôle de l'ANSSI

3. Qui est concerné : secteurs, taille, entité essentielle vs importante

Critère 1 — le secteur

Critère 2 — la taille (règles européennes PME)

Critère 3 — la croisée des deux

4. Les obligations article par article

5. Notification d'incident : 24h / 72h / 1 mois — ce qui coince en pratique

6. Sanctions et responsabilité des dirigeants

7. Articulation avec RGPD, DORA, CRA, SecNumCloud, ISO 27001

8. Feuille de route 18 mois et budget pour une PME 100-250 salariés

9. Les 7 erreurs fréquentes à éviter

10. FAQ

Articles liés

Préparer votre contrôle NIS2