Les PME françaises sont-elles concernées par NIS2 ?

NIS2 s'applique en France à deux catégories d'entités : les Entités Essentielles (EE) et les Entités Importantes (EI). Les PME de moins de 50 salariés et 10 M€ de CA sont en principe exemptées, sauf si elles sont fournisseurs critiques d'une EE ou exercent dans certains secteurs à haut risque (énergie, eau, santé, infrastructures numériques, administrations). En pratique, de nombreuses PME B2B sont indirectement concernées via leur statut de fournisseur d'une entité essentielle.

Quelles sont les sanctions NIS2 en France ?

Pour les Entités Essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel (le montant le plus élevé). Pour les Entités Importantes, le plafond est de 7 millions d'euros ou 1,4% du CA mondial. L'ANSSI peut également exiger la suspension temporaire d'activités pour les entités ne respectant pas les délais de mise en conformité.

Quel est le délai de notification d'un incident NIS2 en France ?

NIS2 impose une notification en 3 étapes : alerte initiale à l'ANSSI dans les 24 heures suivant la détection d'un incident significatif, rapport intermédiaire dans les 72 heures, et rapport final dans le mois. Un incident est significatif s'il cause une interruption de service, une violation de données personnelles, ou une perturbation notable des opérations.

Combien coûte une mise en conformité NIS2 pour une PME ?

Pour une PME française de 50 à 250 salariés, le coût d'une mise en conformité NIS2 complète se situe entre 15 000 et 45 000 EUR pour l'implémentation initiale (audit de l'existant, documentation des politiques, déploiement des contrôles techniques). Les coûts récurrents annuels (maintien, tests d'intrusion trimestriels si EE, formation, veille) représentent ensuite 8 000 à 20 000 EUR/an.

NIS2 pour les PME françaises en 2026 : check-list complète, délais et coûts réels

Êtes-vous concerné ? Les 10 mesures que l'ANSSI attend de vous. Le coût réel d'une mise en conformité (15–45 K€). Et les 3 erreurs qui exposent votre entreprise à 10 M€ d'amende — sans qu'aucune cyberattaque ne soit nécessaire.

TL;DR

• NIS2 est transposée en droit français depuis octobre 2024 (Loi SREN). L'ANSSI a lancé les enregistrements obligatoires en janvier 2026.
• Deux catégories : Entités Essentielles (EE, amendes jusqu'à 10 M€) et Entités Importantes (EI, jusqu'à 7 M€). De nombreuses PME B2B sont EI ou indirectement concernées comme fournisseurs d'EE.
• 10 mesures obligatoires : gestion des risques, politique de sécurité documentée, notification d'incidents 24h/72h, continuité d'activité, sécurité de la chaîne d'approvisionnement, cryptographie, contrôle d'accès, sécurité RH, MFA obligatoire, et tests réguliers.
• Coût réel : 15 000–45 000 € pour l'implémentation initiale d'une PME 50–250 salariés.

— Êtes-vous concerné par NIS2 en France ?

La question que posent 80 % des dirigeants de PME françaises lorsqu'ils entendent parler de NIS2 est : "Est-ce que ça nous concerne ?". La réponse courte est : peut-être, même si votre taille vous place en-dehors des seuils officiels.

Les seuils officiels de la transposition française (Loi SREN + décrets d'application ANSSI) sont les suivants. Vous êtes Entité Essentielle si votre organisation exerce dans l'un des 7 secteurs hautement critiques (énergie, transport, banque, santé, eau, infrastructure numérique, administration) ET dépasse 250 salariés ou 50 M€ de CA. Vous êtes Entité Importante si vous exercez dans l'un des 11 secteurs critiques additionnels (poste, déchets, chimie, alimentation, fabrication critique, fournisseurs numériques, recherche...) ET dépassez 50 salariés ou 10 M€ de CA.

Mais voilà le piège que beaucoup de PME ignorent : l'article 21 de NIS2 impose aux entités essentielles et importantes de vérifier la cybersécurité de leurs fournisseurs et sous-traitants critiques. En pratique, cela signifie que si vous fournissez un service SaaS, du cloud, de la maintenance informatique, ou tout service numérique à une grande entreprise ou administration, votre client va très probablement vous demander de démontrer votre conformité NIS2 — même si vous ne l'êtes pas formellement vous-même.

— Les 10 mesures obligatoires NIS2 — ce que l'ANSSI attend concrètement

NIS2 n'est pas une norme technique détaillée — c'est un cadre de gestion des risques. Voici les 10 domaines de mesures que l'article 21 de la directive impose, avec ce que ça signifie concrètement pour une PME française :

1. Politique de sécurité des systèmes d'information (PSSI)

Vous devez disposer d'une politique documentée, validée par la direction, décrivant votre approche de la gestion des risques. Ce n'est pas un document de 200 pages — une PME peut s'en sortir avec 15 à 25 pages structurées. Ce qui compte : que la direction ait formellement approuvé le document et que les employés en connaissent les grandes lignes. L'ANSSI contrôlera l'existence et l'adéquation de cette politique lors des audits.

2. Gestion et évaluation des risques

Une analyse des risques formelle, mise à jour au moins annuellement. Pas besoin de l'ISO 27005 complète pour une PME : une cartographie des actifs critiques (SI, données clients, infrastructure), des menaces les plus probables (phishing, ransomware, intrusion), et des mesures de réduction pour chaque risque identifié. Le document doit être traçable — une version contrôlée avec date et signataire.

3. Gestion des incidents — notification 24h/72h

C'est l'obligation la plus opérationnelle. En cas d'incident significatif (interruption de service, violation de données, compromission d'infrastructure critique), vous devez notifier l'ANSSI dans les 24 heures avec une alerte initiale, puis fournir un rapport intermédiaire sous 72 heures, et un rapport final dans le mois. Cela implique d'avoir un processus de détection d'incidents (SIEM ou au minimum des alertes sur vos systèmes critiques), un point focal identifié pour la notification, et les coordonnées ANSSI disponibles.

4. Continuité d'activité et gestion de crise

Un Plan de Continuité d'Activité (PCA) et un Plan de Reprise d'Activité (PRA) documentés et testés. Pour une PME, le minimum viable est : identification des systèmes critiques, RTOs (Recovery Time Objective) et RPOs (Recovery Point Objective) définis, sauvegardes régulières testées (règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site), et un exercice de simulation de crise annuel.

5. Sécurité de la chaîne d'approvisionnement

Vous devez évaluer les risques cybersécurité de vos fournisseurs critiques. En pratique : identifiez vos fournisseurs ayant accès à votre SI ou traitant des données sensibles, demandez-leur une preuve de conformité (questionnaire de sécurité, certification ISO 27001, ou rapport de pentest récent), et formalisez les exigences de sécurité dans vos contrats (DPA + clauses cybersécurité).

Votre PME est-elle concernée par NIS2 ?

En 48 heures, notre équipe analyse votre périmètre, identifie vos obligations spécifiques (EE, EI ou fournisseur indirectement concerné), et vous remet une feuille de route de mise en conformité avec un budget précis — sans jargon réglementaire.

Obtenir mon audit NIS2 gratuit — résultats en 48h →

6. Cryptographie et gestion des clés

Chiffrement des données en transit (TLS 1.2+ partout, TLS 1.3 recommandé) et au repos (chiffrement des bases de données et des backups). Gestion formalisée des certificats (renouvellement avant expiration, révocation possible). Pour les PME hébergées sur AWS ou Azure : les services de gestion de clés natifs (AWS KMS, Azure Key Vault) sont suffisants pour satisfaire cette exigence.

7. Sécurité des ressources humaines

Vérification des antécédents pour les postes à accès critique, formation à la cybersécurité au moins annuelle pour tous les employés, procédures de départ (révocation immédiate des accès le jour du départ), et sensibilisation aux menaces actuelles (phishing, ingénierie sociale). La formation cybersécurité peut être satisfaite avec un module e-learning de 2 heures par an — ce qui compte est qu'elle soit documentée et que la completion soit suivie.

8. Contrôle d'accès et gestion des identités

Principe du moindre privilège appliqué : chaque utilisateur n'a accès qu'aux ressources nécessaires à sa fonction. MFA (authentification multifacteur) obligatoire pour tous les accès distants et les accès administrateurs. Revue trimestrielle des accès (Access Review). Comptes à privilèges élevés distincts des comptes courants des administrateurs.

9. Sécurité des réseaux et des systèmes d'information

Segmentation réseau (au minimum séparation entre production, bureautique et accès tiers), gestion des vulnérabilités (scan régulier, processus de patch management documenté avec SLA pour les CVE critiques), et supervision des journaux d'événements (logs centralisés, rétention minimum 12 mois).

10. Tests et évaluations régulières

Pour les EE : tests de pénétration au moins trimestriels sur le périmètre externe. Pour les EI : pentest annuel est considéré suffisant. Dans les deux cas : audit de code sur les développements critiques, revue de configuration annuelle des équipements exposés, et exercices de simulation d'incident.

— Calendrier NIS2 en France — ce qui s'est passé et ce qui reste à faire

La chronologie réglementaire française est plus complexe que dans d'autres États membres de l'UE :

Octobre 2024 — Publication de la Loi SREN (Sécurité et Régulation de l'Espace Numérique). Transposition partielle de NIS2 en droit français. Création du cadre légal des EE et EI.
Janvier 2026 — Ouverture du portail d'enregistrement ANSSI. Les entités ont l'obligation de s'enregistrer et de déclarer leur périmètre SI critique.
Juin 2026 — Date butoir pour l'enregistrement des Entités Essentielles. Début des premiers contrôles de conformité formels par l'ANSSI.
Décembre 2026 — Date butoir pour l'enregistrement des Entités Importantes et la mise en conformité des mesures de base (politiques, notification d'incidents, MFA).
2027 — Début des audits de conformité formels avec possibilité de sanctions.

— Coût réel d'une mise en conformité NIS2 pour une PME française

Voici les chiffres que nous observons sur nos missions d'accompagnement NIS2 en 2026, pour des PME de 50 à 250 salariés :

Poste	Coût initial	Coût annuel récurrent
Audit initial & gap analysis	3 000–8 000 €	—
Documentation (PSSI, PCA, PRA)	3 000–6 000 €	1 000–2 000 €/an
Déploiement technique (MFA, SIEM, segmentation)	5 000–15 000 €	2 000–6 000 €/an
Formation & sensibilisation des employés	1 000–3 000 €	1 500–3 000 €/an
Tests d'intrusion (pentest externe)	3 000–8 000 €	3 000–8 000 €/an
TOTAL PME 50–250 sal.	15 000–45 000 €	8 000–20 000 €/an

— Les 3 erreurs qui exposent votre PME aux sanctions NIS2

Erreur 1 — Attendre d'être formellement contrôlé avant d'agir. L'ANSSI a publié sa grille de contrôle. Certaines obligations (enregistrement, notification d'incidents) peuvent déclencher des amendes sans attendre un audit planifié — un incident non notifié dans les 24 heures est une violation immédiate, même si vous n'avez pas encore été "audité".

Erreur 2 — Considérer que la conformité ISO 27001 suffit. ISO 27001 est un excellent framework et couvre une grande partie des exigences NIS2, mais ce ne sont pas les mêmes obligations. NIS2 impose des exigences spécifiques que l'ISO ne couvre pas systématiquement, notamment les délais de notification d'incidents, les exigences spécifiques de la chaîne d'approvisionnement, et les mesures minimum pour les EE.

Erreur 3 — Déléguer entièrement à la DSI sans engagement de la direction. NIS2 est explicite : la responsabilité de la conformité incombe aux organes de direction (article 20 de la directive). En France, cela signifie que le dirigeant peut être personnellement mis en cause. Des formations obligatoires pour les membres de la direction sur les risques cyber sont prévues. Ce n'est pas un sujet qui peut rester uniquement chez l'IT.

NIS2 pour les PME françaises en 2026 : check-list complète, délais ANSSI et coûts réels