Logo Aelvon
Retour au blog
AELVON

NIS 2 pour PME : ce qui change vraiment (et ce qu'il faut faire maintenant)

Directive NIS 2 : qui est concerné, quelles obligations concrètes, quel calendrier, quelles sanctions. Guide pratique 2026 pour dirigeants de PME et ETI.

cybersecuritenis2conformite

La directive NIS 2 (Network and Information Security 2) est entrée en application en France via la loi de transposition publiée fin 2024. Dix-huit mois plus tard, une PME française sur deux ignore encore si elle est concernée. Et parmi celles qui le savent, peu ont entamé un vrai chantier de mise en conformité.

Ce guide fait le point sans jargon : qui est concerné, quelles obligations s'appliquent réellement, et par où commencer si vous découvrez le sujet.

NIS 2 en une phrase

NIS 2 oblige les entreprises essentielles à la vie économique à se protéger sérieusement contre les cyberattaques et à signaler les incidents à l'ANSSI.

C'est l'évolution de NIS 1 (qui ne concernait qu'environ 500 entreprises en France). NIS 2 élargit massivement le périmètre : on parle désormais de plusieurs dizaines de milliers d'entités, dont beaucoup de PME et ETI qui ne s'attendaient pas à être visées.

Est-ce que NIS 2 me concerne ?

Trois critères à vérifier dans l'ordre :

1. Le secteur d'activité

NIS 2 distingue deux catégories :

Entités essentielles (les plus surveillées) :

  • Énergie, transports, banques, infrastructures financières
  • Santé, eau potable, eaux usées
  • Infrastructures numériques (datacenters, cloud, DNS, CDN)
  • Administrations publiques
  • Espace (lanceurs, satellites)

Entités importantes :

  • Services postaux et courriers
  • Gestion des déchets
  • Chimie, alimentaire
  • Industrie manufacturière (équipements médicaux, informatique, électronique, machines, véhicules)
  • Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
  • Recherche scientifique

⚠️ Si vous êtes prestataire IT (hébergeur, MSP, éditeur SaaS B2B), vous êtes potentiellement classé en entité essentielle même avec une équipe de 15 personnes.

2. La taille de l'entreprise

Seuils par défaut : 50 salariés OU 10 M€ de CA. En dessous, vous n'êtes en principe pas concerné — sauf dans certains cas où la taille n'est pas un critère (opérateurs DNS, certaines administrations, prestataires critiques d'entités essentielles).

3. Le critère "criticité par ricochet"

Même si vous êtes une TPE, vous pouvez tomber sous NIS 2 si vous êtes un fournisseur critique d'une entité essentielle. Exemple typique : un cabinet de 12 personnes qui héberge le SI d'une clinique privée.

Conseil pratique : si vous avez le moindre doute, l'ANSSI a mis en ligne un auto-diagnostic (MonEspaceNIS2). Faites-le.

Les obligations concrètes

Une fois identifié comme entité concernée, vous devez mettre en œuvre 10 mesures techniques et organisationnelles minimales. Voici la liste, traduite en clair :

  1. Analyse de risques documentée et tenue à jour
  2. Gestion des incidents : procédure écrite, équipe désignée, exercices réguliers
  3. Continuité d'activité : sauvegardes, PRA/PCA, gestion de crise
  4. Sécurité de la chaîne d'approvisionnement : auditer vos fournisseurs IT
  5. Sécurité du développement et de la maintenance des systèmes
  6. Politiques d'évaluation de l'efficacité des mesures
  7. Hygiène cyber et formation des collaborateurs
  8. Cryptographie et chiffrement
  9. Sécurité des ressources humaines (gestion des accès, départs, etc.)
  10. Authentification forte et gestion des accès

Et surtout : le signalement d'incident

C'est l'obligation la plus visible :

  • 24h après détection : notification initiale à l'ANSSI
  • 72h après : rapport détaillé
  • 1 mois après résolution : rapport final

Le non-signalement est aussi sanctionnable que l'absence de mesures de sécurité.

Les sanctions

Elles sont calibrées sur le modèle RGPD :

  • Entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial (le plus élevé)
  • Entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial

Plus important encore : la responsabilité personnelle du dirigeant. NIS 2 introduit explicitement la responsabilité des organes de direction (RGPD ne le faisait pas aussi clairement). Concrètement, le PDG peut être tenu responsable si la gouvernance cyber n'est pas formellement validée par le COMEX.

Calendrier 2026

  • Octobre 2024 : entrée en vigueur de la directive
  • 2025 : transposition française et identification des entités concernées
  • 2026 : contrôles ANSSI en cours. Les premiers audits ont eu lieu au premier trimestre
  • 2026-2027 : période d'accompagnement de l'ANSSI avant les premières sanctions lourdes attendues

Le moment optimal pour démarrer est maintenant : la fenêtre de bienveillance se ferme.

Par où commencer ?

Si vous découvrez le sujet, voici la séquence pragmatique que nous recommandons à nos clients PME :

Étape 1 — Cadrage (1 à 2 semaines)

  • Faire l'auto-diagnostic MonEspaceNIS2
  • Identifier formellement si vous êtes concerné (et en quelle catégorie)
  • Désigner un référent NIS 2 interne (souvent le DSI ou un membre du COMEX)

Étape 2 — Diagnostic (4 à 6 semaines)

  • Audit de l'existant sur les 10 mesures
  • Cartographie des risques et écarts
  • Plan d'action priorisé et budgétisé

Étape 3 — Quick wins (3 mois)

  • Activer l'authentification multifacteur partout
  • Vérifier et tester les sauvegardes
  • Former les équipes (phishing notamment)
  • Documenter une procédure d'incident minimale
  • Mettre à jour vos contrats fournisseurs

Étape 4 — Conformité durable (6 à 12 mois)

  • Système de management de la sécurité formalisé
  • Exercices de crise réguliers
  • Audits internes annuels
  • Reporting au COMEX

Combien ça coûte ?

Ordre de grandeur pour une PME de 50 à 250 personnes en partant de zéro :

  • Diagnostic initial : 5 à 15 k€
  • Plan de mise en conformité (12 mois) : 30 à 80 k€ selon maturité
  • Récurrent annuel : 15 à 40 k€ (supervision, audits, mises à jour)

C'est bien moins cher qu'une seule cyberattaque réussie (coût moyen d'une attaque par rançongiciel sur PME française en 2025 : 400 k€ selon le rapport ANSSI 2025).

Les pièges à éviter

  1. "On verra l'année prochaine" — Les contrôles ont commencé. Attendre, c'est prendre le risque d'un contrôle non préparé.
  2. Acheter de la techno sans cadrage — EDR, SOC, XDR : aucun outil ne remplace une gouvernance claire. La conformité n'est pas un produit qu'on achète.
  3. Sous-traiter à 100 % — Vous pouvez déléguer l'opérationnel à un prestataire, pas la responsabilité. Le dirigeant reste comptable.
  4. Oublier la chaîne d'approvisionnement — Vos sous-traitants IT doivent eux-mêmes être en règle. Auditez-les.
  5. Confondre RGPD et NIS 2 — Ce sont deux régimes distincts qui se cumulent.

Comment AELVON vous accompagne

Nous accompagnons les PME et ETI sur l'ensemble du parcours NIS 2 :

  • Audit de conformité initial
  • Plan de mise en conformité priorisé
  • Implémentation des mesures techniques (EDR, MFA, sauvegardes, supervision)
  • Formation des équipes et exercices de crise
  • Suivi récurrent et reporting

Si vous voulez clarifier votre position en 30 minutes, écrivez-nous ou appelez le 04 82 53 18 48. Premier échange offert, sans engagement.

Pour aller plus loin :

Précédent
Bienvenue sur le blog AELVON

Un projet IT à discuter ?

Échangez avec un expert AELVON. Premier appel découverte gratuit et sans engagement.

Logo Aelvon

L'excellence informatique pour les dirigeants exigeants. Cybersécurité, Logiciels, Industrie 4.0 & Stratégie.

Solutions

Expertise

Contact

© 2026 AELVON. Tous droits réservés.

Besoin d'un conseil ?

Nos experts sont disponibles pour discuter de votre projet.

04 82 53 18 48 contact@aelvon.fr