En avril 2026, la directive NIS2 entre dans sa phase concrète en France. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, adopté au Sénat en mars 2025 et voté en commission spéciale à l’Assemblée nationale en septembre 2025, est attendu en promulgation au premier trimestre 2026. Pour les PME, NIS2 n’est plus un sujet lointain : le pré-enregistrement sur MonEspaceNIS2, la plateforme officielle de l’ANSSI, est ouvert depuis novembre 2025. Cet article fait le point sur les obligations réelles, les délais légaux, les sanctions et la marche à suivre — sources officielles à l’appui.
CHIFFRE CLÉ
48 % des victimes de rançongiciel en France en 2025 sont des PME, TPE et ETI, selon le Panorama de la cybermenace 2025 du CERT-FR (ANSSI). Sur 128 compromissions par rançongiciel recensées, les collectivités locales représentent 11 % des cibles et les établissements de santé 8 %. Source ANSSI.
NIS2 en 2026 : où en est la transposition française ?
La directive (UE) 2022/2555, dite NIS2, est entrée en vigueur le 16 janvier 2023. Sa date limite de transposition dans les droits nationaux était fixée au 17 octobre 2024 — échéance que plusieurs États membres, dont la France, n’ont pas respectée. En France, la transposition passe par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dossier PRMD2412608L), qui transpose conjointement les directives REC, NIS2 et DORA.
Ce projet a été adopté en première lecture au Sénat le 12 mars 2025, puis voté à l’unanimité en commission spéciale à l’Assemblée nationale le 10 septembre 2025. La promulgation est attendue au premier trimestre 2026, suivie des décrets d’application au second trimestre 2026. Pendant cette période transitoire, l’ANSSI a ouvert le pré-enregistrement des entités concernées sur MonEspaceNIS2 depuis le 24 novembre 2025, afin que les dirigeants anticipent leurs obligations futures (FAQ MonEspaceNIS2).
Ce qui change concrètement entre NIS1 et NIS2
- Passage de 500 à environ 15 000 entités régulées en France, selon l’étude d’impact du gouvernement.
- Passage de 6 à 18 secteurs couverts, incluant désormais les services TIC inter-entreprises, la gestion des déchets, la fabrication (chimie, agroalimentaire), la recherche, les fournisseurs numériques, les services postaux et la fabrication industrielle.
- Environ 1 500 collectivités locales (communes, intercommunalités, organismes rattachés) entrent dans le champ de la régulation.
- Responsabilité explicite des dirigeants (article 20), avec obligation de formation et possibilité de responsabilité personnelle.
Votre PME est-elle concernée par NIS2 ?
La directive NIS2 s’applique par combinaison de trois critères : la taille de l’entreprise, le secteur d’activité et l’appartenance à une chaîne d’approvisionnement critique. Elle distingue deux catégories d’entités, avec des obligations identiques mais des régimes de contrôle et de sanctions différents.
Entités essentielles
Seuil : plus de 250 salariés ou chiffre d’affaires annuel supérieur à 50 M€ ou bilan supérieur à 43 M€.
Secteurs concernés (Annexe I) : énergie, transports, santé, eau potable, eaux usées, infrastructure numérique, administration publique, espace, banque, infrastructures des marchés financiers, gestion des services TIC business-to-business.
Entités importantes
Seuil : entre 50 et 249 salariés, ou chiffre d’affaires entre 10 et 50 M€.
Secteurs concernés (Annexe II) : services postaux et d’expédition, gestion des déchets, fabrication et distribution de produits chimiques, production agroalimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.
POINT IMPORTANT
Même une PME de moins de 50 salariés peut être concernée par NIS2 si elle fait partie de la chaîne d’approvisionnement d’une entité essentielle ou importante. Les grandes entreprises exigent de plus en plus de leurs sous-traitants une conformité de fait, via leurs clauses contractuelles. Le simple statut juridique ne suffit donc pas : c’est l’analyse de votre exposition réelle qui détermine votre niveau d’obligation. Pour vérifier votre situation, l’ANSSI met à disposition un outil d’auto-évaluation sur MonEspaceNIS2.
Les 10 mesures de l’article 21 : le socle de cybersécurité PME 2026
L’article 21 de la directive (UE) 2022/2555 énumère dix mesures minimales de gestion des risques que toute entité régulée — essentielle ou importante — doit mettre en œuvre, de façon proportionnée à sa taille et à son exposition. Ces dix mesures constituent le tronc commun obligatoire de la mise en conformité NIS2.
1. Analyse des risques et politique de sécurité
Cartographie des actifs, analyse des menaces et des vulnérabilités, rédaction d’une politique de sécurité des systèmes d’information (PSSI) formalisée et régulièrement revue.
2. Gestion des incidents
Procédures de détection, de traitement et de retour d’expérience sur les incidents de cybersécurité. La gestion des incidents est le pendant opérationnel de l’obligation de notification (article 23).
3. Continuité d’activité
Plan de continuité et de reprise d’activité (PRA/PCA), politique de sauvegarde, gestion de crise. Ces dispositifs doivent être testés régulièrement, pas seulement documentés.
4. Sécurité de la chaîne d’approvisionnement
Évaluation de la sécurité des fournisseurs et prestataires, clauses contractuelles, gestion des accès tiers. C’est l’un des grands apports de NIS2 par rapport à NIS1.
5. Sécurité du cycle de vie des SI
Sécurité dans l’acquisition, le développement et la maintenance des systèmes, gestion des vulnérabilités et des correctifs.
6. Évaluation de l’efficacité des mesures
Politiques et procédures permettant d’évaluer régulièrement l’efficacité des mesures mises en place (audits internes, tests d’intrusion, revues de configuration).
7. Hygiène cyber et formation
Pratiques d’hygiène cyber de base et formations récurrentes à la cybersécurité pour l’ensemble du personnel, dirigeants compris. La sensibilisation n’est plus facultative.
8. Cryptographie et chiffrement
Politiques de chiffrement des données au repos et en transit, gestion des clés cryptographiques. Le chiffrement est désormais un standard attendu, pas un luxe.
9. Sécurité RH, contrôle d’accès, gestion des actifs
Processus d’arrivée et de départ des collaborateurs, gestion des habilitations (principe du moindre privilège), inventaire et cycle de vie des actifs IT.
10. MFA et communications sécurisées
Authentification multifacteur ou continue, solutions de communication sécurisées (voix, vidéo, messagerie) et dispositifs de communication d’urgence au sein de l’entité.
Notifier un incident NIS2 : la règle 24 heures / 72 heures / 1 mois
L’article 23 de la directive impose un dispositif de notification des incidents significatifs en trois étapes, avec des délais stricts. Un incident est considéré comme « significatif » lorsqu’il provoque une perturbation opérationnelle grave, une perte financière importante, ou qu’il peut causer un préjudice considérable à d’autres personnes physiques ou morales.
24 HEURES
Alerte précoce
Signalement initial à l’autorité nationale (en France, le CERT-FR rattaché à l’ANSSI), indiquant si l’incident résulte d’un acte malveillant présumé et s’il peut avoir un impact transfrontalier.
72 HEURES
Notification d’incident
Notification formelle, complétant l’alerte précoce, avec une évaluation initiale de la gravité, de l’impact et, si disponibles, les indicateurs de compromission (IOC).
1 MOIS
Rapport final
Rapport détaillé incluant la description complète de l’incident, le type de menace, les causes racines, les mesures d’atténuation appliquées et prévues, et l’impact transfrontalier le cas échéant.
L’omission ou le retard de notification est sanctionnable en tant que tel, indépendamment de la gravité de l’incident lui-même. En pratique, cela signifie qu’une PME doit être capable d’activer sa procédure de notification 24 h sur 24, y compris week-end et jours fériés. Cette contrainte opérationnelle est l’un des principaux changements culturels imposés par NIS2 aux dirigeants de PME.
Responsabilité des dirigeants et sanctions financières
NIS2 marque une rupture culturelle : la cybersécurité devient explicitement une responsabilité des organes de direction de l’entreprise. Deux articles sont à retenir.
Article 20 — Gouvernance et formation des dirigeants
Les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et peuvent être tenus responsables en cas de manquement. Ils sont également tenus de suivre une formation régulière leur permettant d’acquérir des connaissances suffisantes pour identifier les risques et évaluer les pratiques de cybersécurité de l’entité. Cette obligation s’applique aussi aux membres non exécutifs dans certains cas.
Article 34 — Sanctions administratives
La directive impose aux États membres un plafond minimum pour les amendes en cas d’infraction aux articles 21 (mesures de gestion des risques) ou 23 (obligations de notification) :
ENTITÉS ESSENTIELLES
Amende maximale d’au moins 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel de l’exercice précédent — le montant le plus élevé étant retenu.
ENTITÉS IMPORTANTES
Amende maximale d’au moins 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel de l’exercice précédent — le montant le plus élevé étant retenu.
Au-delà de l’amende, les autorités nationales disposent d’un éventail d’autres sanctions : injonctions de mise en conformité, suspension temporaire de certifications, interdiction temporaire d’exercer des fonctions de direction. En cas de manquement grave, les dirigeants peuvent être tenus personnellement responsables selon les modalités que chaque État membre définira dans son texte de transposition.
Se mettre en conformité NIS2 : un plan d’action réaliste pour PME
La conformité NIS2 n’est pas un projet ponctuel : c’est une démarche structurée qui combine audit initial, mise à niveau technique, documentation et gouvernance continue. Voici un plan d’action en cinq étapes que nous recommandons aux PME et ETI.
- Réaliser un audit de gap NIS2. Identifier les écarts entre votre dispositif actuel et les 10 mesures de l’article 21. Cartographier les actifs critiques, les flux de données sensibles et les processus qui ne peuvent pas s’interrompre.
- Prioriser les chantiers par risque. Traiter d’abord les vulnérabilités critiques (patchs non appliqués, comptes sans MFA, absence de sauvegarde hors ligne), puis le socle technique minimal (EDR, chiffrement, contrôle d’accès).
- Documenter et formaliser. Politique de sécurité des systèmes d’information (PSSI), procédures de réponse aux incidents, registre des actifs, clauses de sécurité dans les contrats fournisseurs. La documentation est contrôlable — elle doit exister et être à jour.
- Former tous les niveaux. Sensibilisation du personnel aux attaques courantes (phishing, ingénierie sociale), formation spécifique des dirigeants à la gouvernance cyber (obligation de l’article 20), exercice de crise au moins une fois par an.
- Contrôler et améliorer en continu. Audits internes, tests d’intrusion, revue annuelle de l’analyse de risques, mise à jour de la PSSI. La conformité se démontre — elle se prouve dans la durée.
RETOUR D’EXPÉRIENCE TERRAIN
Sur les dossiers que nous accompagnons chez Ezohiko, la mise en conformité d’une PME partant d’un socle hétérogène demande en général 6 à 18 mois, selon la maturité cyber de départ et la taille du parc. Les trois freins les plus fréquents sont : un inventaire des actifs incomplet, l’absence de sauvegarde testée (et non seulement documentée), et le manque de rituel de revue de sécurité au niveau direction. Une PME qui résout ces trois points couvre déjà près de la moitié des exigences de l’article 21.
Comment Ezohiko accompagne les PME lyonnaises dans leur conformité NIS2
Ezohiko accompagne les PME et ETI de la région lyonnaise dans leur mise en conformité NIS2 de bout en bout, sans jargon ni promesses creuses. Notre approche combine audit de gap, mise en œuvre technique et pilotage continu, adaptée à la taille et au budget de votre entreprise. Trois piliers structurent notre accompagnement.
Socle technique SafeIT
Déploiement et administration de pare-feu, EDR, MFA, chiffrement et supervision, mutualisés pour PME et professions libérales. Un socle technique aligné sur les mesures 5, 8, 9 et 10 de l’article 21.
Continuité d’activité (PRA & PCA)
Mise en place et tests réels de votre plan de reprise et de continuité d’activité, avec engagement sur les délais de reprise. Couvre directement la mesure 3 de l’article 21.
Gouvernance & RSI temps partagé
Formalisation de la PSSI, préparation des comités de sécurité, audit de gap NIS2 et formation des dirigeants — via notre offre de responsable informatique à temps partagé. Répond aux mesures 1, 6 et 7 et à l’article 20.
Questions fréquentes sur NIS2 et les PME
Qu’est-ce que la directive NIS2 et quand entre-t-elle en vigueur pour les PME françaises ?
La directive NIS2 (Network and Information Security 2), officiellement la directive (UE) 2022/2555 du 14 décembre 2022, est une réglementation européenne sur la cybersécurité entrée en vigueur le 16 janvier 2023. Sa date limite de transposition dans les droits nationaux était fixée au 17 octobre 2024. En France, la transposition passe par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Au 19 avril 2026, ce projet de loi a été adopté au Sénat (12 mars 2025) et voté en commission spéciale à l’Assemblée nationale (10 septembre 2025), avec une promulgation attendue au premier trimestre 2026 et des décrets d’application au deuxième trimestre 2026. Les entités concernées peuvent déjà se pré-enregistrer sur MonEspaceNIS2 depuis novembre 2025.
Quelle est la différence entre entité essentielle et entité importante au sens de NIS2 ?
Les entités essentielles (Annexe I de la directive) sont les grandes organisations opérant dans les secteurs hautement critiques : énergie, transports, santé, eau, infrastructure numérique, banques, administration publique. Leur seuil est de plus de 250 salariés ou un chiffre d’affaires supérieur à 50 millions d’euros. Les entités importantes (Annexe II) sont des organisations de taille moyenne dans des secteurs critiques élargis : services postaux, gestion des déchets, fabrication, produits chimiques, agroalimentaire, fournisseurs numériques. Leur seuil est compris entre 50 et 249 salariés ou un chiffre d’affaires entre 10 et 50 millions d’euros. Les obligations techniques sont identiques pour les deux catégories ; seuls le régime de contrôle et les plafonds de sanctions diffèrent.
Une PME de moins de 50 salariés est-elle concernée par NIS2 ?
Une PME de moins de 50 salariés n’est en principe pas dans le champ direct de NIS2. Elle peut néanmoins être concernée par effet de chaîne d’approvisionnement : lorsqu’elle fournit des services ou des produits à une entité essentielle ou importante, celle-ci doit évaluer la sécurité de ses fournisseurs (article 21 (d) de la directive), ce qui conduit souvent à imposer contractuellement une conformité de fait. Dans les secteurs régulés, de nombreuses PME sous-traitantes voient déjà arriver des clauses de sécurité dans leurs contrats. Une analyse au cas par cas avec l’outil de l’ANSSI sur MonEspaceNIS2 est recommandée.
Quels sont les délais de notification d’incident imposés par NIS2 ?
L’article 23 de la directive NIS2 impose un dispositif en trois étapes pour les incidents significatifs : une alerte précoce dans un délai maximum de 24 heures après la prise de connaissance de l’incident, une notification formelle avec évaluation initiale dans un délai maximum de 72 heures, et un rapport final détaillé dans un délai d’un mois. En France, ces notifications sont à adresser au CERT-FR, rattaché à l’ANSSI. L’omission de notification est elle-même sanctionnable, indépendamment de la gravité de l’incident sous-jacent.
Quelles sont les sanctions en cas de non-conformité à NIS2 ?
L’article 34 de la directive fixe les plafonds minimums pour les amendes administratives. Pour les entités essentielles, l’amende peut atteindre au moins 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel de l’exercice précédent — le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est d’au moins 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel. Au-delà des amendes, les autorités peuvent prononcer des injonctions de mise en conformité, suspendre des certifications, ou interdire temporairement à un dirigeant d’exercer ses fonctions. Les dirigeants peuvent également être tenus personnellement responsables en cas de manquement grave.
Combien de temps faut-il pour se mettre en conformité NIS2 ?
La durée de mise en conformité dépend fortement de la maturité cyber de départ. Sur les dossiers PME accompagnés par Ezohiko, nous observons généralement une fourchette de 6 à 18 mois pour couvrir l’ensemble des exigences de l’article 21, sans compter le pilotage continu. Les entreprises qui disposent déjà d’un socle technique solide (EDR, MFA, sauvegardes testées) avancent plus vite ; celles qui partent d’un SI hétérogène ou sans inventaire à jour nécessitent un travail préparatoire plus long. La période transitoire prévue par la transposition française, de l’ordre de trois ans selon les travaux législatifs, laisse aux entreprises le temps de construire un plan réaliste.
NIS2 et RGPD : quelles différences pour une PME ?
Le RGPD (Règlement général sur la protection des données) protège les données à caractère personnel et s’applique à toute organisation traitant ce type de données, quel que soit sa taille ou son secteur. La régulation est assurée par la CNIL. NIS2, de son côté, impose un cadre de cybersécurité aux entités des secteurs essentiels et importants, pour garantir la résilience des réseaux et des systèmes d’information. La régulation est assurée par l’ANSSI. Les deux textes sont complémentaires : NIS2 impose des mesures techniques et organisationnelles qui contribuent aussi à protéger les données personnelles, tandis que le RGPD impose des exigences spécifiques (minimisation, consentement, droits des personnes) qui ne figurent pas dans NIS2. Une violation de données personnelles causée par un incident de cybersécurité peut déclencher les deux obligations de notification : à l’ANSSI sous NIS2 (article 23), et à la CNIL sous RGPD (article 33).
Comment Ezohiko accompagne-t-il les PME lyonnaises dans leur conformité NIS2 ?
Ezohiko propose un accompagnement complet pour les PME et ETI de la région lyonnaise : audit de gap NIS2, évaluation des risques, mise en place du socle technique (pare-feu, EDR, MFA, sauvegarde) via notre offre SafeIT, rédaction des politiques de sécurité et des procédures de réponse aux incidents, formation des équipes et des dirigeants, tests de PRA, et pilotage continu. Notre modèle de responsable informatique à temps partagé (RSI) permet d’accéder à cette expertise à un coût adapté à une PME, sans la charge d’un recrutement à temps plein. L’objectif n’est pas de cocher des cases : c’est de construire un dispositif de cybersécurité qui tient sur la durée, testé et documenté.
Pour aller plus loin : sources officielles et ressources
Textes officiels
- Directive (UE) 2022/2555 sur EUR-Lex — texte intégral de la directive NIS2
- Dossier législatif Légifrance — projet de loi français de transposition
- Dossier Sénat — présentation du projet de loi
Autorités et outils
- MonEspaceNIS2 (ANSSI) — plateforme officielle de pré-enregistrement
- cyber.gouv.fr (ANSSI) — ressources et actualités cybersécurité
- cybermalveillance.gouv.fr — assistance aux victimes et baromètre TPE-PME
Parlons de votre situation.
30 minutes, sans engagement.
On regarde ensemble ce qu’il faudrait pour libérer votre charge mentale IT. Pas de pitch. Juste un état des lieux honnête.
Architecte de votre informatique. Artisan de votre confiance.