NIS2 et les PME françaises : obligations, délais et guide de mise en conformité 2026

La directive NIS2 : ce qui a changé pour les PME depuis janvier 2026

La directive NIS2 (Network and Information Security 2) est entrée pleinement en application dans tous les États membres de l’UE depuis octobre 2024, mais les autorités nationales comme l’ANSSI en France ont accordé des délais de transition aux PME jusqu’au 1er janvier 2026. Désormais, les entreprises des secteurs ‘importants’ (transport, santé, alimentation, services numériques, industrie manufacturière) qui dépassent les seuils NIS2 sont soumises à des obligations contraignantes.

NIS2 élargit considérablement le périmètre de NIS1 : là où la première directive ciblait principalement les opérateurs d’importance vitale et les grandes entreprises, NIS2 intègre les entreprises de taille intermédiaire (50-250 salariés, 10-50 M€ de chiffre d’affaires) dans de nombreux secteurs. En France, l’ANSSI estime à 15 000 le nombre d’entités désormais soumises à NIS2, contre 300 sous NIS1.

Pour les PME, la réalité de NIS2 est moins apocalyptique que certains articles alarmistes le suggèrent, mais elle impose néanmoins une structuration sérieuse de la cybersécurité. Ce guide démystifie les obligations réelles et propose un plan d’action pragmatique.

Êtes-vous concerné ? Les seuils NIS2 expliqués

NIS2 distingue deux catégories : les entités ‘essentielles’ (grande taille, secteurs critiques) et les entités ‘importantes’ (taille intermédiaire ou certains secteurs spécifiques). La plupart des PME françaises touchées tombent dans la catégorie ‘importante’ — avec des obligations similaires mais des contrôles a posteriori (sur incident) plutôt que proactifs.

Les secteurs ‘importants’ incluant les PME de taille intermédiaire : services postaux, gestion des déchets, fabrication (équipements médicaux, véhicules, machines), alimentation, fournisseurs numériques (marchés en ligne, moteurs de recherche, cloud), et services de recherche. Si votre entreprise opère dans un de ces secteurs avec plus de 50 salariés ET plus de 10 M€ de CA, vous êtes probablement concerné.

L’ANSSI a publié un outil d’auto-évaluation disponible sur cyber.gouv.fr permettant à chaque entreprise de déterminer son statut en 15 minutes. Si le résultat est ambigu, consultez un avocat spécialisé cybersécurité — les sanctions NIS2 (amendes jusqu’à 7 M€ ou 1,4 % du CA mondial pour les entités importantes) rendent l’incertitude coûteuse.

Les 10 obligations techniques minimales NIS2

NIS2 impose des ‘mesures techniques, opérationnelles et organisationnelles appropriées’ sans imposer de liste précise — ce qui crée une certaine flexibilité mais aussi de l’incertitude. L’ANSSI a publié des recommandations alignées sur le cadre NIS2 qui constituent le standard de référence en France.

Les 10 mesures techniques fondamentales attendues : (1) Gestion des risques cyber formalisée (cartographie des actifs, analyse des risques annuelle), (2) Politique de sécurité documentée et approuvée par la direction, (3) Gestion des incidents avec procédure de notification (72h à l’ANSSI en cas d’incident significatif), (4) Continuité d’activité (PCA/PRA testés), (5) Sécurité de la chaîne d’approvisionnement (audit des sous-traitants critiques), (6) Sécurité des réseaux et systèmes (segmentation, accès MFA), (7) Chiffrement des données sensibles, (8) Gestion des identités et des accès (IAM), (9) Sensibilisation et formation des collaborateurs, (10) Tests de pénétration annuels.

Aucune de ces mesures n’est techniquement impossible pour une PME. La plupart peuvent être implémentées progressivement en 6 à 12 mois avec un budget de 15 000 à 50 000 € selon la maturité initiale de l’entreprise.

Plan d’action NIS2 en 6 mois pour les PME

Mois 1-2 — Évaluation et gouvernance : cartographiez vos actifs numériques critiques (serveurs, applications, données), nommez un responsable sécurité (RSSI ou équivalent, même à temps partiel), obtenez l’approbation formelle de la direction sur la politique de sécurité. Ce socle organisationnel est la fondation sur laquelle tout le reste s’appuie.

Mois 3-4 — Sécurisation technique : déployez le MFA sur tous les accès distants et les comptes à privilèges, segmentez votre réseau (les postes utilisateurs ne doivent pas accéder directement aux serveurs de production), chiffrez vos sauvegardes et vérifiez leur restauration, implémentez une solution EDR (Endpoint Detection & Response) sur tous les postes — des solutions PME comme SentinelOne One ou Microsoft Defender for Business sont accessibles à partir de 5 €/poste/mois.

Mois 5-6 — Processus et tests : rédigez et testez votre plan de réponse aux incidents, organisez une simulation de phishing pour évaluer et former vos collaborateurs, programmez un pentest avec un prestataire PASSI (certifié ANSSI) pour valider votre posture, documentez votre processus de notification à l’ANSSI. À l’issue de ces 6 mois, votre entreprise sera en conformité substantielle avec NIS2.

Notification obligatoire en 72h : comment se préparer

L’obligation de notification d’incidents à l’ANSSI dans les 72 heures est l’une des exigences les plus opérationnellement complexes de NIS2. Pour la respecter, vous devez avoir en place : un système de détection qui alerte rapidement (logs centralisés, SIEM ou service MDR), un processus décisionnel clair (qui décide qu’un incident est ‘significatif’ et mérite notification), et un contact ANSSI pré-enregistré.

L’ANSSI a défini ce qu’est un incident ‘significatif’ : impact sur plus de 5 % des utilisateurs du service, impact financier dépassant 100 000 €, atteinte à la réputation ou impact médiatique, ou compromission de données personnelles (qui déclenche aussi une notification CNIL sous 72h au titre du RGPD).

Le processus de notification se fait via le portail de signalement de l’ANSSI (signal.anssi.fr). Préparez un modèle de notification incluant : nature et étendue de l’incident, systèmes affectés, impact estimé, mesures déjà prises, et plan de remédiation. Avoir ce modèle prêt avant un incident réel réduit considérablement le stress et le risque d’erreur dans l’urgence.

Budget et ressources pour la conformité NIS2

Le budget NIS2 pour une PME de 50-100 personnes sans historique de cybersécurité structurée se situe typiquement entre 20 000 et 80 000 € en année 1 (investissement initial) puis 10 000 à 30 000 €/an en régime de croisière. Ces chiffres incluent : les outils techniques (EDR, SIEM léger, gestionnaire de mots de passe d’entreprise), les services (pentest annuel, formation collaborateurs, éventuellement un RSSI externalisé), et les coûts de conseil (avocat, audit initial).

Des dispositifs d’aide existent pour réduire ce budget. BPI France propose des prêts ‘Cybersécurité’ à taux préférentiel pour les PME investissant dans leur sécurité. Des régions cofinancent des diagnostics cyber via les CCI. Enfin, le cybermalveillance.gouv.fr propose des ressources gratuites et un annuaire de prestataires labellisés ExpertCyber.

L’argument économique pour NIS2 va au-delà de la conformité réglementaire. Une PME victime d’une attaque ransomware sans mesures de sécurité adéquates fait face à des coûts moyens de 100 000 à 500 000 € (rançon, reconstruction, perte d’activité, communication de crise). L’investissement NIS2 est une prime d’assurance cyber, pas une dépense subie.

#!/bin/bash
# Script d'évaluation rapide de conformité NIS2 (checklist technique)

echo "=== Audit NIS2 — Conformité technique PME ==="
echo ""

SCORE=0
TOTAL=10

check() {
    local label="$1"
    local cmd="$2"
    if eval "$cmd" &>/dev/null; then
        echo "[OK] $label"
        SCORE=$((SCORE+1))
    else
        echo "[FAIL] $label"
    fi
}

# 1. MFA activé sur accès SSH
check "Clé SSH requise (pas de password auth)"     "grep -q 'PasswordAuthentication no' /etc/ssh/sshd_config"

# 2. Firewall actif
check "UFW/iptables actif"     "ufw status | grep -q 'Status: active' || iptables -L | grep -q Chain"

# 3. Logs centralisés
check "Rsyslog ou journald configuré"     "systemctl is-active rsyslog || systemctl is-active systemd-journald"

# 4. Sauvegardes récentes (< 24h)
check "Sauvegarde récente trouvée"     "find /backups -name '*.sql.gz' -mtime -1 | grep -q ."

# 5. Chiffrement disque
check "LUKS chiffrement actif"     "lsblk -o TYPE | grep -q crypt"

# 6. Mises à jour automatiques
check "Unattended-upgrades installé"     "dpkg -l unattended-upgrades | grep -q '^ii'"

# 7. Audit logs actif
check "Auditd actif"     "systemctl is-active auditd"

# 8. Fail2ban anti-brute force
check "Fail2ban actif"     "systemctl is-active fail2ban"

# 9. Mots de passe complexes requis
check "PAM password quality configuré"     "grep -q 'minlen=12' /etc/pam.d/common-password 2>/dev/null || grep -q 'minlen=12' /etc/security/pwquality.conf 2>/dev/null"

# 10. Rapport vulnérabilités
check "Lynis installé (audit sécurité)"     "which lynis"

echo ""
echo "Score : $SCORE/$TOTAL"
[ $SCORE -ge 8 ] && echo "Bonne posture NIS2 !" || echo "Actions requises avant conformité NIS2"

Sources et références

• CISA KEV Catalog
• NIST NVD
• ANSSI CERT-FR
• MITRE ATT&CK
• OWASP Top 10
• KrebsOnSecurity