Pourquoi la conformite NIS2 est urgente pour les PME
En 2026, la cybersecurite n'est plus un sujet reserve aux grands groupes du CAC40. La directive europeenne NIS2 (Network and Information Security Directive 2) redefinit radicalement les obligations de cybersecurite pour des milliers d'entreprises francaises, et les PME sont en premiere ligne.
Les chiffres sont alarmants : selon l'ANSSI, 60% des PME victimes d'une cyberattaque grave deposent le bilan dans les 18 mois. Pourtant, une etude recente revele que moins de 15% des PME francaises concernees par NIS2 ont entame leur processus de conformite NIS2 PME. Le decalage entre la menace et la preparation est considerable.
La transposition de NIS2 dans le droit francais, actuellement en cours via le projet de loi relatif a la resilience des infrastructures critiques, va imposer des obligations strictes assorties de sanctions pouvant atteindre 10 millions d'euros. Plus nouveau encore : les dirigeants seront personnellement responsables en cas de manquement.
Attention : Ne pas attendre la publication definitive de la loi francaise pour agir. Les entreprises qui commencent maintenant leur mise en conformite NIS2 disposent d'un avantage concurrentiel majeur et evitent la panique de derniere minute qui fera exploser les couts d'accompagnement.
Ce guide vous presente les 10 etapes concretes pour mettre votre PME en conformite avec NIS2, les delais a respecter, les risques en cas de non-conformite, et comment nos experts en mise en conformite peuvent vous accompagner dans cette demarche critique.
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (Directive (UE) 2022/2555) est le cadre reglementaire europeen le plus ambitieux en matiere de cybersecurite. Adoptee par le Parlement europeen le 14 decembre 2022, elle remplace la premiere directive NIS de 2016 et marque un tournant dans les exigences imposees aux NIS2 entreprises francaises.
NIS2 vs NIS1 : ce qui change fondamentalement
| Critere | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Nombre de secteurs | 7 secteurs | 18 secteurs |
| Entites concernees en France | ~500 OIV/OSE | ~15 000+ entites |
| PME concernees | Quasiment aucune | Des milliers (directes + supply chain) |
| Sanctions maximales | Non harmonisees | 10M EUR ou 2% du CA mondial |
| Responsabilite des dirigeants | Non prevue | Responsabilite personnelle explicite |
| Supply chain | Non couverte | Obligations etendues aux fournisseurs |
| Notification d'incident | 72 heures | 24h (alerte) + 72h (rapport) + 1 mois (final) |
L'objectif est clair : creer un niveau eleve et uniforme de cybersecurite a travers toute l'Union europeenne. La France, en tant que membre fondateur, transpose cette directive avec des exigences parmi les plus strictes d'Europe, sous la supervision de l'ANSSI.
Qui est concerne ? Secteurs, seuils et chaine d'approvisionnement
NIS2 distingue deux categories d'entites soumises a des niveaux d'obligations differents : les entites essentielles (EE) et les entites importantes (EI).
Les 18 secteurs concernes
Secteurs hautement critiques (entites essentielles) :
- Energie (electricite, petrole, gaz, hydrogene, chauffage/refroidissement)
- Transports (aerien, ferroviaire, maritime, routier)
- Banque et infrastructures des marches financiers
- Sante (hopitaux, laboratoires, fabricants de dispositifs medicaux)
- Eau potable et eaux usees
- Infrastructure numerique (DNS, TLD, data centers, CDN, cloud)
- Gestion des services TIC (B2B)
- Administration publique
- Espace
Autres secteurs critiques (entites importantes) :
- Services postaux et d'expedition
- Gestion des dechets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution de denrees alimentaires
- Fabrication (dispositifs medicaux, produits informatiques, electroniques, optiques, equipements electriques, machines, vehicules, autres materiels de transport)
- Fournisseurs numeriques (places de marche, moteurs de recherche, reseaux sociaux)
- Recherche
Les seuils de taille
Votre PME est concernee si elle remplit les deux criteres suivants :
- Secteur : elle opere dans l'un des 18 secteurs ci-dessus
- Taille : elle emploie plus de 50 salaries OU realise plus de 10 millions d'euros de chiffre d'affaires annuel
Important : Certaines entites sont concernees independamment de leur taille : fournisseurs de DNS, registres de noms de domaine, fournisseurs de services de confiance, et toute entite identifiee comme critique par les autorites nationales.
L'effet cascade : NIS2 sous-traitant et chaine d'approvisionnement
C'est le point qui echappe a beaucoup de PME : meme si votre entreprise ne remplit pas directement les criteres de taille, vous pouvez etre impacte en tant que NIS2 sous-traitant.
L'article 21 de la directive impose aux entites concernees de gerer les risques lies a la securite de leur chaine d'approvisionnement. En pratique, cela signifie que vos clients grands comptes vont vous imposer des exigences contractuelles de cybersecurite pour rester eux-memes conformes. Refuser, c'est risquer de perdre ces contrats.
Les prestataires informatiques, les editeurs de logiciels, les hebergeurs, les ESN et les sous-traitants industriels sont particulierement concernes par cet effet cascade NIS2. C'est pourquoi il est essentiel d'anticiper en vous formant et en mettant en place les mesures adaptees. Nos formations certifiantes en cybersecurite vous permettent de monter en competence rapidement.
Les 10 etapes de la mise en conformite NIS2 pour les PME
Voici la feuille de route detaillee que nous recommandons a nos clients PME pour atteindre la conformite NIS2 PME de maniere structuree et pragmatique.
Determiner si votre entreprise est concernee
La premiere etape consiste a realiser un diagnostic d'eligibilite NIS2. Analysez votre secteur d'activite (code NAF), votre taille (effectifs et chiffre d'affaires) et vos relations contractuelles avec des entites essentielles ou importantes.
- Identifiez votre code NAF et son rattachement aux 18 secteurs NIS2
- Verifiez vos seuils de taille (50 salaries / 10M EUR de CA)
- Cartographiez vos relations avec des clients potentiellement concernes
- Consultez la liste des entites que l'ANSSI publiera dans le cadre de la transposition
Realiser un audit de securite initial
Un audit de securite informatique complet est indispensable pour mesurer l'ecart entre votre posture actuelle et les exigences NIS2. Cet audit doit couvrir :
- L'analyse de l'ensemble de votre systeme d'information
- L'evaluation de vos politiques de securite existantes
- Les tests de vulnerabilites sur vos actifs critiques
- L'analyse de votre architecture reseau et de vos flux de donnees
- L'evaluation de la securite de vos prestataires et fournisseurs
Chez My Trust Partner, notre audit cybersecurite produit un rapport detaille avec un score de maturite, une cartographie des risques et un plan d'action priorise.
Mettre en place une gouvernance cybersecurite
NIS2 exige que la cybersecurite soit pilotee au plus haut niveau de l'organisation. Cela implique :
- Nommer un responsable de la securite des systemes d'information (RSSI), meme a temps partiel
- Definir un comite de pilotage cybersecurite incluant la direction
- Etablir une politique de securite du systeme d'information (PSSI)
- Formaliser les roles et responsabilites de chaque acteur
Pour les PME qui n'ont pas les ressources pour recruter un RSSI a temps plein, notre offre CISO as a Service met a disposition un RSSI experimente a temps partage, pour une fraction du cout d'un poste interne.
Conduire une analyse des risques formalisee
L'article 21 de NIS2 impose une approche fondee sur les risques. Votre analyse doit :
- Identifier et valoriser vos actifs informationnels critiques
- Cartographier les menaces et vulnerabilites associees
- Evaluer la vraisemblance et l'impact de chaque scenario de risque
- Prioriser les risques selon une matrice gravite/probabilite
- Documenter le plan de traitement des risques (accepter, reduire, transferer, eviter)
Nous recommandons la methode EBIOS Risk Manager de l'ANSSI, adaptee au contexte des PME francaises. Un cadre ISO 27005 peut egalement etre utilise pour une approche plus internationale.
Deployer les mesures de securite techniques
NIS2 exige la mise en place de mesures techniques proportionnees aux risques identifies. Les mesures incontournables pour une PME incluent :
- Gestion des acces : authentification multi-facteurs (MFA), principe du moindre privilege, revue reguliere des droits
- Protection du reseau : segmentation, pare-feu nouvelle generation, detection d'intrusion
- Chiffrement : donnees au repos et en transit, gestion des cles
- Sauvegarde : strategie 3-2-1, tests de restauration reguliers
- Mise a jour : politique de patch management, suivi des CVE
- Endpoint : solutions EDR/XDR sur l'ensemble des postes et serveurs
La mise en place d'un SOC (Security Operations Center) manage est fortement recommandee pour assurer une surveillance continue 24/7 de votre SI, une exigence implicite de NIS2.
Elaborer un plan de gestion des incidents
NIS2 impose des obligations strictes de notification d'incidents. Votre plan doit definir :
- Les criteres de qualification d'un incident significatif
- La chaine d'alerte interne (qui prevenir, dans quel ordre)
- Les procedures de notification a l'ANSSI (alerte initiale sous 24h, rapport intermediaire sous 72h, rapport final sous 1 mois)
- Les procedures de confinement, d'eradication et de retour a la normale
- Le plan de communication de crise (interne et externe)
- Le processus de retour d'experience post-incident
Securiser la chaine d'approvisionnement
C'est l'un des volets les plus complexes pour les PME. Vous devez :
- Inventorier tous vos fournisseurs et prestataires ayant acces a votre SI
- Evaluer le niveau de securite de chaque fournisseur critique
- Integrer des clauses de cybersecurite dans vos contrats
- Definir des exigences minimales de securite pour vos sous-traitants
- Mettre en place un suivi regulier de la conformite des tiers
Si vous etes vous-meme sous-traitant, la souscription d'une cyber-assurance peut constituer un filet de securite complementaire et un argument commercial vis-a-vis de vos clients.
Assurer la continuite d'activite
NIS2 exige des plans de continuite et de reprise d'activite (PCA/PRA) testes et documentes :
- Identifier les processus metier critiques et leurs dependances IT
- Definir les objectifs de reprise (RTO/RPO) pour chaque processus
- Rediger et tester le PCA (Plan de Continuite d'Activite)
- Mettre en place un PRA (Plan de Reprise d'Activite) avec des sauvegardes testees
- Realiser des exercices de crise au moins une fois par an
Former et sensibiliser l'ensemble des collaborateurs
L'article 20 de NIS2 impose explicitement la formation des organes de direction et la sensibilisation de l'ensemble du personnel :
- Formations obligatoires pour les dirigeants sur les cyber-risques et leurs responsabilites
- Programme de sensibilisation regulier pour tous les collaborateurs
- Exercices de simulation de phishing
- Formation specifique pour les equipes techniques (securite operationnelle)
- Campagnes de sensibilisation continues (pas seulement une fois par an)
Notre centre de formation certifie Qualiopi propose des programmes adaptes a chaque profil : dirigeants, equipes techniques et collaborateurs non-techniques. Toutes nos formations sont financables par votre OPCO.
Mettre en place une amelioration continue
La conformite NIS2 n'est pas un projet ponctuel mais un processus continu. La derniere etape consiste a :
- Planifier des audits internes reguliers (au minimum annuels)
- Suivre les indicateurs de performance securite (KPIs)
- Veiller sur les evolutions reglementaires et les nouvelles menaces
- Mettre a jour regulierement l'analyse des risques
- Documenter toutes les actions pour demontrer la conformite en cas de controle
- Realiser des tests d'intrusion periodiques pour valider l'efficacite des mesures
Un RSSI externalise assure cette vigilance permanente et vous prepare aux controles de l'ANSSI.
Calendrier et dates cles de la date limite NIS2
Le calendrier de NIS2 s'etale sur plusieurs annees. Voici les jalons essentiels pour les NIS2 entreprises francaises :
14 decembre 2022
Adoption de la directive NIS2 par le Parlement europeen et le Conseil de l'UE.
16 janvier 2023
Entree en vigueur de la directive NIS2. Debut du delai de transposition de 21 mois pour les Etats membres.
17 octobre 2024
Date limite theorique de transposition dans le droit national de chaque Etat membre. La France, comme la majorite des pays de l'UE, n'a pas respecte cette echeance.
17 avril 2025
Date limite pour l'etablissement par chaque Etat membre de la liste des entites essentielles et importantes.
1er semestre 2026 (previsionnel)
Adoption prevue du projet de loi francais de transposition. Debut des obligations formelles et des controles.
2026-2027
Periode de montee en puissance des controles ANSSI. Les entreprises non preparees s'exposent a des sanctions.
Ne confondez pas retard de transposition et absence d'obligation. L'esprit de la directive est deja applicable et les grandes entreprises integrent deja les exigences NIS2 dans leurs appels d'offres et contrats fournisseurs. Chaque mois perdu augmente le risque et le cout de la mise en conformite.
Sanctions NIS2 : jusqu'a 10 millions d'euros ou 2% du CA
Les sanctions NIS2 sont concues pour etre dissuasives, proportionnees et effectives. Le regime de sanctions s'articule autour de deux niveaux :
Pour les entites essentielles
- Amende maximale : 10 000 000 EUR ou 2% du chiffre d'affaires annuel mondial total, le montant le plus eleve etant retenu
- Injonctions de mise en conformite avec delais contraints
- Possibilite de suspension temporaire des certifications ou autorisations
- Interdiction temporaire d'exercice pour les dirigeants responsables
Pour les entites importantes
- Amende maximale : 7 000 000 EUR ou 1,4% du chiffre d'affaires annuel mondial total
- Injonctions de mise en conformite
- Audits de securite obligatoires a la charge de l'entite
Pour mettre en perspective : pour une PME realisant 5 millions d'euros de CA, l'amende maximale en tant qu'entite importante serait de 7 millions d'euros, soit plus que le chiffre d'affaires annuel. Pour une entite essentielle, ce serait 10 millions d'euros. Ces montants sont potentiellement fatals.
Au-dela des amendes financieres, les consequences indirectes sont tout aussi lourdes :
- Reputation : la publication des sanctions est prevue, impactant l'image de l'entreprise
- Commercial : perte de contrats avec les donneurs d'ordre exigeant la conformite NIS2
- Assurantiel : difficulte a obtenir ou renouveler une assurance cyber a des conditions raisonnables
- Operationnel : couts de remediation en urgence, bien superieurs a une mise en conformite anticipee
Responsabilite personnelle des dirigeants sous NIS2
L'article 20 de la directive NIS2 constitue une revolution dans le paysage reglementaire europeen : il introduit explicitement la responsabilite personnelle des organes de direction en matiere de cybersecurite.
Ce que NIS2 exige des dirigeants
Les organes de direction des entites essentielles et importantes doivent :
- Approuver les mesures de gestion des risques de cybersecurite adoptees par l'entite
- Superviser la mise en oeuvre effective de ces mesures
- Suivre une formation en cybersecurite pour acquerir les connaissances et competences necessaires
- Proposer des formations similaires a l'ensemble des collaborateurs de maniere reguliere
- Pouvoir etre tenus responsables en cas d'infraction aux obligations de l'article 21
Les consequences pour les dirigeants de PME
Concretement, un dirigeant de PME qui ne prend pas les mesures adequates s'expose a :
- Sanctions financieres personnelles distinctes de celles appliquees a l'entreprise
- Interdiction temporaire d'exercer des fonctions de direction au sein de l'entite
- Mise en cause de la responsabilite civile par les actionnaires ou partenaires
- Consequences penales potentielles en cas de negligence grave ayant conduit a un incident majeur
Message aux dirigeants : NIS2 fait de la cybersecurite un sujet de gouvernance d'entreprise au meme titre que la conformite fiscale ou le droit du travail. Ignorer ces obligations n'est plus une option. Faites-vous accompagner par un RSSI externalise pour securiser votre position personnelle autant que celle de votre entreprise.
Comment My Trust Partner vous accompagne vers la conformite NIS2
Chez My Trust Partner, nous accompagnons les PME et ETI francaises dans leur mise en conformite NIS2 depuis l'adoption de la directive. Notre approche est pragmatique, progressive et adaptee aux contraintes budgetaires des PME.
Notre offre d'accompagnement NIS2 en 4 piliers
1. Audit NIS2 et diagnostic initial
Notre audit cybersecurite specialise NIS2 evalue votre niveau de maturite actuel par rapport aux 10 categories de mesures de l'article 21. Vous obtenez un score de conformite, une cartographie des ecarts et un plan d'action priorise avec estimation budgetaire.
2. CISO as a Service (RSSI externalise)
Notre offre CISO as a Service met a votre disposition un RSSI certifie (CISSP, ISO 27001 Lead Auditor) a temps partage. Il pilote votre mise en conformite NIS2, redige vos politiques de securite, anime votre gouvernance et vous represente aupres de l'ANSSI si necessaire. C'est la solution la plus rentable pour une PME : vous beneficiez d'une expertise senior sans supporter le cout d'un poste a temps plein (70 000 a 120 000 EUR/an).
3. SOC manage 24/7
Notre centre operationnel de securite assure la surveillance continue de votre systeme d'information, la detection des menaces en temps reel et la reponse aux incidents. C'est une brique essentielle pour repondre aux exigences NIS2 de detection et de notification d'incidents dans les delais imposes.
4. Formation et sensibilisation
Notre centre de formation certifie Qualiopi propose des programmes specifiques NIS2 pour trois publics :
- Dirigeants : session de 4h sur les obligations, risques et responsabilites NIS2
- Equipes techniques : formations certifiantes ISO 27001, CEH, SOC Analyst
- Tous les collaborateurs : programme de sensibilisation continu avec simulations de phishing
Pourquoi choisir My Trust Partner ?
- Expert certifie : certifications ExpertCyber, ISO 27001, Qualiopi
- Specialiste PME : nous comprenons les contraintes budgetaires et organisationnelles des PME
- Approche 360 : audit, gouvernance, technique, formation et assurance cyber via notre activite de courtage en cyber-assurance
- Proximite : bases a Paris, nous intervenons sur tout le territoire francais
- 4.9/5 de satisfaction client sur la base de 47 avis verifies
Questions frequentes sur la conformite NIS2 pour les PME
Votre PME est probablement concernee par NIS2 si elle opere dans l'un des 18 secteurs identifies (energie, transports, sante, numerique, etc.) et emploie plus de 50 salaries ou realise plus de 10 millions d'euros de chiffre d'affaires. Meme les PME plus petites peuvent etre concernees si elles font partie de la chaine d'approvisionnement d'une entite essentielle ou importante. Nous vous recommandons de realiser un diagnostic gratuit pour lever le doute.
La directive NIS2 devait etre transposee dans le droit national avant le 17 octobre 2024. En France, la transposition est en cours via le projet de loi relatif a la resilience des infrastructures critiques. Les entreprises concernees doivent commencer leur mise en conformite sans attendre, car les controles et sanctions seront applicables des l'adoption definitive du texte, prevue courant 2026. De plus, vos clients grands comptes integrent deja les exigences NIS2 dans leurs contrats.
Les sanctions sont significatives : jusqu'a 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial pour les entites essentielles, et jusqu'a 7 millions d'euros ou 1,4% du CA pour les entites importantes. A cela s'ajoutent des sanctions administratives, des injonctions de mise en conformite et la possibilite de suspendre temporairement les activites. Les dirigeants peuvent egalement etre personnellement sanctionnes.
Le cout varie entre 15 000 et 150 000 euros selon la taille de l'entreprise, son niveau de maturite actuel et la complexite de son SI. Ce budget inclut l'audit initial, la redaction des politiques, les mesures techniques, la formation et l'accompagnement. Notre offre CISO as a Service permet de reduire considerablement ce cout en mutualisant l'expertise d'un RSSI senior entre plusieurs clients. Contactez-nous pour un devis personnalise.
Oui, c'est l'une des grandes nouveautes de NIS2. La directive impose aux entites concernees de gerer les risques lies a leur chaine d'approvisionnement. Meme si votre PME n'est pas directement classee, vos clients grands comptes peuvent vous imposer des exigences contractuelles de cybersecurite pour rester conformes. Les sous-traitants NIS2 doivent donc anticiper ces demandes pour ne pas perdre de contrats strategiques.
Oui, NIS2 introduit explicitement la responsabilite personnelle des dirigeants. Les organes de direction doivent approuver les mesures de cybersecurite, superviser leur mise en oeuvre et suivre des formations. En cas de manquement, les dirigeants peuvent etre personnellement sanctionnes, y compris par une interdiction temporaire d'exercer des fonctions de direction. C'est un changement majeur qui fait de la cybersecurite un enjeu de gouvernance.
Demandez votre diagnostic NIS2 sans engagement
Nos experts evaluent votre exposition a NIS2, identifient les ecarts de conformite et vous proposent un plan d'action personnalise. En une seule session, vous saurez exactement ou vous en etes.
Demander un diagnostic NIS2Reponse sous 24h ouvrables — 100% confidentiel