Cybersécurité Urgent Mai 2026 • 6 min de lecture

Directive NIS2 : votre PME est-elle concernée ? Ce que risquent personnellement les dirigeants en 2026

Amendes jusqu'à 10 millions d'euros, interdiction d'exercer, responsabilité personnelle du mandataire social : la directive NIS2 change radicalement les règles du jeu. Et selon l'ANSSI, 77% des PME concernées ne le savent pas encore.

15 000+
entreprises françaises concernées par NIS2 dont des PME
10 M€
amende maximale ou 2% du CA mondial pour les entités essentielles
23 %
seulement des PME françaises concernées ont conscience d'être impactées (ANSSI)

Ce qui change vraiment avec NIS2

La première directive NIS (2016) ne concernait qu'une poignée d'opérateurs critiques: énergie, banque, santé, transport. Les PME n'étaient pas dans le radar. NIS2 change radicalement ce périmètre.

Adoptée par le Parlement européen en décembre 2022 (Directive UE 2022/2555), NIS2 couvre désormais 18 secteurs d'activité et impose des obligations à des milliers d'entreprises qui n'ont jamais eu de contrainte réglementaire en matière de cybersécurité. En France, entre 15 000 et 18 000 entités sont concernées contre quelques centaines sous NIS1.

Mais ce qui fait vraiment peur aux dirigeants quand ils découvrent cette directive, ce n'est pas l'amende infligée à l'entreprise. C'est la phrase qui suit dans les textes : le mandataire social peut être tenu personnellement responsable.

⚠ Le grand changement de paradigme

NIS2 introduit pour la première fois en droit européen la responsabilité personnelle des membres des organes de direction. La cybersécurité n'est plus un sujet qu'on peut déléguer entièrement au service informatique. Le dirigeant doit comprendre la posture de sécurité de son entreprise, approuver les mesures mises en place et pouvoir les justifier devant l'ANSSI. En cas de manquement grave, c'est sa tête et pas seulement celle de son RSSI qui peut être engagée.

Êtes-vous dans le périmètre ? Les 3 questions à se poser

L'éligibilité à NIS2 repose sur deux critères combinés : le secteur d'activité et la taille de l'entreprise. Voici l'arbre de décision simplifié.

Question 01

Opérez-vous dans l'un des 18 secteurs couverts ?

Secteurs essentiels (Annexe I)

  • • Énergie (électricité, gaz, pétrole, hydrogène)
  • • Transport (aérien, ferroviaire, maritime, routier)
  • • Secteur bancaire et marchés financiers
  • • Santé (hôpitaux, laboratoires, R&D pharma)
  • • Eau potable et eaux usées
  • • Infrastructure numérique (cloud, datacenter, DNS)
  • • Administration publique
  • • Espace

Secteurs importants (Annexe II)

  • • Services postaux et de messagerie
  • • Gestion des déchets
  • • Industrie chimique
  • Agroalimentaire
  • Fabrication industrielle (médical, électronique, machines, automobile)
  • • Services numériques (marketplaces, moteurs de recherche)
  • • Recherche
Question 02

Dépassez-vous les seuils de taille ?

Si votre secteur figure ci-dessus, vous êtes concerné dès lors que vous dépassez 50 salariés OU 10 millions d'euros de chiffre d'affaires. Les micro et petites entreprises sont généralement exclues sauf exceptions.

Exception critique : une PME de moins de 50 salariés peut malgré tout être dans le périmètre si elle est fournisseur critique d'une entité essentielle: par exemple un prestataire informatique, un sous-traitant industriel ou un hébergeur dont la défaillance impacterait une infrastructure critique. De plus en plus de grandes entreprises intègrent déjà les exigences NIS2 dans leurs appels d'offres et contrats fournisseurs.
Question 03 — L'outil officiel

Utilisez le simulateur MonEspaceNIS2 de l'ANSSI

L'ANSSI a mis en place une plateforme d'auto-évaluation gratuite permettant à chaque entreprise de déterminer précisément si elle entre dans le champ d'application. L'outil est disponible sur messervices.cyber.gouv.fr, utilisez-le avant toute autre démarche.

Entité essentielle ou importante : quelle différence pour vous ?

NIS2 distingue deux catégories d'entités avec des obligations identiques mais un régime de sanctions différent.

Entité Essentielle (EE)

Grandes entreprises (+250 salariés ou +50M€ CA) dans les secteurs Annexe I. Supervision proactive de l'ANSSI.

Amende maximale :

10 000 000 € ou 2% du CA mondial

Entité Importante (EI)

Entreprises moyennes (+50 salariés ou +10M€ CA) dans les secteurs Annexe I & II. Supervision réactive de l'ANSSI.

Amende maximale :

7 000 000 € ou 1,4% du CA mondial

Ce que risque personnellement le dirigeant

C'est le point qui fait basculer les priorités dans les comités de direction. L'article 20 de la directive NIS2 impose que les organes de direction approuvent les mesures de gestion des risques cyber et supervisent leur mise en œuvre. Un dirigeant qui délègue entièrement ce sujet sans s'y impliquer engage sa responsabilité personnelle.

"NIS2 marque la fin de la cybersécurité comme sujet purement technique. C'est désormais un sujet de gouvernance d'entreprise au même titre que la conformité fiscale ou le droit du travail. Et le dirigeant en est personnellement comptable."

Audit Cybersécurité · Pentest IA

La première étape NIS2 : connaître vos failles

NIS2 exige une cartographie de vos actifs et une identification des vulnérabilités. Notre audit Pentest automatisé vous fournit exactement ce document: ports exposés, fichiers sensibles, CMS obsolètes et en 24h pour 190 €. C'est votre première preuve de démarche de conformité.

Lancer mon Audit Pentest 190 € · Rapport sous 48h

Le calendrier exact en France : ce que vous devez savoir

La situation française est particulière et il faut la comprendre précisément pour ne pas se tromper sur les délais.

⏱ Où en est la transposition française ?

17 octobre 2024 : date limite européenne de transposition dépassée par la France, qui est en retard comme plusieurs autres États membres.

17 mars 2026 : l'ANSSI publie le Référentiel Cyber France (ReCyF): 20 objectifs de sécurité pour les entités essentielles, 15 pour les entités importantes. C'est le document de référence pour la conformité.

Juillet 2026 : vote attendu de la Loi Résilience en session extraordinaire à l'Assemblée nationale. C'est la loi française qui transposera NIS2 dans le droit national.

Après la promulgation : les entreprises disposent d'un délai pour se mettre en conformité mais les décrets techniques suivront rapidement et les premiers contrôles commenceront dans la foulée.

Le message de l'ANSSI est sans ambiguïté

L'Agence nationale de la sécurité des systèmes d'information exhorte les entreprises à ne plus attendre la finalisation de la transposition nationale et à amorcer dès aujourd'hui leurs démarches. Le retard législatif français n'est pas une excuse : le cadre européen est connu, les obligations sont définies, et les entreprises qui attendent la promulgation pour agir risquent de se retrouver en difficulté face à des délais de mise en conformité très serrés.

Les obligations concrètes : ce que NIS2 exige techniquement

L'article 21 de la directive définit les mesures de gestion des risques que toute entité concernée doit mettre en place. Le ReCyF de l'ANSSI les détaille en 20 objectifs. En voici les plus structurants pour une PME.

  1. 1

    Cartographie et analyse des risques. Identifier tous vos actifs numériques (serveurs, postes, applications, accès cloud), évaluer leur criticité et documenter les vulnérabilités existantes. C'est la base de tout le reste et c'est précisément ce que produit un audit Pentest.

  2. 2

    Authentification multifacteur (MFA) sur tous les accès sensibles. Comptes email, VPN, accès administrateurs, interfaces de gestion. L'absence de MFA sur ces accès est l'une des failles les plus sanctionnées lors des contrôles.

  3. 3

    Politique de sauvegarde et plan de continuité (PCA/PRA). Sauvegardes régulières, testées, stockées hors ligne. Plan de reprise documenté permettant de chiffrer le délai de restauration en cas d'incident majeur.

  4. 4

    Notification obligatoire des incidents à l'ANSSI. Délais impératifs : alerte initiale dans les 24h, rapport détaillé dans les 72h, rapport final dans le mois. Ne pas notifier un incident dans les délais est une infraction en soi.

  5. 5

    Sécurité de la chaîne d'approvisionnement. Vous devez évaluer et documenter les pratiques de sécurité de vos fournisseurs et sous-traitants critiques. Une faille chez votre prestataire IT peut engager votre responsabilité NIS2.

  6. 6

    Enregistrement sur MonEspaceNIS2. Les entités concernées devront se déclarer auprès de l'ANSSI via la plateforme dédiée dès que la Loi Résilience sera promulguée. Préparez votre dossier maintenant.

Ce que vous devez faire cette semaine

Vous êtes probablement dans le périmètre NIS2 ou vous en avez le doute. Voici les 4 actions immédiates, dans l'ordre de priorité.

Action 01 — Immédiat

Vérifiez votre éligibilité

Utilisez le simulateur MonEspaceNIS2 de l'ANSSI (messervices.cyber.gouv.fr). 10 minutes. Réponse définitive sur votre statut.

Action 02 — Cette semaine

Auditez vos failles existantes

La cartographie des vulnérabilités est la première obligation NIS2. Notre audit Pentest à 190€ produit ce document en 48h.

Action 03 — Ce mois

Activez le MFA partout

Comptes email, VPN, accès administrateurs. C'est la mesure la plus rapide à déployer et la plus visible lors d'un contrôle ANSSI.

Action 04 — Ce trimestre

Documentez votre gouvernance

Nommez un référent cybersécurité, rédigez une politique de sécurité, documentez vos sauvegardes. Ce classeur sera votre preuve de conformité.

NIS2 — La conformité commence par connaître vos failles

Votre premier document NIS2
prêt en 24 heures.

La cartographie des vulnérabilités est la première obligation documentaire de NIS2. Notre audit Pentest automatisé analyse votre infrastructure, identifie chaque faille et vous remet un rapport complet avec plan d'action priorisé pour 190 €, sans intervention humaine et sans jargon.

Commander mon Audit Pentest (190 €) Voir un exemple de rapport

Rapport envoyé sous 24h · Conforme RGPD · Aucune donnée stockée

Besoin d'aide juridique sur NIS2 ? Consultez Kloé gratuitement →