NIS2 pour les PME — checklist de conformité 2026
La directive NIS2 (UE 2022/2555) est applicable en France depuis octobre 2024. Elle multiplie par ~300 le nombre d'entités concernées vs NIS1 — environ 160 000 organisations françaises, dont une majorité de PME. Ce guide répond aux 3 questions qu'on nous pose tous les jours : êtes-vous concerné, que devez-vous faire, quelle sanction en cas de manquement ?
Êtes-vous concerné par NIS2 ?
Deux critères cumulatifs : secteurlisté dans l'annexe I (entités essentielles) ou II (entités importantes) de la directive, ET tailleau-dessus du seuil. Les prestataires TIC managés et l'administration publique sont concernés sans seuil.
| Secteur / Activité | Seuil d'application |
|---|---|
| Énergie, santé, transport, banque, eau potable, services numériques (cloud, data center, DNS, CDN) | 50 salariés OU 10 M€ CA — entité essentielle |
| Services postaux, production chimique, industrie, agroalimentaire, gestion des déchets, fabrication d'appareils médicaux | 50 salariés OU 10 M€ CA — entité importante |
| Prestataires de services managés TIC (MSP / MSSP) | Tous, sans seuil minimum |
| Administration publique au niveau central et régional | Tous |
| Autres secteurs (commerce de détail B2C classique, conseil non TIC, services à la personne) | Non concerné — sauf si sous-traitant critique d'une entité NIS2 |
Point de vigilance :même si vous n'êtes pas directement concerné, si vous êtes sous-traitant TIC critique d'une entité NIS2, vos clients vous demanderont des preuves de sécurité dans le cadre de la gestion du risque fournisseurs. Bref, NIS2 vous rattrape par la sous-traitance.
Checklist de conformité — 10 étapes
Les 10 étapes dans l'ordre. Une PME qui part de zéro et y consacre ~3 mois arrive à un niveau conforme. Celles qui ont déjà une hygiène cyber minimale le font en 6 à 8 semaines.
Qualifier votre statut
Secteur + seuil salariés/CA. Si sous-traitant d'une entité NIS2, vos clients vous le demanderont dans le cadre du "risque tiers". Un simple tableur ou un échange d'1 h avec un expert suffit pour lever le doute.
Cartographier vos actifs TIC critiques
Inventaire des systèmes essentiels au service (BDD client, ERP, site e-commerce, infra cloud). C'est la base de tout le reste — sans cet inventaire, vous ne pouvez ni prioriser les risques ni documenter les incidents.
Gouvernance au niveau direction
NIS2 exige une responsabilité EXPLICITE des dirigeants (sanctions personnelles possibles). Nommer un responsable de la sécurité informatique (RSSI temps partagé acceptable pour les PME), et former la direction — une formation de 4 h est suffisante pour la première année.
Analyse de risques documentée
Méthode STRIDE ou EBIOS RM simplifiée : pour chaque actif critique, lister les menaces, probabilité, impact, mesures existantes et mesures à ajouter. Document vivant qui doit être revu une fois par an minimum.
Politique d'accès + MFA
MFA FIDO2 ou équivalent phishing-resistant sur TOUS les comptes admin (pas SMS, compromis depuis 2020). Politique de moindre privilège, revue des accès trimestrielle, clôture automatique des comptes inactifs 90 jours.
Sauvegardes 3-2-1-1-0
3 copies, 2 supports, 1 off-site, 1 air-gappée, 0 erreur. Restauration testée TRIMESTRIELLEMENT (sinon la sauvegarde n'existe pas dans le monde réel). C'est le garde-fou #1 contre les rançongiciels modernes qui ciblent aussi les backups accessibles.
Plan de réponse à incident
Playbook écrit : détection → confinement → éradication → récupération → retour d'expérience. Coordonnées CERT-FR + avocat RGPD + assureur cyber + relations presse. NIS2 impose notification sous 24 h à l'ANSSI — sans playbook, impossible de tenir ce délai.
Durcissement cloud + endpoint
Pour le cloud : IAM least-privilege, chiffrement KMS systématique, VPC segmenté, CSPM (Wiz, Prowler, Scout Suite). Pour les postes : EDR moderne (CrowdStrike, SentinelOne, Defender for Endpoint) — l'antivirus signature-based classique ne suffit plus.
Gestion du risque fournisseurs
Liste de tous vos fournisseurs TIC critiques (hébergeur, CRM, outil de paie, comptabilité cloud). Pour chacun : clause contractuelle sécurité, droit d'audit, engagement sur les incidents. C'est souvent le trou noir des PME qui passent l'audit interne avec succès.
Documenter, documenter, documenter
Tout ce qui précède doit être prouvable. L'ANSSI n'auditera pas TOUTES les PME concernées — mais en cas d'incident, vous devrez démontrer que vous aviez mis en place les "mesures techniques et organisationnelles adéquates". Sans doc, c'est sanction automatique.
Questions fréquentes sur NIS2
Ma PME est-elle vraiment concernée par NIS2 ?
Test en 2 questions. (1) Votre secteur figure-t-il dans l'annexe I ou II de la directive (énergie, santé, transport, banque, cloud, fournisseurs TIC managés, alimentation, déchets, industrie chimique, etc.) ? (2) Avez-vous 50+ salariés OU 10+ M€ de CA ? Si oui aux deux : oui, vous êtes entité essentielle ou importante. Si non au secteur mais OUI à un sous-traitant critique d'une entité NIS2 : vous serez appelé à prouver votre niveau de sécurité via le volet "gestion du risque fournisseur". Fin 2026, on estime qu'environ 160 000 entités françaises sont directement concernées vs 500 sous NIS1 — c'est une multiplication par ~300.
Quelle est la différence entre entité essentielle et entité importante ?
Les deux sont soumises aux mêmes obligations de sécurité. La différence est dans le niveau de supervision et les sanctions. **Entités essentielles** (secteurs hautement critiques : énergie, santé, eau, transports, banque, cloud public, infrastructure DNS) : supervision proactive par l'ANSSI, sanctions max 10 M€ ou 2 % du CA mondial. **Entités importantes** (secteurs critiques : services postaux, produits chimiques, alimentation, déchets, industrie, services numériques non-cloud, agroalimentaire) : supervision réactive (sur incident ou plainte), sanctions max 7 M€ ou 1,4 % du CA mondial. Pour une PME, la nuance pratique = fréquence des audits.
Quel est le calendrier exact de NIS2 en France ?
Directive UE 2022/2555 adoptée le 14 décembre 2022. Transposition française via la loi de juillet 2025 (après retard de transposition, l'échéance initiale était octobre 2024). Applicable en pratique depuis octobre 2024 avec une période de mise en conformité étalée jusqu'à fin 2026. L'ANSSI publie progressivement les décrets d'application par secteur. Notre recommandation : ne pas attendre le contrôle, les PME qui se mettent en conformité tôt ont 12 mois pour étaler le coût ; celles qui attendent un contrôle ont 30 jours et paient 3 à 5 fois plus cher.
Combien coûte la mise en conformité NIS2 pour une PME ?
Variable selon le point de départ. Pour une PME déjà basiquement structurée (MFA, backups, EDR, accompagnement par un RSSI à temps partagé), l'effort est ~8 à 15 j de conseil + formation + documentation — pour les PME dont la sécurité est nulle ou embryonnaire (pas de MFA, backups douteux, aucune doc), il faut compter 20 à 40 j de conseil + investissement dans les outils manquants (EDR, Vault pour secrets, MFA matériel type YubiKey pour les admins). Votre cyber-assurance exigera probablement le même niveau — donc l'investissement NIS2 sert aussi pour obtenir une prime raisonnable.
Qu'est-ce que la notification d'incident sous 24 h ?
NIS2 article 23 impose que tout incident "significatif" soit notifié à l'ANSSI en 3 temps. (1) **Alerte initiale sous 24 h** après détection : description courte, statut initial, impact suspecté. (2) **Rapport intermédiaire sous 72 h** : analyse de la cause, périmètre confirmé, mesures de confinement prises. (3) **Rapport final sous 1 mois** : cause racine confirmée, mesures correctives, leçons apprises. Un incident "significatif" = interruption de service, perte financière élevée, compromission de données. Concrètement : tout rançongiciel = notification obligatoire, toute compromission de données = notification obligatoire. Sans plan de réponse pré-écrit, respecter ces délais est impossible.
Peut-on être conforme NIS2 sans certification ISO 27001 ?
Oui, largement. NIS2 n'exige PAS de certification ISO 27001 — c'est une directive de moyens, pas de résultat. Elle impose des mesures techniques et organisationnelles "appropriées au risque". Vous pouvez être conforme en documentant votre gouvernance, votre analyse de risques, vos mesures, et vos procédures — sans jamais passer de certification. Cependant : ISO 27001 facilite énormément la démonstration de conformité NIS2 (référentiel reconnu), est exigée par certains gros clients B2B, et donne un avantage commercial. Pour une PME < 100 personnes, conformité NIS2 sans ISO 27001 est raisonnable ; au-dessus, ISO 27001 devient un atout différenciant.
Que risque-t-on en cas de non-conformité ?
Trois types de sanctions cumulables. (1) **Amende administrative** : jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes — l'ANSSI peut moduler selon la gravité, la récidive et la coopération. (2) **Sanctions personnelles contre les dirigeants** : suspension temporaire de fonctions dirigeantes en cas de manquement grave (nouveauté NIS2). (3) **Réputation + clients** : tout incident notifié devient public via l'ANSSI — vos clients/prospects le verront. Dans les faits, peu de PME seront sanctionnées les 2 premières années (l'ANSSI priorise les entités essentielles), mais l'assurance cyber exigera la preuve de conformité à partir de 2026-2027 — la "non-conformité" devient refus de couverture, ce qui est équivalent économiquement.
Faut-il un RSSI interne ou à temps partagé suffit ?
Pour une PME < 200 salariés, un RSSI à temps partagé (vCISO) est largement suffisant : 2 à 5 j/mois permet de piloter la conformité NIS2, superviser les audits, répondre aux questionnaires clients, coordonner la réponse à incident. Coût typique : nettement inférieur à un poste temps plein. Au-dessus de 200 salariés ou pour les secteurs à risque élevé (santé, finance), un RSSI interne dédié se justifie. NIS2 impose une responsabilité mais pas un titre : l'important est que quelqu'un ait le mandat, la compétence et les moyens d'agir.
Comment se préparer à un audit ANSSI ?
Checklist pratique. (1) Le dossier de gouvernance : politique de sécurité signée par la direction, analyse de risques datée de moins de 12 mois, registre des incidents, procédure de notification testée. (2) Les preuves techniques : captures de configuration MFA, résultats du dernier pentest, logs EDR conservés, preuves de restauration de sauvegarde. (3) Le registre fournisseurs : liste des prestataires TIC critiques avec leurs engagements sécurité. (4) La formation dirigeants : attestations de participation. Un audit ANSSI dure 1 à 3 jours selon la taille. Non-conforme à la première visite ? Plan d'action 6 mois puis re-contrôle. Les sanctions tombent à la 2ᵉ non-conformité constatée, rarement à la 1re.
Par où commencer concrètement ?
Plan minimum viable en 3 mois pour une PME qui part de zéro. **Mois 1** : qualification statut (entité essentielle ou importante), cartographie des actifs critiques, nomination d'un responsable sécurité, déploiement MFA FIDO2 sur les comptes admin, vérification des sauvegardes. **Mois 2** : analyse de risques documentée, rédaction politique de sécurité, mise en place EDR, première formation direction (4 h), politique de moindre privilège. **Mois 3** : plan de réponse à incident écrit et testé, audit technique / pentest, revue des contrats fournisseurs critiques, mise en place du registre des incidents. À la fin du 3ᵉ mois vous êtes "NIS2-ready" même si des optimisations restent. ADN IA accompagne typiquement sur ce format — premier échange gratuit via /contact.
Besoin d'un accompagnement NIS2 ?
Audit gratuit d'1 heure pour qualifier votre statut, identifier les écarts, et planifier la mise en conformité. Sans jargon, sans FUD.
Guide rédigé par l'équipe ADN IA à partir de la directive UE 2022/2555, de sa transposition française, et des recommandations ANSSI. Mis à jour le 2026-04-23. Ce document est informatif et ne remplace pas un audit juridique ou un conseil auprès d'un avocat spécialisé en cybersécurité.