NIS2 en 2026 : ce que ça change concrètement pour une PME française
Vous avez entendu parler de NIS2. Peut-être via un article, peut-être lors d’une revue avec votre cabinet comptable, peut-être parce qu’un client a mentionné le mot lors d’une réunion. Ce que personne n’a encore dit clairement : est-ce que ça vous concerne ? Et si oui, qu’est-ce que vous devez faire, et avant quand ?
Ce post répond à ces deux questions. Pas un résumé de la directive — une traduction de ce que NIS2 PME France 2026 signifie concrètement pour une PME de 50 salariés, mesure par mesure.
L’échéance est réelle : la transposition française est attendue pour juillet 2026, avec une date limite de conformité fixée au 17 octobre 2026. Ce n’est pas une date bureaucratique abstraite — c’est la date à partir de laquelle les entités concernées sont auditables et sanctionnables.
Votre PME est-elle concernée par NIS2 ?
Deux critères cumulatifs : le secteur et la taille.
NIS2 distingue deux catégories d’entités. Les entités essentielles : grandes entreprises dans des secteurs critiques (énergie, transports, banque, santé, eau, infrastructure numérique, administration publique). Les entités importantes : entreprises de taille moyenne dans ces mêmes secteurs, plus quelques secteurs additionnels (services postaux, gestion des déchets, fabrication de certains produits industriels, services numériques, alimentation, espace).
Le seuil pour une PME : 50 salariés ou 10 M€ de chiffre d’affaires, dans l’un des secteurs listés par la directive.
Si votre PME est en B2B de services généraux et ne touche pas à ces secteurs directement, vous n’êtes probablement pas en scope. Mais il y a un cas que beaucoup ignorent : les sous-traitants. Si vous êtes prestataire informatique, de conseil ou de services numériques pour une grande entreprise ou une administration publique, regardez la définition de “fournisseur de service numérique” dans la directive — ça vous concerne probablement. Votre client aura l’obligation de vous auditer.
Pour vérifier votre situation, le portail officiel NIS2 de l’ANSSI sur MesServicesCyber donne accès à un outil d’auto-évaluation.
Les 10 mesures NIS2 obligatoires pour les PME concernées
L’article 21 de la directive NIS2 impose dix catégories de mesures de sécurité. Voici ce que chacune signifie en pratique pour une PME de 50 salariés.
1. Gouvernance — nommer un responsable sécurité
La directive exige qu’une personne soit responsable de la sécurité des systèmes d’information au sein de l’organisation. Pour une PME, ce rôle ne doit pas nécessairement être occupé à temps plein par un salarié interne — il peut être externalisé. Ce qui ne peut pas être externalisé, en revanche, c’est l’engagement de la direction : les membres des organes de direction sont personnellement responsables du respect des obligations NIS2.
2. Gestion des risques — cartographier avant de protéger
Identifier et évaluer les risques qui pèsent sur vos systèmes d’information : quels actifs sont critiques, quelles menaces les exposent, quelles sont les conséquences d’une compromission. Pour une PME, un tableur ne suffit pas — il faut une méthode documentée, datée, maintenue. La cartographie des risques est la fondation des neuf mesures suivantes.
3. Plan de sécurité — traduire la cartographie en actions
Les mesures de protection identifiées à l’étape 2 doivent être formalisées dans un plan de sécurité : ce qui est fait, ce qui est planifié, avec qui, pour quand. Pour une PME : ce document existe, il est daté, il est signé par la direction. Ce n’est pas un rapport de consultant de 80 pages — c’est un document opérationnel de référence.
4. Sécurité de la chaîne d’approvisionnement — auditer vos prestataires
NIS2 vous rend co-responsable de la sécurité de vos prestataires qui ont accès à vos systèmes. Pour une PME, a minima : vérifier que vos hébergeurs, intégrateurs et prestataires informatiques ont eux-mêmes une politique de sécurité documentée. Si ce n’est pas le cas, c’est un risque à inscrire dans votre plan de gestion des risques.
5. Sécurité du développement et de la maintenance
Si votre PME développe ses propres logiciels, gère son propre ERP, ou maintient une infrastructure propriétaire, vous devez documenter un cycle de vie sécurisé : comment les mises à jour sont testées et déployées, comment les accès aux environnements de développement sont contrôlés. C’est souvent sous-estimé chez les PME qui ont construit un SI maison.
6. Gestion des incidents — détecter et notifier sous 72 heures
En cas d’incident significatif (compromission, ransomware, fuite de données), NIS2 impose une notification à l’ANSSI dans les 72 heures suivant la détection. Pour une PME : avoir un contact ANSSI déclaré, une procédure interne de détection et d’escalade, et savoir qui appelle qui dans les premières heures d’un incident.
7. Plan de continuité et reprise d’activité
Documenter ce qui se passe si votre SI tombe : quels systèmes sont prioritaires, quel est le temps de reprise tolérable, qui fait quoi. Le PCA (Plan de Continuité d’Activité) et le PRA (Plan de Reprise d’Activité) sont souvent les premiers sujets identifiés dans un Diagnostic — peu de PME ont un PRA testé. Avoir un document n’est pas suffisant : la directive attend qu’il soit régulièrement validé.
8. Chiffrement des données
Les données sensibles doivent être chiffrées au repos et en transit. Pour une PME : vérifier que vos outils SaaS (messagerie, stockage cloud, CRM, comptabilité) respectent ce standard — ce qui est généralement le cas pour les éditeurs sérieux, mais pas toujours documenté dans vos contrats. Ici, l’enjeu est autant contractuel que technique.
9. Contrôle des accès — MFA sur tout ce qui compte
L’authentification forte (MFA) sur tous les accès critiques. Microsoft 365, Google Workspace, VPN, logiciels de comptabilité cloud, outils de facturation — chacun avec MFA activé. C’est la mesure la plus concrète et la plus rapide à mettre en place. C’est aussi celle que j’observe le plus souvent manquante dans les PME.
10. Sensibilisation et formation
Former les collaborateurs aux bonnes pratiques cyber. Pour une PME de 50 salariés, deux heures de formation par an est un plancher réaliste et suffisant pour satisfaire cette exigence. Le format importe peu : ce qui compte, c’est que la formation soit documentée et que les participants soient identifiés.
Octobre 2026 : une fenêtre, pas une échéance de tribunal
La date limite du 17 octobre 2026 est réelle. Mais comprendre ce qu’elle signifie concrètement évite deux erreurs symétriques : la panique et l’inaction.
La loi de Résilience française, qui transpose NIS2 en droit national, est attendue pour juillet 2026. L’entrée en vigueur effective des sanctions ne sera pas immédiate pour les PME — l’ANSSI devra d’abord notifier les entités concernées de leur classification (essentielle ou importante), et un délai de mise en conformité accompagnera cette notification.
Le vrai risque n’est pas “vous serez sanctionné le 18 octobre 2026”. C’est “si vous êtes audité sans avoir rien mis en place, vous n’aurez rien à montrer”. Les PME qui agissent avant la date limite ont 3 à 5 mois pour le faire à leur rythme. Celles qui attendent le feront sous pression, en même temps que tout le monde.
Si vous ne savez pas par où commencer — et c’est souvent le cas, même pour des dirigeants sérieux — un audit SI de 3 semaines répond exactement à cette question. Vous sortez avec une cartographie de vos actifs, une liste priorisée des dix mesures NIS2, et un état des lieux de ce qui est déjà en place.
Ce que je recommande si votre PME est concernée
Trois étapes dans l’ordre.
Commencez par vérifier votre scope via le portail NIS2 de l’ANSSI. Si vous n’êtes pas directement dans un secteur régulé, vérifiez si vos clients principaux le sont — votre statut de sous-traitant numérique peut suffire à vous inclure.
Si vous êtes concerné : désignez un responsable maintenant, pas dans six mois. Ce peut être un collaborateur interne ou un DSI externalisé. Ce qui compte, c’est que quelqu’un soit nommé et que la direction assume sa responsabilité formellement.
Ensuite, commencez par la gouvernance et la gestion des risques — les deux premières mesures. Ce sont les fondations qui rendent les huit autres possibles. Sans cartographie des actifs critiques, les autres mesures sont des rustines sur un système que vous ne connaissez pas.
Si vous êtes prestataire d’une grande entreprise et que vous n’avez jamais formalisé votre politique de sécurité, c’est maintenant que ça devient urgent. Votre client aura l’obligation de vous auditer. C’est le meilleur moment pour cadrer ce sujet avant qu’on vous le demande — avec le forfait Cadrage, qui inclut une veille NIS2 mensuelle.