NIS2 : votre PME est-elle concernée ? (Test rapide)
Votre PME est-elle concernée par NIS2 ? Test rapide en 5 minutes : seuil 50 salariés, 18 secteurs, entités essentielles vs importantes, sanctions.
Vous dirigez une PME de 50 à 250 salariés dans l’énergie, le transport, la santé ou le numérique ? Il y a de fortes chances que la directive NIS2 vous concerne directement depuis octobre 2024 — et que les premières amendes puissent tomber dès 2026.
Le problème : le texte fait 73 pages, mélange jargon juridique européen et renvois entre articles, et les ressources claires pour les PME sont rares. Résultat, selon le CESIN (2025), moins de 30 % des PME françaises concernées ont entamé leur mise en conformité.
Cet article va droit au but. En cinq minutes, vous saurez si votre entreprise est dans le périmètre NIS2. Vous trouverez un auto-diagnostic en 8 questions, la liste complète des 18 secteurs couverts, les seuils de taille exacts, la différence entre entités essentielles et importantes, les sanctions encourues, et surtout ce qu’il faut faire si vous découvrez que oui, vous êtes concerné.
Pour le guide complet des 10 obligations de l’article 21 et la checklist de mise en conformité, consultez notre guide NIS2 pour les PME.
NIS2 en 90 secondes : ce qu’il faut retenir
La directive NIS2 — officiellement Directive (UE) 2022/2555 du 14 décembre 2022 — est le cadre réglementaire européen pour la cybersécurité des réseaux et systèmes d’information. Elle remplace la directive NIS1 de 2016, jugée trop étroite et trop peu contraignante.
Ce qui change concrètement :
- Le périmètre explose : de 15 000 entités concernées sous NIS1 à environ 160 000 dans l’UE, dont 10 000 à 15 000 en France selon l’ANSSI
- Les PME entrent dans le radar : NIS1 ne visait que les très grandes organisations. NIS2 descend le seuil à 50 salariés (ou 10 M€ de CA)
- Les sanctions deviennent dissuasives : jusqu’à 10 millions d’euros ou 2 % du CA mondial
- Les dirigeants sont personnellement responsables : l’article 20 impose aux dirigeants d’approuver et superviser les mesures cyber, et l’article 32(5) prévoit la suspension temporaire de fonctions pour les entités essentielles
- 18 secteurs sont couverts, contre 7 sous NIS1
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’autorité compétente. C’est elle qui supervise, audite et sanctionne. La transposition en droit français a été adoptée en 2025.
Auto-diagnostic : 8 questions pour savoir si votre PME est concernée
Répondez à ces huit questions par oui ou non. Comptez vos « oui ». L’interprétation suit immédiatement après le test.
Question 1 — La taille de votre entreprise
Votre entreprise emploie-t-elle 50 salariés ou plus ?
NIS2 utilise la définition européenne de la PME. Le seuil d’entrée est de 50 employés (effectif total, pas seulement CDI). Si vous avez 50 personnes ou plus, répondez oui.
☐ Oui ☐ Non
Question 2 — Le chiffre d’affaires
Votre chiffre d’affaires annuel dépasse-t-il 10 millions d’euros ?
Attention : ce critère est alternatif au critère de taille. Une entreprise de 35 salariés avec 12 M€ de CA est dans le périmètre. Même chose pour le bilan annuel : s’il dépasse 10 M€, vous êtes concerné.
☐ Oui ☐ Non
Question 3 — Le secteur d’activité (Annexe I — secteurs à haute criticité)
Votre activité principale relève-t-elle d’un de ces 11 secteurs ?
- Énergie (électricité, pétrole, gaz, hydrogène, chauffage/refroidissement urbain)
- Transports (aérien, ferroviaire, maritime, routier)
- Banque
- Infrastructures des marchés financiers
- Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux, R&D pharmaceutique)
- Eau potable (production et distribution)
- Eaux usées (collecte et traitement)
- Infrastructure numérique (DNS, TLD, cloud, data centers, CDN, services de confiance, communications électroniques)
- Gestion de services TIC interentreprises (MSP, MSSP — prestataires de services informatiques managés)
- Administrations publiques (hors défense et sécurité nationale)
- Espace (opérateurs au sol)
☐ Oui ☐ Non
Question 4 — Le secteur d’activité (Annexe II — autres secteurs critiques)
Votre activité principale relève-t-elle d’un de ces 7 secteurs ?
- Services postaux et d’expédition
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution de denrées alimentaires
- Fabrication (dispositifs médicaux, produits informatiques/électroniques/optiques, équipements électriques, machines, véhicules, autres matériels de transport)
- Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
- Recherche (organismes de recherche)
☐ Oui ☐ Non
Question 5 — La chaîne d’approvisionnement
Vos clients principaux sont-ils des organisations soumises à NIS2 (hôpitaux, collectivités, entreprises de l’énergie, banques, opérateurs télécoms) ?
L’article 21.2.d de la directive oblige les entités régulées à sécuriser leur chaîne d’approvisionnement. Concrètement, même si vous n’êtes pas directement dans le périmètre, vos clients régulés vont exiger des preuves de cybersécurité dans leurs contrats. C’est ce que l’ANSSI appelle « l’effet cascade ».
☐ Oui ☐ Non
Question 6 — Les services de confiance ou DNS
Votre entreprise fournit-elle des services de confiance numérique (signature électronique, horodatage, certificats) ou des services DNS ?
Quelle que soit votre taille, ces activités vous placent automatiquement dans le périmètre NIS2. Pas de seuil minimum.
☐ Oui ☐ Non
Question 7 — Le statut de prestataire IT
Votre entreprise est-elle un MSP (Managed Service Provider) ou un MSSP (Managed Security Service Provider) ?
Les prestataires de services informatiques managés et de services de sécurité managés sont explicitement listés dans l’annexe I de NIS2. Si vous gérez l’infrastructure informatique ou la sécurité d’autres entreprises, vous êtes dans le périmètre — même avec moins de 50 salariés dans certains cas (si vos clients sont des entités essentielles).
☐ Oui ☐ Non
Question 8 — L’unicité du service
Votre entreprise est-elle le seul fournisseur d’un service donné dans un État membre ?
NIS2 prévoit que les États membres peuvent désigner individuellement des entités de toute taille si elles sont le seul fournisseur d’un service jugé critique. C’est rare pour une PME, mais la possibilité existe.
☐ Oui ☐ Non
Interprétation de vos résultats
Vous avez répondu « oui » aux questions 1 ou 2, ET à la question 3
Vous êtes très probablement une entité essentielle ou importante au sens de NIS2. Votre taille dépasse les seuils et votre secteur figure en annexe I. Selon votre effectif :
- 250+ salariés ou 50 M€+ de CA dans un secteur annexe I → entité essentielle
- 50 à 249 salariés ou 10 à 50 M€ de CA dans un secteur annexe I → entité importante
Passez directement à la section « Que faire si vous êtes concerné » ci-dessous. Consultez aussi notre page conformité NIS2 pour les obligations spécifiques de sensibilisation.
Vous avez répondu « oui » aux questions 1 ou 2, ET à la question 4
Vous êtes très probablement une entité importante. Les secteurs de l’annexe II produisent des entités importantes (pas essentielles), sauf exception. Les obligations sont les mêmes, le régime de supervision est plus léger (réactif plutôt que proactif), mais les amendes restent significatives.
Vous avez répondu « oui » à la question 5 uniquement
Vous n’êtes pas directement dans le périmètre NIS2, mais vous êtes indirectement concerné. Vos clients régulés vont vous imposer des exigences de cybersécurité contractuelles. Anticiper la conformité vous place en position de force commerciale. Commencer par un programme de sensibilisation structuré est le point de départ le plus accessible.
Vous avez répondu « oui » aux questions 6 ou 7
Vous êtes probablement dans le périmètre NIS2, potentiellement sans condition de taille. Les fournisseurs de services de confiance, les registres DNS et les MSP/MSSP sont soumis à des règles spécifiques. Consultez notre guide NIS2 pour les PME pour les détails.
Vous avez répondu « non » partout
NIS2 ne vous concerne probablement pas directement aujourd’hui. Mais deux points à garder en tête : (1) le périmètre peut être élargi par les États membres ; (2) d’autres réglementations existent — DORA pour le secteur financier, le RGPD pour les données personnelles, les exigences des assureurs cyber. La cybersécurité ne se limite pas à NIS2.
Les 18 secteurs NIS2 : repères rapides
Les questions 3 et 4 du test listent les 18 secteurs couverts. Quelques précisions utiles :
- « Fabrication » (annexe II) est plus large qu’on ne le pense. Un fabricant de composants électroniques de 55 personnes est dans le périmètre. Un sous-traitant automobile avec 80 salariés aussi. Vérifiez les codes NACE de votre entreprise si vous avez un doute.
- « Infrastructure numérique » (annexe I) englobe les services cloud, les data centers et les CDN, pas seulement les opérateurs télécoms.
- Les MSP et MSSP (prestataires IT managés) sont en annexe I — le secteur le plus surveillé. Si vous gérez l’informatique d’autres entreprises, vous êtes concerné.
- La « Santé » inclut les fabricants de dispositifs médicaux et la R&D pharmaceutique, pas uniquement les hôpitaux.
Seuils de taille : les pièges à connaître
La règle de base de NIS2 est simple : 50 salariés ou plus, OU 10 millions d’euros de chiffre d’affaires ou plus, dans un secteur couvert. Mais plusieurs subtilités méritent attention.
Le critère est alternatif, pas cumulatif
C’est le piège le plus fréquent. Beaucoup de dirigeants de PME pensent qu’il faut remplir les deux conditions (taille ET chiffre d’affaires). Non. Il suffit d’en remplir une seule.
Exemples concrets :
- 45 salariés, 14 M€ de CA, secteur santé → concerné (dépasse le seuil de CA)
- 65 salariés, 8 M€ de CA, secteur logistique routière → concerné (dépasse le seuil d’effectif)
- 30 salariés, 7 M€ de CA, secteur énergie → non concerné (sous les deux seuils, sauf exception)
Le bilan annuel compte aussi
Le texte mentionne trois critères : effectif, chiffre d’affaires, et bilan annuel total. Si votre bilan annuel dépasse 10 M€ (typique pour les entreprises avec beaucoup d’actifs immobilisés), vous pouvez être dans le périmètre même avec un CA modeste.
Les exceptions « sans seuil »
Certaines entités sont dans le périmètre NIS2 quelle que soit leur taille :
- Prestataires de services de confiance (signature électronique, horodatage)
- Registres de noms de domaine de premier niveau (TLD)
- Fournisseurs de services DNS
- Opérateurs de communications électroniques
- Administrations publiques
- Entités désignées individuellement par un État membre comme fournisseur unique d’un service critique
Si votre PME de 15 personnes fournit des services de certification électronique, vous êtes dans le périmètre NIS2.
Entreprises liées et partenaires
NIS2 agrège les effectifs et le CA des entreprises liées. Si votre PME de 40 salariés est filiale d’un groupe de 300 personnes, c’est l’effectif consolidé qui compte.
Entités essentielles vs entités importantes : les vraies différences
NIS2 classe les organisations en deux catégories. Les obligations de cybersécurité sont identiques (article 21). Ce qui change, c’est le régime de supervision et le niveau des sanctions.
Entités essentielles
- Qui : grandes entreprises (250+ salariés ou 50 M€+ de CA) dans un secteur de l’annexe I, plus certaines entités désignées sans condition de taille
- Supervision : proactive. L’ANSSI peut auditer à tout moment, y compris de manière inopinée
- Sanctions maximales : 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé)
- Responsabilité des dirigeants : suspension temporaire possible des fonctions de direction en cas de manquement grave (article 32)
Entités importantes
- Qui : entreprises moyennes (50-249 salariés ou 10-50 M€ de CA) dans un secteur des annexes I ou II
- Supervision : réactive. L’ANSSI n’intervient qu’en cas d’incident, de signalement ou de preuve de non-conformité
- Sanctions maximales : 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial (le montant le plus élevé)
- Responsabilité des dirigeants : possible mais avec un seuil d’intervention plus élevé
Même obligations, supervision différente
Un point que beaucoup de PME ne réalisent pas : les obligations de cybersécurité sont strictement les mêmes pour les deux catégories. L’article 21 liste 10 mesures obligatoires (analyse de risques, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, formation cybersécurité, MFA, chiffrement, etc.) qui s’appliquent intégralement aux entités essentielles et aux entités importantes. La différence porte uniquement sur l’intensité de la supervision et le plafond des amendes.
Pour le détail de chacune des 10 obligations, consultez notre guide NIS2 pour les PME.
Sanctions et responsabilité des dirigeants
Les amendes
Le régime de sanctions NIS2 est calibré pour être dissuasif, y compris pour les PME.
Pour une entité importante (la catégorie la plus fréquente pour les PME) :
| CA annuel | Amende maximale (1,4 % du CA) | Plafond absolu |
|---|---|---|
| 10 M€ | 140 000 € | 7 M€ |
| 20 M€ | 280 000 € | 7 M€ |
| 50 M€ | 700 000 € | 7 M€ |
Pour une entité essentielle :
| CA annuel | Amende maximale (2 % du CA) | Plafond absolu |
|---|---|---|
| 50 M€ | 1 000 000 € | 10 M€ |
| 100 M€ | 2 000 000 € | 10 M€ |
Ces montants ne sont pas théoriques. L’ANSSI a le pouvoir de les appliquer, et la directive prévoit explicitement que les sanctions doivent être « effectives, proportionnées et dissuasives ».
La responsabilité personnelle des dirigeants
L’article 20 de NIS2 introduit la responsabilité personnelle des membres des organes de direction. Concrètement, les dirigeants doivent approuver les mesures de gestion des risques cyber, superviser leur mise en œuvre, et suivre personnellement une formation en cybersécurité. En cas de manquement, ils peuvent être tenus personnellement responsables. Pour les entités essentielles, l’autorité compétente peut demander la suspension temporaire des fonctions de direction.
NIS2 fait de la cybersécurité un sujet de gouvernance au même titre que la conformité financière.
Notification des incidents : les délais sont serrés
L’article 23 impose des délais stricts de notification des incidents de sécurité à l’ANSSI :
- Alerte précoce : dans les 24 heures suivant la prise de connaissance de l’incident
- Notification complète : dans les 72 heures avec une évaluation de la gravité, de l’impact et des indicateurs de compromission
- Rapport final : dans un délai d’un mois avec l’analyse des causes, les mesures correctives appliquées et l’impact transfrontalier éventuel
Sans plan de réponse à incident documenté et testé, respecter le délai de 24 heures est quasi impossible. C’est une des premières choses à mettre en place.
Calendrier : où en est-on en avril 2026 ?
La directive a été publiée en décembre 2022, est entrée en application en octobre 2024, et la transposition française a été adoptée en 2025. L’ANSSI a mené une phase d’accompagnement en 2025-2026 (enregistrement des entités, publication de guides). Les premiers contrôles formels sont attendus courant 2026, avec une montée en puissance progressive des audits et sanctions.
La phase de tolérance touche à sa fin. Les entités qui n’ont pas commencé leur mise en conformité s’exposent à des contrôles sans avoir les éléments à présenter.
Que faire si votre PME est concernée : plan d’action en 6 étapes
Vous avez fait le test et votre PME est dans le périmètre ? Voici les six étapes prioritaires, classées par urgence et par impact sur la conformité.
Étape 1 — Enregistrement auprès de l’ANSSI
L’ANSSI a mis en place un portail d’enregistrement pour les entités concernées par NIS2. L’enregistrement est la première démarche administrative à effectuer. Rendez-vous sur cyber.gouv.fr pour accéder au portail et aux guides d’accompagnement.
Étape 2 — Engagement de la direction et gouvernance
NIS2 exige l’implication directe des dirigeants (article 20). Concrètement :
- Le dirigeant (ou le comité de direction) doit valider formellement la politique de sécurité
- Un responsable cybersécurité doit être désigné (pas nécessairement un RSSI à temps plein pour une PME de 50 à 100 salariés — un responsable informatique formé peut remplir ce rôle)
- Les dirigeants doivent suivre une formation cybersécurité et pouvoir en produire la preuve
Étape 3 — Analyse de risques
L’article 21.2.a impose une politique de sécurité fondée sur une approche par les risques. Pour une PME, cela signifie :
- Inventorier vos systèmes d’information et actifs numériques
- Identifier les menaces pertinentes pour votre secteur (le phishing représente 36 % des violations selon le Verizon DBIR 2025)
- Évaluer la vraisemblance et l’impact de chaque risque
- Documenter les mesures de traitement
La méthode EBIOS Risk Manager, préconisée par l’ANSSI, est adaptée aux PME. Commencez par une version simplifiée si vos ressources sont limitées.
Étape 4 — Politique de sécurité et procédures
Vous avez besoin d’une PSSI (Politique de Sécurité des Systèmes d’Information) documentée, validée par la direction, et communiquée aux employés. Cette politique couvre a minima :
- Les règles d’utilisation des systèmes d’information
- La gestion des mots de passe et l’authentification multi-facteur
- Les procédures de sauvegarde et de restauration
- Les règles de gestion des accès
- Le processus de notification d’incidents (article 23)
Étape 5 — Sensibilisation et formation des employés
C’est l’obligation de l’article 21.2.g, et c’est le point que les auditeurs vérifient en priorité — parce qu’il est mesurable. Un programme de sensibilisation conforme à NIS2 comprend :
- Des simulations de phishing régulières (mensuelles ou trimestrielles) pour évaluer et améliorer les réflexes des employés
- Des micro-formations contextualisées après chaque simulation
- Une mesure documentée de la progression (taux de clic, taux de signalement, scores par département)
- La formation des dirigeants sur les menaces spécifiques (whaling, BEC, social engineering)
Commencez par une simulation baseline pour mesurer votre point de départ. Testez la sécurité de vos emails en amont pour vérifier que votre infrastructure email (SPF, DKIM, DMARC) ne vous expose pas inutilement.
Pour structurer un programme complet, suivez notre plan de sensibilisation sur 12 mois.
Étape 6 — Plan de réponse à incident
L’article 23 impose des délais de notification très courts (24 heures pour l’alerte précoce). Sans un plan de réponse à incident écrit, testé et connu des équipes, ces délais sont intenables.
Votre plan doit définir :
- Qui est alerté en premier (chaîne d’escalade)
- Comment qualifier la gravité de l’incident
- Qui contacte l’ANSSI et dans quel délai
- Comment préserver les preuves techniques
- Comment communiquer en interne et en externe
Testez ce plan au moins une fois par an avec un exercice de crise simulé.
L’effet cascade : NIS2 au-delà du périmètre direct
L’article 21.2.d oblige les entités régulées à sécuriser leur chaîne d’approvisionnement. Si vous êtes fournisseur d’un hôpital, sous-traitant d’une entreprise de l’énergie, ou prestataire d’une collectivité territoriale, attendez-vous à des questionnaires de sécurité dans les appels d’offres, des clauses contractuelles imposant chiffrement, MFA et sensibilisation, et des demandes de preuves (rapports de simulation, politique de sécurité, plan de continuité).
L’ANSSI estime que cet effet cascade touchera plusieurs centaines de milliers de PME en France, bien au-delà des 10 000 à 15 000 directement dans le périmètre. Anticiper ces exigences donne un avantage commercial concret lors des appels d’offres.
NIS2 et les autres réglementations
NIS2 ne s’applique pas en isolation. Le RGPD impose une notification parallèle à la CNIL (72 heures) si un incident touche des données personnelles. DORA s’ajoute pour le secteur financier avec des exigences spécifiques de résilience numérique. Les assureurs cyber exigent de plus en plus des preuves de conformité NIS2 pour accorder une couverture. Et si vous êtes certifié ISO 27001, une grande partie du travail NIS2 est déjà couverte.
5 erreurs fréquentes des PME face à NIS2
- « On n’a que 48 salariés » — Faux si votre CA dépasse 10 M€, si vous êtes un MSP/MSSP, ou si vous êtes filiale d’un groupe plus grand. Vérifiez les trois critères et les exceptions sans seuil.
- « C’est un sujet IT » — L’article 20 dit le contraire. Les dirigeants sont personnellement responsables. Ils doivent approuver la politique de sécurité, superviser sa mise en œuvre et suivre une formation.
- « On fera ça quand les contrôles commenceront » — Les contrôles démarrent en 2026. Un programme de sensibilisation nécessite des mois de données historiques pour être crédible devant un auditeur.
- « Un antivirus et un firewall suffisent » — NIS2 exige des mesures techniques ET organisationnelles. La formation (art. 21.2.g) est une obligation au même titre que le chiffrement ou la MFA.
- « On est sous-traitant, pas concerné » — L’effet cascade (art. 21.2.d) vous atteindra par les exigences contractuelles de vos clients régulés.
Récapitulatif : la décision en un coup d’œil
| Situation | Statut NIS2 | Action prioritaire |
|---|---|---|
| 50+ salariés ou 10 M€+ CA, secteur annexe I | Entité essentielle ou importante | Mise en conformité complète article 21 |
| 50+ salariés ou 10 M€+ CA, secteur annexe II | Entité importante | Mise en conformité complète article 21 |
| MSP/MSSP, prestataire de confiance, DNS | Concerné sans condition de taille | Enregistrement ANSSI + conformité |
| Sous-traitant d’entités régulées | Indirectement concerné | Anticiper les exigences contractuelles |
| Aucun critère rempli | Non concerné (aujourd’hui) | Veille réglementaire |
Passez à l’action
Si ce test rapide vous a confirmé que votre PME est dans le périmètre NIS2, la sensibilisation des employés est le point de départ le plus accessible et le plus mesurable. C’est aussi l’obligation que les auditeurs vérifient en premier.
Testez gratuitement la sécurité de vos emails pour vérifier votre exposition avant de lancer votre première campagne de simulation. Un diagnostic SPF, DKIM et DMARC en 30 secondes, sans engagement.
Pour structurer votre conformité NIS2 de A à Z, consultez notre guide NIS2 pour les PME — avec les 10 obligations de l’article 21 détaillées et une checklist de 20 points.