Conformité NIS2 pour les PME : obligations, sanctions et checklist complète
Guide complet NIS2 pour les PME françaises. Qui est concerné, quelles obligations, quelles sanctions, et comment se mettre en conformité étape par étape.
En octobre 2024, la directive NIS2 est entrée en application dans toute l'Union européenne. Pour les PME françaises, cette échéance marque un tournant : des milliers d'entreprises qui n'étaient pas concernées par la première directive NIS1 se retrouvent désormais soumises à des obligations strictes en matière de cybersécurité. Et les sanctions sont lourdes : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les manquements les plus graves.
Pourtant, selon une étude du CESIN publiée en 2025, moins de 30 % des PME françaises concernées ont entamé leur mise en conformité NIS2. La raison ? Le texte est dense, technique, et les ressources adaptées aux petites et moyennes entreprises sont rares. La plupart des guides disponibles s'adressent aux grands groupes disposant d'équipes cybersécurité dédiées.
Ce guide a été conçu spécifiquement pour les dirigeants et responsables informatiques de PME. Vous y trouverez tout ce qu'il faut savoir pour comprendre NIS2 et agir concrètement :
- Qui est réellement concerné : avec un arbre de décision simple pour savoir si votre entreprise est dans le périmètre
- Les 10 obligations concrètes de l'article 21, expliquées en langage clair
- Les sanctions et la nouvelle responsabilité personnelle des dirigeants
- Le calendrier de mise en conformité et les échéances critiques
- Une checklist de 20 points organisée par priorité, pour structurer votre plan d'action
Ce guide s'appuie sur le texte officiel de la Directive (UE) 2022/2555 du 14 décembre 2022, les recommandations de l'ANSSI, les publications de l'ENISA, et les retours d'expérience des premières mises en conformité en France.
Qu'est-ce que la directive NIS2 ?
La directive NIS2, officiellement Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, est le cadre réglementaire européen pour la cybersécurité des réseaux et des systèmes d'information. Elle remplace la première directive NIS adoptée en 2016, en élargissant considérablement son périmètre et en renforçant les exigences.
Pourquoi NIS2 remplace NIS1
La directive NIS1 de 2016 avait posé les premières bases d'une approche coordonnée de la cybersécurité en Europe. Mais elle présentait des limites importantes :
- Périmètre trop restreint : seuls les « opérateurs de services essentiels » (OSE) et les fournisseurs de services numériques étaient concernés, soit environ 15 000 entités dans toute l'UE
- Transposition hétérogène : chaque État membre avait interprété la directive différemment, créant des disparités importantes
- Sanctions insuffisantes : les amendes n'étaient pas harmonisées et souvent trop faibles pour être dissuasives
- Réactivité limitée : les mécanismes de notification d'incidents étaient lents et fragmentés
NIS2 corrige ces faiblesses. Le nombre d'entités concernées passe de 15 000 à environ 160 000 dans l'UE, dont plusieurs dizaines de milliers en France. Selon l'ANSSI, entre 10 000 et 15 000 entreprises françaises sont directement dans le périmètre de la nouvelle directive.
Le contexte français
En France, la transposition de NIS2 en droit national a été adoptée en 2025. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est désignée comme l'autorité compétente, responsable de la supervision, des audits et des sanctions. L'ANSSI a publié des guides d'accompagnement et mis en place un portail d'enregistrement pour les entités concernées.
Le législateur français a fait le choix d'une transposition fidèle au texte européen, sans allègement notable des obligations. Les PME françaises sont donc soumises aux mêmes exigences que leurs homologues européennes : un point que certains secteurs professionnels avaient contesté lors des consultations.
Qui est concerné par NIS2 en France ?
C'est la question fondamentale. Contrairement à NIS1, la directive NIS2 utilise des critères objectifs de taille et de secteur pour déterminer qui est dans le périmètre. Il n'y a plus de désignation au cas par cas par les autorités.
Critères de taille
NIS2 s'applique à deux catégories d'entités, déterminées par leur taille :
| Catégorie | Effectifs | Chiffre d'affaires | Bilan annuel |
|---|---|---|---|
| Entités moyennes | 50 à 249 employés | 10 à 50 M€ | 10 à 43 M€ |
| Grandes entités | 250+ employés | > 50 M€ | > 43 M€ |
Important : il suffit de dépasser un seul de ces seuils pour être dans le périmètre. Une entreprise de 45 employés avec un chiffre d'affaires de 12 millions d'euros est concernée.
Secteurs essentiels (Annexe I de la directive)
Les secteurs dits « hautement critiques » sont soumis aux exigences les plus strictes :
| Secteur | Exemples d'activités |
|---|---|
| Énergie | Électricité, pétrole, gaz, hydrogène, réseaux de chaleur |
| Transport | Aérien, ferroviaire, maritime, routier |
| Secteur bancaire | Établissements de crédit |
| Infrastructures des marchés financiers | Plateformes de négociation, contreparties centrales |
| Santé | Hôpitaux, laboratoires, fabricants de dispositifs médicaux |
| Eau potable | Approvisionnement et distribution |
| Eaux usées | Collecte, traitement, rejet |
| Infrastructure numérique | DNS, registres, cloud, data centers, CDN, FAI |
| Gestion des services TIC | Fournisseurs de services managés (MSP/MSSP) |
| Administration publique | Entités de l'administration centrale |
| Espace | Opérateurs d'infrastructures terrestres |
Secteurs importants (Annexe II de la directive)
Les secteurs dits « critiques » sont soumis à des obligations similaires mais avec des sanctions moins élevées :
| Secteur | Exemples d'activités |
|---|---|
| Services postaux et d'expédition | Courrier, colis, logistique |
| Gestion des déchets | Collecte, traitement, recyclage |
| Fabrication, production et distribution de produits chimiques | Chimie industrielle, agrochimie |
| Production et distribution de denrées alimentaires | Agroalimentaire, grande distribution |
| Fabrication | Dispositifs médicaux, électronique, machines, automobile, équipements de transport |
| Fournisseurs de services numériques | Places de marché, moteurs de recherche, réseaux sociaux |
| Recherche | Organismes de recherche |
Cas particuliers : concernés quelle que soit la taille
Certaines entités sont dans le périmètre de NIS2 indépendamment de leur taille :
- Fournisseurs de services DNS
- Registres de noms de domaine de premier niveau (TLD)
- Fournisseurs de services de confiance qualifiés
- Fournisseurs de réseaux de communications électroniques publics
- Entités identifiées comme critiques au titre de la directive CER
Mon entreprise est-elle concernée ? Arbre de décision simplifié
Pour déterminer si votre PME est dans le périmètre NIS2, posez-vous ces trois questions :
- Votre entreprise opère-t-elle dans l'un des secteurs listés ci-dessus ? Si non → vous n'êtes probablement pas directement concerné (mais attention au point 3).
- Votre entreprise dépasse-t-elle l'un des seuils de taille ? (50 employés, 10 M€ de CA, ou 10 M€ de bilan) Si oui → vous êtes dans le périmètre.
- Êtes-vous sous-traitant ou fournisseur d'une entité concernée ? Même si vous n'êtes pas directement dans le périmètre, vos clients soumis à NIS2 vont exiger des garanties de cybersécurité au titre de l'obligation de sécurité de la chaîne d'approvisionnement (article 21.2.d). C'est l'effet cascade de NIS2.
En cas de doute, consultez le portail MonEspaceNIS2 mis en place par l'ANSSI pour l'auto-évaluation.
Les 10 obligations de NIS2 pour les entreprises
L'article 21 de la directive NIS2 définit 10 catégories de mesures que les entités concernées doivent mettre en œuvre. Ces mesures doivent être proportionnées à la taille de l'entreprise, à son exposition aux risques et à la gravité potentielle des incidents.
Voici ces 10 obligations, expliquées concrètement pour une PME.
1. Analyse de risques et politique de sécurité (Article 21.2.a)
Ce que dit le texte : les entités doivent adopter des politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information.
Concrètement pour votre PME : vous devez réaliser une cartographie de vos actifs numériques (serveurs, postes de travail, applications SaaS, données sensibles), évaluer les risques qui pèsent sur chacun, et documenter une politique de sécurité formelle. Ce document doit être validé par la direction et révisé au minimum une fois par an.
2. Gestion des incidents (Article 21.2.b)
Ce que dit le texte : les entités doivent mettre en place des procédures de gestion des incidents de sécurité.
Concrètement : vous devez disposer d'un processus documenté pour détecter, analyser, contenir et remédier aux incidents de sécurité. NIS2 impose des délais de notification stricts :
- Alerte initiale : dans les 24 heures suivant la prise de connaissance d'un incident significatif
- Notification complète : dans les 72 heures, avec une évaluation initiale de l'incident
- Rapport final : dans le mois suivant la notification, avec l'analyse détaillée et les mesures prises
3. Continuité d'activité (Article 21.2.c)
Ce que dit le texte : les entités doivent assurer la continuité de leurs activités, y compris la gestion des sauvegardes, la reprise après sinistre et la gestion de crise.
Concrètement : documentez un plan de continuité d'activité (PCA) et un plan de reprise d'activité (PRA). Testez régulièrement vos sauvegardes : une sauvegarde non testée n'est pas une sauvegarde. En cas d'attaque par rançongiciel, vous devez pouvoir restaurer vos systèmes critiques dans un délai défini.
4. Sécurité de la chaîne d'approvisionnement (Article 21.2.d)
Ce que dit le texte : les entités doivent gérer les risques liés à leurs fournisseurs et prestataires de services.
Concrètement : inventoriez vos fournisseurs critiques (hébergeur, éditeur de logiciels, prestataire de maintenance). Évaluez leur niveau de cybersécurité. Intégrez des clauses de sécurité dans vos contrats. C'est l'une des obligations les plus impactantes pour les PME car elle crée un effet cascade : même les entreprises hors périmètre NIS2 devront démontrer leur maturité cyber à leurs clients régulés.
5. Sécurité de l'acquisition, du développement et de la maintenance des réseaux et SI (Article 21.2.e)
Ce que dit le texte : les entités doivent intégrer la sécurité dans tout le cycle de vie de leurs systèmes d'information.
Concrètement : si vous développez des logiciels, intégrez la sécurité dès la conception (security by design). Si vous achetez des solutions, évaluez leur sécurité avant déploiement. Appliquez les correctifs de sécurité dans des délais raisonnables : les vulnérabilités non corrigées sont la deuxième cause d'intrusion après le phishing.
6. Évaluation de l'efficacité des mesures de gestion des risques (Article 21.2.f)
Ce que dit le texte : les entités doivent évaluer régulièrement l'efficacité de leurs mesures de cybersécurité.
Concrètement : il ne suffit pas de mettre en place des protections : vous devez prouver qu'elles fonctionnent. C'est précisément là que la simulation de phishing devient un outil de conformité : en testant régulièrement la résilience de vos employés face aux emails malveillants, vous produisez des métriques documentées et opposables à un auditeur.
Des campagnes de simulation trimestrielles avec des rapports détaillés répondent directement à cette obligation. Le taux de clic, le taux de signalement, et leur évolution dans le temps constituent des preuves tangibles de l'efficacité de vos mesures.
7. Pratiques de cyber-hygiène et formation (Article 21.2.g)
Ce que dit le texte : les entités doivent mettre en place des pratiques de base en matière de cyber-hygiène et de formation à la cybersécurité.
Concrètement : NIS2 rend la formation des employés obligatoire, pas optionnelle. Chaque collaborateur doit être formé aux bonnes pratiques : reconnaître un email de phishing, utiliser des mots de passe solides, signaler un incident suspect. Cette formation doit être continue (pas un PowerPoint annuel) et adaptée au profil de risque de chaque employé.
C'est l'obligation la plus directement liée à la lutte anti-phishing. Selon le rapport Verizon DBIR 2025, 91 % des cyberattaques commencent par un email de phishing. Former vos équipes est désormais une obligation légale. Pour un guide détaillé sur la mise en place d'un programme de formation efficace, consultez notre article sur la formation cybersécurité des employés.
8. Politiques et procédures relatives à la cryptographie et au chiffrement (Article 21.2.h)
Ce que dit le texte : les entités doivent définir des politiques d'utilisation de la cryptographie, y compris le chiffrement.
Concrètement : chiffrez les données sensibles au repos et en transit. Utilisez HTTPS partout, chiffrez les disques des postes portables, et mettez en place le chiffrement des emails pour les données confidentielles. Documentez votre politique de gestion des clés.
9. Sécurité des ressources humaines, contrôle d'accès et gestion des actifs (Article 21.2.i)
Ce que dit le texte : les entités doivent sécuriser les processus liés aux ressources humaines et gérer les accès de manière appropriée.
Concrètement : appliquez le principe du moindre privilège : chaque employé ne doit avoir accès qu'aux ressources nécessaires à sa fonction. Mettez en place des procédures d'arrivée et de départ (onboarding/offboarding) pour accorder et révoquer les accès. Revoyez régulièrement les droits d'accès, en particulier pour les comptes à privilèges.
Un assistant de vérification IA, auquel les employés transfèrent les emails suspects, contribue à cette obligation en aidant vos équipes à identifier les tentatives de compromission.
10. Authentification multi-facteur et communications sécurisées (Article 21.2.j)
Ce que dit le texte : les entités doivent utiliser l'authentification multifacteur (MFA) ou l'authentification continue, et des communications sécurisées.
Concrètement : déployez la MFA sur tous les comptes critiques : email professionnel, accès VPN, applications métier, consoles d'administration. Privilégiez les solutions de MFA résistantes au phishing (FIDO2, WebAuthn) plutôt que les SMS, qui sont vulnérables au SIM swapping.
Sanctions et responsabilité des dirigeants
NIS2 marque un durcissement marqué des sanctions par rapport à NIS1. Le législateur européen a voulu envoyer un message clair : la cybersécurité n'est plus une option.
Sanctions financières
Les montants maximaux des amendes varient selon la catégorie de l'entité :
| Catégorie | Amende maximale | Alternative |
|---|---|---|
| Entité essentielle | 10 000 000 € | 2 % du CA mondial annuel (le plus élevé des deux) |
| Entité importante | 7 000 000 € | 1,4 % du CA mondial annuel (le plus élevé des deux) |
Pour une PME réalisant 20 millions d'euros de chiffre d'affaires, l'amende maximale peut atteindre 400 000 euros en tant qu'entité importante, ou 10 millions d'euros en tant qu'entité essentielle. Ces montants sont théoriquement maximaux, mais ils reflètent la volonté du législateur de rendre les sanctions véritablement dissuasives.
Responsabilité personnelle des dirigeants
C'est l'une des innovations majeures de NIS2 et probablement la disposition la plus préoccupante pour les dirigeants de PME. L'article 20 de la directive stipule que :
- Les organes de direction des entités concernées doivent approuver les mesures de gestion des risques en matière de cybersécurité
- Ils doivent superviser la mise en œuvre de ces mesures
- Ils peuvent être tenus personnellement responsables en cas de manquement
- Ils doivent eux-mêmes suivre une formation en cybersécurité pour être en mesure d'évaluer les risques
En cas d'infraction grave, NIS2 prévoit la possibilité d'une suspension temporaire des fonctions de direction. C'est inédit dans le domaine de la cybersécurité et cela change fondamentalement la donne : la conformité NIS2 est un sujet de gouvernance qui engage directement la responsabilité du dirigeant.
Pouvoirs de l'ANSSI
En France, l'ANSSI dispose de pouvoirs étendus pour faire respecter NIS2 :
- Audits et inspections : l'ANSSI peut réaliser des contrôles sur place ou à distance, y compris de manière inopinée
- Injonctions : elle peut ordonner la mise en conformité sous astreinte
- Amendes administratives : sans passer par le juge, dans les limites des plafonds prévus
- Publication des sanctions : le « name and shame » : la publication de la décision de sanction, avec le nom de l'entreprise, constitue souvent un préjudice réputationnel plus lourd que l'amende elle-même
- Suspension d'activité : dans les cas les plus graves, pour les entités essentielles
Calendrier de mise en conformité NIS2
Comprendre le calendrier permet de prioriser vos actions. Voici les dates clés :
14 décembre 2022 : Adoption de la Directive (UE) 2022/2555 par le Parlement européen et le Conseil.
17 octobre 2024 : Date limite de transposition en droit national dans tous les États membres. C'est la date à partir de laquelle NIS2 est officiellement en application.
2025, La France adopte sa loi de transposition. L'ANSSI publie ses guides d'accompagnement et ouvre le portail d'enregistrement MonEspaceNIS2. Période de mise en place progressive, l'ANSSI privilégie l'accompagnement plutôt que la sanction immédiate.
2026 : Les entités concernées doivent être enregistrées auprès de l'ANSSI. Les premiers contrôles sont attendus. Les obligations de notification d'incidents sont pleinement applicables. C'est maintenant.
2027 et au-delà : Les sanctions financières sont pleinement applicables. Les audits deviennent systématiques. Les entités non conformes s'exposent à des amendes et à la publication de leur identité.
Le conseil essentiel : ne pas attendre les contrôles pour agir. Les entreprises qui se mettent en conformité dès maintenant bénéficient d'un triple avantage : elles évitent la pression d'une mise en conformité dans l'urgence, elles renforcent réellement leur posture de sécurité, et elles se démarquent auprès de leurs clients et partenaires qui exigent de plus en plus de garanties cyber dans leur chaîne d'approvisionnement.
Checklist de conformité NIS2 pour les PME
Cette checklist de 20 points couvre l'ensemble des obligations de l'article 21 de NIS2. Elle est organisée par catégorie pour vous permettre de structurer votre plan d'action et de suivre votre progression.
Gouvernance
- Nommer un responsable cybersécurité : Même à temps partiel, une personne doit être identifiée comme référent. Ce n'est pas nécessairement un RSSI (responsable de la sécurité des systèmes d'information) à temps plein (voir FAQ), mais quelqu'un qui pilote le sujet au quotidien.
- Former les dirigeants à la cybersécurité : L'article 20 de NIS2 l'exige explicitement. Les membres de la direction doivent comprendre les risques cyber et être capables d'évaluer les mesures proposées.
- Documenter la politique de sécurité : Un document formel, approuvé par la direction, décrivant les principes, les rôles et les responsabilités en matière de cybersécurité. Révisé au minimum annuellement.
- Établir un comité de pilotage cyber : Réunion trimestrielle minimum entre la direction, le responsable cybersécurité et les responsables métier pour suivre les indicateurs et valider les actions.
Gestion des risques
- Réaliser une analyse de risques : Identifier les menaces, les vulnérabilités et les impacts potentiels sur vos activités. Utiliser une méthodologie reconnue (EBIOS RM, méthode d'analyse de risques recommandée par l'ANSSI, ou ISO 27005).
- Cartographier les actifs critiques : Inventaire complet de vos systèmes d'information, applications, données sensibles et interconnexions. Vous ne pouvez pas protéger ce que vous ne connaissez pas.
- Évaluer les risques de la chaîne d'approvisionnement : Lister vos fournisseurs critiques, évaluer leur maturité cyber, intégrer des exigences de sécurité dans vos contrats.
- Documenter les mesures de remédiation : Pour chaque risque identifié, documenter la mesure choisie (accepter, réduire, transférer, éviter) et le plan de mise en œuvre.
Protection
- Déployer l'authentification multi-facteur (MFA) : Sur tous les accès critiques : email, VPN, applications métier, consoles d'administration cloud. Priorité absolue.
- Chiffrer les données sensibles : Au repos (disques, bases de données) et en transit (HTTPS, VPN). Documenter la politique de gestion des clés.
- Segmenter les réseaux : Séparer les réseaux d'administration, de production et d'invités. Limiter la propagation latérale en cas de compromission.
- Mettre en place des sauvegardes testées : Règle du 3-2-1 : 3 copies, 2 supports différents, 1 copie hors site. Testez la restauration au minimum trimestriellement.
Formation et tests
- Mettre en place un programme de sensibilisation : Formation continue de tous les employés aux bonnes pratiques de cybersécurité. Pas un simple PowerPoint annuel : des modules courts, réguliers et interactifs.
- Lancer des simulations de phishing régulières : L'évaluation de l'efficacité des mesures (article 21.2.f) passe par des tests concrets. Les campagnes de simulation de phishing produisent des métriques documentées et exploitables.
- Mesurer et documenter les progrès : Suivre l'évolution des taux de clic, de signalement, et de détection au fil du temps. Ces indicateurs sont votre preuve de conformité face à un auditeur ANSSI.
- Former les employés au signalement d'incidents : Chaque collaborateur doit savoir comment et à qui signaler un email suspect ou un comportement anormal. Consultez notre guide sur la simulation de phishing en entreprise pour structurer ce programme.
Détection et réponse
- Mettre en place un processus de gestion des incidents : Procédure documentée : qui fait quoi, dans quel ordre, avec quels outils. Inclure les coordonnées de l'ANSSI et du CSIRT compétent.
- Préparer les templates de notification : NIS2 impose une notification sous 24h puis un rapport sous 72h. Préparez les formulaires à l'avance pour ne pas perdre de temps en situation de crise.
- Tester le plan de réponse aux incidents : Un exercice de simulation (tabletop exercise) par semestre minimum. Simulez différents scénarios : ransomware, compromission de compte, fuite de données.
- Documenter les leçons apprises : Après chaque incident réel ou simulé, rédigez un retour d'expérience (RETEX) et mettez à jour vos procédures en conséquence.
NIS2 et phishing : un lien direct
Le phishing est le vecteur d'attaque le plus directement concerné par NIS2. Comme rappelé plus haut, c'est la première cause de compromission des entreprises, tous secteurs confondus.
Plusieurs obligations de l'article 21 ciblent explicitement cette menace :
L'article 21.2.f (évaluation de l'efficacité) impose de tester régulièrement vos défenses. La simulation de phishing est l'outil le plus direct et le plus mesurable pour répondre à cette exigence. Un auditeur ANSSI qui constate que vous réalisez des campagnes de simulation trimestrielles avec des rapports détaillés validera cette obligation.
L'article 21.2.g (formation et cyber-hygiène) rend obligatoire la formation continue des employés. La formation post-simulation, le micro-learning déclenché après qu'un employé a cliqué sur un email de phishing simulé, est considérée comme la méthode la plus efficace par l'ENISA. Elle intervient au moment précis où l'employé est réceptif, et elle s'adapte à son profil de risque.
L'article 21.2.i (sécurité RH et contrôle d'accès) couvre la protection des identités numériques de vos employés. Un assistant de vérification IA, auquel les collaborateurs transfèrent les emails suspects pour obtenir un verdict, renforce cette protection en complétant le filtre anti-spam existant.
Pour des statistiques détaillées sur l'impact du phishing en entreprise, consultez notre article complet : Phishing en entreprise : statistiques 2026, exemples et solutions.
Comment nophi.sh vous aide à être conforme NIS2
La conformité NIS2 est un sujet vaste qui nécessite une approche globale. Aucun outil ne couvre l'intégralité des 10 obligations de l'article 21. Mais pour les obligations directement liées à la menace phishing, obligations 6, 7 et 9, nophi.sh apporte une réponse clé en main.
Obligation 21.2.f : Évaluation de l'efficacité des mesures
Les campagnes de simulation de phishing d'nophi.sh vous permettent de tester régulièrement la résilience de vos employés avec des scénarios réalistes et personnalisés. Chaque campagne génère un rapport détaillé avec les métriques clés : taux de clic, taux d'ouverture, taux de signalement, temps de réaction. Ces rapports constituent votre preuve de conformité face à un auditeur.
Obligation 21.2.g : Formation et cyber-hygiène
Le module de formation automatisée déclenche un parcours de micro-learning personnalisé pour chaque employé qui échoue à une simulation. La formation s'adapte au profil de risque individuel et couvre les bonnes pratiques essentielles : identification des emails suspects, signalement, gestion des mots de passe. Vous disposez d'un tableau de bord en temps réel pour suivre la progression de chaque département.
Obligation 21.2.i : Sécurité des ressources humaines
L'assistant de vérification IA d'nophi.sh analyse les emails que vos collaborateurs lui transfèrent et rend un verdict en quelques secondes : phishing, spear phishing, BEC (Business Email Compromise) ou email légitime. Un complément technique à la formation humaine.
Rapports de conformité prêts pour l'audit
nophi.sh génère des rapports de conformité consolidant vos métriques de simulation, de formation et de vérification. En cas de contrôle, vous disposez d'une documentation structurée démontrant votre démarche continue d'amélioration.
Pour en savoir plus sur l'ensemble de nos fonctionnalités de conformité, ou pour démarrer un essai gratuit de 14 jours.
Questions fréquentes sur NIS2
Ma PME de 60 employés dans le conseil est-elle concernée par NIS2 ?
Cela dépend de votre secteur d'activité. Le conseil en tant que tel n'est pas dans les annexes I ou II de la directive. Cependant, si votre cabinet fournit des services informatiques managés (MSP), de la cybersécurité (MSSP), ou opère dans un secteur listé (conseil en santé, conseil en énergie), vous pouvez être dans le périmètre. De plus, si vos clients sont soumis à NIS2, ils vous demanderont probablement des garanties de sécurité au titre de la chaîne d'approvisionnement (article 21.2.d), même si vous n'êtes pas directement régulé.
Quelle est la différence entre entité essentielle et entité importante ?
La différence porte principalement sur le niveau de supervision et les sanctions. Les entités essentielles (secteurs de l'Annexe I, grandes entreprises) sont soumises à un régime de supervision proactive, l'ANSSI peut les auditer à tout moment, y compris de manière inopinée. Les entités importantes (secteurs de l'Annexe II, entreprises moyennes) sont soumises à un régime réactif, l'ANSSI intervient en cas d'incident ou de signalement. Les sanctions maximales sont également plus élevées pour les entités essentielles (10 M€ vs 7 M€).
Quand les sanctions NIS2 commenceront-elles à s'appliquer en France ?
La directive est en application depuis octobre 2024 et la transposition française a été adoptée en 2025. L'ANSSI a indiqué privilégier une approche d'accompagnement dans un premier temps, mais les sanctions sont juridiquement applicables dès la transposition. Les premiers contrôles formels sont attendus courant 2026. Ne pas attendre les sanctions pour agir : la mise en conformité prend du temps, et une entreprise prise au dépourvu lors d'un contrôle n'aura pas de seconde chance.
NIS2 s'applique-t-elle aux sous-traitants des entités concernées ?
Pas directement : un sous-traitant qui n'est pas lui-même dans un secteur couvert et qui ne dépasse pas les seuils de taille n'est pas formellement soumis à NIS2. Mais indirectement, oui : l'article 21.2.d oblige les entités régulées à sécuriser leur chaîne d'approvisionnement. Concrètement, cela signifie que vos clients soumis à NIS2 vous imposeront des exigences de sécurité contractuelles : audits, certifications, garanties techniques. C'est ce qu'on appelle l'« effet cascade » de NIS2, et il touche potentiellement des centaines de milliers de PME en France.
Comment prouver la conformité NIS2 à un auditeur ?
La conformité NIS2 se prouve par la documentation. Vous devez être en mesure de présenter : votre politique de sécurité validée par la direction, votre analyse de risques, vos procédures de gestion des incidents, vos rapports de simulation et de formation, votre inventaire des actifs, vos contrats fournisseurs avec clauses de sécurité, et vos comptes-rendus de comité de pilotage. L'auditeur vérifiera la cohérence entre la documentation et les mesures réellement mises en œuvre. Des rapports de simulation de phishing réguliers avec des métriques en progression constituent une preuve particulièrement convaincante.
Quel budget prévoir pour la mise en conformité NIS2 ?
Le budget varie considérablement selon la taille de l'entreprise et son niveau de maturité actuel. Selon l'ENISA, les PME européennes consacrent en moyenne entre 50 000 et 200 000 euros à leur mise en conformité NIS2 initiale, puis entre 20 000 et 80 000 euros par an pour le maintien. Ce budget couvre l'analyse de risques, les outils techniques, la formation, les audits et le temps humain. C'est un investissement important, mais à comparer avec le coût moyen d'une violation de données : 4,88 millions de dollars selon le rapport IBM Cost of a Data Breach 2025.
NIS2 et RGPD : quels recoupements ?
NIS2 et RGPD sont complémentaires mais distincts. Le RGPD protège les données personnelles, NIS2 protège les réseaux et systèmes d'information. Les recoupements sont nombreux : une fuite de données personnelles causée par un phishing sera à la fois un incident NIS2 (notification à l'ANSSI sous 24h) et une violation RGPD (notification à la CNIL sous 72h). Les mesures techniques se recoupent largement : chiffrement, contrôle d'accès, formation. L'avantage pour les PME déjà conformes au RGPD : une partie du travail de documentation et de gouvernance est déjà fait.
Faut-il un RSSI dédié pour être conforme NIS2 ?
NIS2 n'exige pas explicitement un RSSI (Responsable de la sécurité des systèmes d'information) à temps plein. Ce que la directive exige, c'est qu'une personne soit identifiée comme responsable de la cybersécurité et que la direction soit impliquée. Pour une PME de 50 à 100 employés, un responsable informatique formé à la cybersécurité, appuyé par des outils automatisés et éventuellement un prestataire externe (MSSP), peut suffire. L'essentiel est que le rôle soit formellement attribué, documenté, et que la personne dispose du temps et des moyens nécessaires.
Et si un incident de phishing se produit malgré vos mesures préventives, consultez notre guide de réponse à incident phishing pour savoir comment réagir étape par étape.
Commencez à générer vos preuves de conformité. Simulation de phishing, formation automatisée et rapports d'audit en quelques clics. Créer un compte gratuitement - essai 14 jours, sans engagement.
Conclusion
La directive NIS2 représente le changement le plus important en matière de réglementation cyber en Europe depuis le RGPD. Pour les PME françaises, la mise en conformité demande un investissement réel en temps, en budget et en organisation. Les obligations sont précises, les délais sont serrés, et les sanctions sont dissuasives. Mais les entreprises qui s'y conforment renforcent véritablement leur résilience face aux cybermenaces, et le phishing en particulier. Dans un contexte où 60 % des PME victimes d'une cyberattaque cessent leur activité dans les 6 mois selon le Hiscox Cyber Readiness Report 2025, investir dans la cybersécurité est avant tout un investissement dans la pérennité de votre entreprise.
Les obligations NIS2 liées au phishing, évaluation des mesures, formation continue, et vérification des emails suspects, recoupent exactement les composantes d'une stratégie anti-phishing efficace. Exigence réglementaire et bonne pratique opérationnelle convergent.
Ne pas attendre les premiers contrôles de l'ANSSI pour agir. Les entreprises qui se préparent maintenant disposent du temps nécessaire pour une mise en conformité sereine, progressive et durable.
Générer mes premières preuves de conformité NIS2 - simulation, micro-learning, rapports d'audit inclus.