NIS2 en 2026 : guide complet pour PME et ETI françaises
La directive NIS2 est transposée en droit français depuis juillet 2025. PME et ETI sont-elles concernées ? Quelles sont les nouvelles obligations concrètes ? Combien coûte la mise en conformité ? Guide complet avec calendrier, tableaux comparatifs et checklist d'action.
TL;DR — Ce qu'il faut retenir :
🔹 NIS2 étend la cybersécurité obligatoire de 500 à plus de 15 000 entités en France.
🔹 Les PME/ETI de 18 secteurs (dont fabrication, santé, transport, alimentation) sont concernées dès 50 salariés.
🔹 10 mesures obligatoires (article 21) : gestion des risques, notification d'incidents, continuité d'activité.
🔹 Sanctions jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles.
C'est quoi la directive NIS2 ?
La directive NIS2 (Network and Information Security 2), officiellement directive (UE) 2022/2555, est le nouveau cadre européen de cybersécurité. Elle remplace la directive NIS de 2016 et étend considérablement son périmètre.
En France, NIS2 a été transposée par la loi du 30 juillet 2025, complétée par un décret d'application publié en novembre 2025. L'ANSSI est l'autorité nationale de supervision et de sanction.
L'objectif est clair : passer d'une approche déclarative à une approche probante. Il ne suffit plus de dire que l'on est sécurisé — il faut le démontrer.
Suis-je concerné par NIS2 ? (test rapide)
Vous êtes probablement concerné si :
- ✅ Vous avez plus de 50 salariés ET plus de 10 M€ de chiffre d'affaires annuel.
- ✅ Vous exercez dans l'un des 18 secteurs couverts : énergie, transports, banque, santé, eau potable, infrastructure numérique, fabrication chimique/alimentaire/automobile/électronique, administration publique, etc.
- ✅ Vous fournissez des services numériques (cloud, place de marché, moteur de recherche, datacenter).
Attention : contrairement à une idée reçue, NIS2 n'est pas réservée aux grands groupes. Une PME de 50 salariés dans la fabrication de composants électroniques ou une ETI de 200 personnes dans l'agroalimentaire sont typiquement dans le périmètre des entités importantes.
| Critère | Entité essentielle | Entité importante | Non concerné |
|---|---|---|---|
| Effectifs | > 250 salariés | 50-250 salariés | < 50 salariés |
| Chiffre d'affaires | > 50 M€ | 10-50 M€ | < 10 M€ |
| Secteur | Hautement critique | Critique ou autres | Hors périmètre |
| Sanction max | 10 M€ ou 2 % CA mondial | 7 M€ ou 1,4 % CA mondial | — |
| Notification incident | Alerte 24h / détail 72h | Alerte 24h / détail 72h | — |
| Contrôle ANSSI | Audits réguliers obligatoires | Audits ciblés possibles | — |
Calendrier d'application en France
- 30 juillet 2025 : Loi de transposition française adoptée.
- Novembre 2025 : Décret d'application fixant les seuils et modalités.
- Début 2026 : Recensement des entités par l'ANSSI (obligatoire pour toutes les entités du périmètre).
- 2026-2027 : Phase de sensibilisation et d'accompagnement par l'ANSSI.
- 2027-2028 : Début des audits ciblés et des contrôles.
- 2028+ : Régime de sanctions applicable pour les non-conformités persistantes.
Ne vous y trompez pas : le fait que les contrôles débutent en 2027 ne signifie pas que vous avez jusqu'à cette date pour agir. Les 10 mesures de l'article 21 sont applicables dès maintenant. L'ANSSI attend des entités qu'elles démontrent une démarche progressive de mise en conformité, pas l'absence totale d'action.
Les 10 mesures obligatoires de l'article 21
- Analyse des risques : cartographie des actifs, évaluation des menaces et des vulnérabilités.
- Politique de sécurité : gouvernance formalisée, organigramme des responsabilités, processus de décision.
- Gestion des incidents : détection, qualification, escalade, réponse et remédiation documentées.
- Continuité d'activité : PCA/PRA testés, sauvegardes isolées, reprise d'activité en cas de crise.
- Sécurité de la chaîne d'approvisionnement : évaluation des fournisseurs et prestataires critiques, clauses contractuelles.
- Sécurité des acquisitions : sécurité intégrée dès la conception (secure-by-default, DevSecOps).
- Gestion des vulnérabilités : tests d'intrusion réguliers, scan de vulnérabilités, correctifs dans des délais maîtrisés.
- Formation et sensibilisation : programme de formation continue pour tous les employés.
- Contrôle d'accès : MFA, principe du moindre privilège, gestion des identités et des accès.
- Cryptographie : chiffrement des données sensibles en transit et au repos, gestion du cycle de vie des clés.
Ce qui change entre NIS1 et NIS2
| Critère | NIS1 (2016-2024) | NIS2 (2025+ en France) |
|---|---|---|
| 🏢 Nombre d'entités | ~500 | ~15 000+ |
| 📋 Secteurs couverts | 7 secteurs | 18 secteurs |
| ⚖️ Sanctions | Jusqu'à 100 000 € | Jusqu'à 10 M€ ou 2 % CA |
| 👤 Responsabilité | Limitée | Personnelle des dirigeants |
| 🔍 Contrôle | Déclaratif | Probant (audits, preuves) |
| ⏱ Notification incident | Sans délai ferme | 24h / 72h / 1 mois |
Combien coûte la mise en conformité NIS2 ?
| Prestation | Entité importante (50-250 p.) | Entité essentielle (250+ p.) |
|---|---|---|
| Diagnostic gap analysis NIS2 | 2 500 - 5 000 € | 5 000 - 15 000 € |
| Mise en place SMSI (ISO 27001) | 8 000 - 20 000 € | 20 000 - 50 000 € |
| Pentest annuel obligatoire | 5 000 - 10 000 € | 10 000 - 30 000 € |
| RSSI externalisé (Cyber-Pilote) | 1 500 - 3 000 €/mois | 3 000 - 8 000 €/mois |
| Formation sensibilisation (forfait) | 2 000 - 5 000 € | 5 000 - 15 000 € |
| Total première année | 12 000 - 35 000 € | 35 000 - 100 000 € |
Ces coûts sont indicatifs et dépendent de la maturité initiale de votre organisation. L'ANSSI propose le référentiel ReCyF (gratuit) pour vous auto-évaluer.
Prochaines étapes pour votre entreprise
La mise en conformité NIS2 ne se fait pas en un jour. Voici les étapes concrètes à suivre dès maintenant :
- Auto-évaluation : utilisez le Référentiel Cyber France (ReCyF) de l'ANSSI pour évaluer votre niveau de maturité actuel.
- Gap analysis : faites réaliser un diagnostic NIS2 complet par un prestataire comme SecuriTrust pour identifier vos écarts.
- Priorisation : établissez un plan de remédiation avec les mesures les plus urgentes (gouvernance, incidents, continuité).
- Mise en œuvre : déployez les 10 mesures de l'article 21 selon votre plan, avec l'accompagnement d'un RSSI externalisé si nécessaire.
- Test et validation : réalisez des tests d'intrusion et des exercices de continuité pour valider votre dispositif.
- Maintien : mettez en place un tableau de bord de conformité mensuel et une veille réglementaire continue.
Article rédigé par l'équipe conformité SecuriTrust — Experts NIS2, ISO 27001 Lead Implementer — Mis à jour le 4 juin 2026.