NIS2: Ce que chaque PME française doit savoir et faire en 2026

Depuis le 17 octobre 2024, la directive européenne NIS2 est entrée en vigueur en France. Pourtant, selon les dernières données de l’ANSSI, plus de 60% des entités concernées ne sont toujours pas en conformité.

Ce chiffre n’est pas une statistique abstraite. Il représente des milliers d’entreprises françaises — peut-être la vôtre — qui s’exposent chaque jour à des sanctions pouvant atteindre 10 millions d’euros, sans même le savoir.

Ce guide a été rédigé pour vous donner une vision claire, honnête et opérationnelle de ce que NIS2 exige — et de ce que vous devez faire dès maintenant.

Qu’est-ce que la directive NIS2 ?

NIS2 — Network and Information Security 2 — est la directive européenne qui impose aux entreprises des obligations renforcées en matière de cybersécurité. Elle succède à la directive NIS1 de 2016, dont le périmètre était jugé trop limité face à l’explosion des cybermenaces.

Son objectif est clair : harmoniser et renforcer le niveau de cybersécurité dans toute l’Union Européenne, en imposant des règles communes à un spectre bien plus large d’organisations.

La transposition française de NIS2 est assurée par la loi n°2024-449 du 21 mai 2024, qui confie à l’ANSSI la supervision des entités concernées et le pouvoir de sanction.

Votre entreprise est-elle concernée par NIS2 ?

C’est la première question à vous poser — et la réponse est probablement oui, si vous remplissez les deux conditions suivantes.

Critères de taille

NIS2 s’applique aux entreprises de :

• Plus de 50 salariés, OU
• Plus de 10 millions d’euros de chiffre d’affaires annuel

Critères sectoriels

NIS2 distingue deux catégories d’entités :

Entités essentielles (EE) — secteurs à risque critique :

• Énergie (électricité, gaz, pétrole, hydrogène)
• Transport (aérien, ferroviaire, routier, maritime)
• Banques et infrastructures financières
• Santé (hôpitaux, cliniques, laboratoires, fabricants de dispositifs médicaux)
• Eau potable et eaux usées
• Infrastructure numérique (fournisseurs cloud, data centers, réseaux)
• Administration publique (centrale et régionale)

Entités importantes (EI) — secteurs à risque significatif :

• Services postaux et de messagerie
• Gestion des déchets
• Industrie manufacturière (agroalimentaire, chimie, dispositifs médicaux, automobile)
• Services numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
• Fournisseurs de services B2B (sous-traitants des secteurs essentiels)

Êtes-vous sous-traitant d’une grande entreprise dans l’un de ces secteurs ? NIS2 s’applique également aux fournisseurs de la chaîne d’approvisionnement. Si votre client principal opère dans un secteur critique, il vous demandera très probablement une attestation de conformité NIS2.

Quelles sont vos obligations concrètes ?

NIS2 impose aux entités concernées des mesures réparties en deux catégories : la gestion des risques et les obligations de notification.

1. Mesures de gestion des risques (Article 21)

Chaque entité concernée doit mettre en œuvre des mesures techniques, opérationnelles et organisationnelles adaptées à son niveau d’exposition. NIS2 impose a minima :

1. a) Gouvernance et politique de sécurité

• Adopter une Politique de Sécurité des Systèmes d’Information (PSSI) formalisée et approuvée par la direction
• Désigner un responsable de la sécurité SI (RSSI ou équivalent), interne ou externalisé
• Former les dirigeants aux enjeux cyber (obligation explicite de NIS2)

1. b) Gestion des risques

• Conduire une analyse de risques sur l’ensemble du système d’information
• Mettre à jour cette analyse au minimum une fois par an
• Documenter les actifs critiques et les menaces associées

1. c) Sécurité des systèmes et des réseaux

• Mettre en place une authentification forte (MFA) sur tous les accès sensibles
• Appliquer le principe du moindre privilège (chaque utilisateur accède uniquement aux ressources nécessaires à sa mission)
• Chiffrer les données sensibles au repos et en transit
• Effectuer des mises à jour régulières de tous les systèmes

1. d) Gestion de la chaîne d’approvisionnement

• Évaluer la posture cybersécurité de vos fournisseurs et sous-traitants critiques
• Intégrer des clauses de sécurité dans vos contrats fournisseurs
• Vérifier les accès tiers à votre système d’information

1. e) Continuité d’activité et gestion de crise

• Disposer d’un Plan de Continuité d’Activité (PCA)
• Disposer d’un Plan de Reprise d’Activité (PRA)
• Tester ces plans au moins une fois par an

1. f) Gestion des incidents

• Mettre en place une procédure de détection et de réponse aux incidents
• Tenir un registre des incidents de sécurité

1. g) Sauvegarde et restauration

• Mettre en œuvre des sauvegardes régulières, chiffrées et testées
• Appliquer la règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site

1. h) Sensibilisation et formation

• Sensibiliser l’ensemble des collaborateurs aux cybermenaces de base (phishing, mots de passe, etc.)
• Former les équipes IT à la gestion des incidents
• Intégrer la cybersécurité dans les processus d’onboarding des nouveaux collaborateurs.

2. Obligations de notification (Article 23)

En cas d’incident de sécurité significatif, NIS2 impose une obligation de notification à l’ANSSI selon un calendrier strict :

⚠️ Qu’est-ce qu’un incident “significatif” selon NIS2 ? Tout incident ayant causé ou susceptible de causer une perturbation grave des services, une atteinte à l’intégrité des données, ou un accès non autorisé à des systèmes critiques.

Quelles sont les sanctions en cas de non-conformité ?

La réponse est sans appel — et elle devrait retenir toute votre attention.

Pour les Entités Essentielles :

• Amendes jusqu’à 10 000 000 € ou 2% du chiffre d’affaires mondial annuel (le montant le plus élevé)
• Possibilité de suspension temporaire d’activité
• Responsabilité personnelle des dirigeants engagée

Pour les Entités Importantes :

• Amendes jusqu’à 7 000 000 € ou 1,4% du chiffre d’affaires mondial annuel

Au-delà des sanctions financières :

• Publicité des sanctions (votre non-conformité peut être rendue publique)
• Perte de marchés : vos clients grands comptes exigeront votre conformité NIS2 dans leurs appels d’offres
• Résiliation de contrats par des donneurs d’ordre eux-mêmes soumis à NIS2

Impact assurantiel : les assurances cyber refusent de plus en plus de couvrir les entreprises non conformes.

Où en sont les PME françaises aujourd’hui ?

Le constat est préoccupant. Dans le cadre de nos missions d’audit réalisées auprès de PME françaises et africaines, Glob’Agile Consulting observe systématiquement les mêmes écarts :

Score global de maturité moyen : 1,34 / 4.

Ce score est révélateur d’une réalité : la plupart des PME ne sont pas en conformité NIS2, non par manque de volonté, mais par manque de visibilité sur leurs propres vulnérabilités.

Trois vulnérabilités critiques que nous retrouvons dans presque toutes les PME auditées

Vulnérabilité n°1 : L’absence de MFA

L’authentification multi-facteurs (MFA) est l’une des exigences explicites de NIS2. Pourtant, plus de 70% des PME que nous auditons n’ont pas déployé de MFA sur leurs accès critiques (messagerie, ERP, accès distant, cloud).

Conséquence directe : Un compte compromis par phishing suffit à paralyser toute l’organisation. Le ransomware moyen prend le contrôle d’un réseau d’entreprise en moins de 4 heures après la compromission d’un seul identifiant.

Vulnérabilité n°2 : L’absence de chiffrement des données

Des données non chiffrées, c’est une bombe à retardement. Si un disque dur est volé, si un serveur est compromis, si un ordinateur portable est perdu lors d’un déplacement professionnel — toutes les données sont immédiatement lisibles et exploitables.

Le chiffrement est à la fois une exigence NIS2 et une obligation RGPD. Son absence constitue un double manquement réglementaire.

Vulnérabilité n°3 : L’absence de plan de réponse à incident

Sans procédure de gestion de crise documentée et testée, une cyberattaque se transforme systématiquement en catastrophe. Les équipes ne savent pas qui alerter, dans quel ordre, comment contenir l’attaque, comment communiquer avec les parties prenantes.

Or NIS2 impose non seulement d’avoir ce plan, mais de le tester régulièrement.

Par où commencer ? Notre méthode en 4 étapes

Chez Glob’Agile Consulting, nous recommandons une approche progressive et pragmatique, adaptée aux contraintes des PME.

Étape 1 : L’audit de maturité (Semaines 1–2)

Avant tout investissement, il faut savoir où vous en êtes. Notre audit de maturité cybersécurité évalue votre posture sur 7 dimensions fondamentales et vous livre un score de maturité global, une cartographie des risques et un plan d’action priorisé.

Étape 2 : Les mesures d’urgence (Mois 1)

Sur la base de l’audit, nous déployons immédiatement les mesures à impact rapide : activation du MFA, chiffrement des postes de travail, mise en place des sauvegardes chiffrées. Ces actions réduisent votre exposition de manière significative en quelques semaines.

Étape 3 : La mise en conformité réglementaire (Mois 2–4)

Nous vous accompagnons dans la rédaction des documents obligatoires (PSSI, PCA, PRI, registre des incidents) et dans l’alignement de vos processus sur les exigences NIS2 et RGPD.

Étape 4 : Le pilotage continu (Ongoing)

La conformité n’est pas un état figé. C’est un processus permanent. Notre service de RSSI externalisé vous permet de bénéficier d’un expert dédié à votre sécurité, à temps partagé, pour maintenir votre niveau de conformité dans la durée.

Ce que NIS2 représente vraiment pour votre entreprise

Il serait tentant de voir NIS2 uniquement comme une contrainte réglementaire de plus. Nous vous proposons une autre lecture.

NIS2 est une opportunité.

Une opportunité de structurer votre approche cybersécurité, d’identifier vos vulnérabilités avant qu’un attaquant ne le fasse à votre place, de rassurer vos clients et partenaires sur votre sérieux, et de vous différencier dans des appels d’offres où la conformité devient un critère éliminatoire.

Les entreprises qui anticiperont NIS2 disposeront d’un avantage concurrentiel réel sur celles qui subiront les contrôles et les sanctions.

Questions fréquentes sur NIS2

Ma PME est en Afrique. Est-ce que NIS2 me concerne ? NIS2 est une directive européenne qui s’applique aux entités établies dans l’Union Européenne. Si votre siège ou vos activités principales sont hors UE, vous n’êtes pas directement soumis à NIS2. En revanche, si vous êtes sous-traitant ou fournisseur d’entreprises européennes, celles-ci pourront vous imposer contractuellement des exigences équivalentes.

Nous n’avons pas de service IT. Est-il possible d’être conforme ? Oui. C’est précisément pour cela que le service de RSSI externalisé existe. Glob’Agile Consulting peut assurer la fonction de pilotage de la sécurité de votre SI à temps partagé, sans que vous ayez besoin de recruter un profil spécialisé.

Combien de temps faut-il pour atteindre la conformité NIS2 ? En fonction de votre niveau de maturité de départ, la mise en conformité prend généralement entre 3 et 9 mois. Plus vous commencez tôt, moins l’effort sera important — et moins vous serez exposé aux sanctions.

L’ANSSI effectue-t-elle déjà des contrôles ? Oui. Depuis 2025, l’ANSSI mène des contrôles ciblés sur des entités essentielles. Les entités importantes entrent progressivement dans le champ des contrôles. L’absence d’enregistrement auprès de l’ANSSI (obligatoire pour les entités concernées) est elle-même sanctionnable.

Évaluez votre niveau de conformité NIS2 en 5 minutes

Répondez à notre questionnaire d’auto-évaluation NIS2 et obtenez immédiatement :

• ✅ Votre score de conformité sur 10 critères NIS2 clés
• ✅ Les 3 actions prioritaires à mener en urgence
• ✅ Une estimation de votre exposition aux sanctions

→ Faire mon auto-évaluation NIS2 gratuite

Prêt à engager votre mise en conformité ?

Nos experts sont disponibles pour un premier échange de 30 minutes, offert et sans engagement, pour analyser votre situation et vous orienter vers les premières actions concrètes.

→ Réserver mon appel avec un expert Glob’Agile

Cet article a été rédigé par Fabrice FOTHE, Consultant Sénior Cybersécurité chez Glob’Agile Consulting. Expert en gouvernance, risques et conformité (GRC), Fabrice accompagne les PME et les organisations de santé dans leur mise en conformité NIS2, RGPD et ISO 27001.

Sources : ANSSI — Rapport de l’état de la menace 2025 · Directive (UE) 2022/2555 (NIS2) · Loi n°2024-449 du 21 mai 2024.