.svg)
NIS2 : ce que la directive change pour les PME françaises
La directive européenne NIS2 (UE 2022/2555), adoptée en décembre 2022, élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. L'ANSSI estime qu'entre 10 000 et 15 000 entités françaises sont désormais concernées (contre quelques centaines sous NIS1), réparties en 18 secteurs : industrie, santé, transport, énergie, services numériques, administration publique, agro-alimentaire, et bien d'autres.
En France, la transposition passe par la Loi Résilience, adoptée au Sénat en mars 2025 puis en commission à l'Assemblée nationale en septembre 2025. La promulgation définitive est attendue début 2026. Les entreprises concernées disposeront ensuite d'un délai de 3 ans pour se mettre en conformité. Mais attendre serait une erreur stratégique : les cyber-assureurs exigent déjà des mesures concrètes, et les contrôles de l'ANSSI seront rétroactifs sur les incidents survenus après l'entrée en vigueur.
Sources : ANSSI — Commission européenne — Wavestone (NIS2 Transposition Tracker, janvier 2026)
Ce guide vous accompagne étape par étape dans votre mise en conformité NIS2 : qui est concerné, quelles mesures techniques déployer (hardening, EDR, audit), quelles sont les sanctions et quel est le calendrier en France.
Qui est concerné par NIS2 ?
NIS2 crée deux catégories : les entités essentielles (EE) et les entités importantes (EI). Le classement dépend du secteur d'activité et de la taille de l'organisation. Les PME de plus de 50 salariés ou 10 millions d'euros de CA dans les 18 secteurs couverts sont potentiellement concernées. Certaines entités peuvent être désignées quelle que soit leur taille si elles sont « fournisseur unique » dans leur région. L'ANSSI propose un simulateur indicatif sur MonEspaceNIS2 pour vérifier son éligibilité.
Les sanctions NIS2 : un risque réel pour les dirigeants
Les sanctions sont significatives et personnelles. Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA mondial. Innovation majeure : les dirigeants peuvent être tenus personnellement responsables et frappés d'interdiction temporaire d'exercer des fonctions de direction en cas de manquement. Les audits de l'ANSSI seront à la charge financière des entités contrôlées.
Sources : Directive UE 2022/2555 — Projet de Loi Résilience (France)
Les mesures techniques exigées par NIS2
La directive impose la mise en œuvre de mesures techniques « adaptées et proportionnées » pour gérer les risques. Concrètement, l'article 21 de la directive couvre : la gestion des risques et l'analyse des menaces, le traitement des incidents et la notification obligatoire (alerte initiale sous 24h, rapport intermédiaire sous 72h), la continuité d'activité et la gestion de crise, la sécurité de la chaîne d'approvisionnement, le durcissement des systèmes et la gestion des vulnérabilités, les politiques de contrôle d'accès et de chiffrement.
Le hardening : la mesure technique la plus directe pour la conformité NIS2
Parmi toutes les mesures techniques demandées, le hardening des postes et serveurs est celle qui offre le meilleur ratio conformité/effort. Le durcissement des configurations selon les référentiels CIS Benchmark ou les recommandations ANSSI produit une preuve tangible et auditable. Le rapport de conformité CIS-CAT constitue un livrable directement exploitable lors d'un contrôle.
Le hardening répond simultanément à plusieurs exigences NIS2 : réduction de la surface d'attaque (gestion des vulnérabilités), contrôle d'accès (LAPS, restriction des comptes privilégiés), journalisation (audit avancé), chiffrement (BitLocker). C'est une mesure transversale qui coche plusieurs cases du référentiel en une seule prestation. Et rappelons que, selon le rapport Semperis 2024, Active Directory est ciblé dans 9 attaques de ransomware sur 10, ce qui place le durcissement des identités au cœur de la conformité.
Source : Semperis, 2024 Ransomware Risk Report
Découvrez nos solutions de protection de postes de travail et appareils mobiles →
Plan de mise en conformité NIS2 en 5 étapes pour une PME
Étape 1 : Évaluer si votre entreprise est concernée
Utilisez le simulateur MonEspaceNIS2 de l'ANSSI. En cas de doute, considérez-vous concerné : il vaut mieux être conforme sans obligation que non-conforme avec obligation. Orange Cyberdefense rappelle qu'une cyberattaque coûte en moyenne 466 000 euros à une PME française, ce qui relativise le coût de la mise en conformité.
Source : Orange Cyberdefense
Étape 2 : Réaliser un audit de sécurité informatique
L'audit établit l'état des lieux de votre posture de sécurité et identifie les écarts par rapport aux exigences NIS2. C'est la base indispensable de votre plan d'actions.
Retrouvez notre article "audit de sécurité informatique : méthode complète"
Étape 3 : Durcir les postes et les serveurs (hardening)
Déployer les configurations de sécurité CIS Level 1 ou recommandations ANSSI sur l'ensemble du parc. Cette étape produit immédiatement des preuves de conformité et réduit concrètement le risque. Le rapport CIS-CAT « avant/après » constitue un livrable auditable.
Étape 4 : Déployer la détection et la réponse (EDR/SOC)
NIS2 exige la capacité de détecter et de réagir aux incidents, avec des délais de notification stricts. Un EDR managé ou un SOC externalisé répond à cette exigence sans nécessiter de ressources internes dédiées. Selon IBM, les organisations utilisant l'IA et l'automatisation dans leur sécurité réduisent le cycle de vie des violations de 80 jours en moyenne.
Source : IBM Cost of a Data Breach Report 2025
Étape 5 : Documenter, former et maintenir
La conformité NIS2 est un processus continu. Documentation des politiques, formation des dirigeants (obligation légale), formation des collaborateurs, revues périodiques et plans de réponse à incident doivent être maintenus dans le temps. NIS2 reconnaît que 90 % des cyberattaques réussies exploitent l'erreur humaine, d'où l'importance de la sensibilisation continue.
FAQ -Conformité NIS2 : guide pratique PME
Qu'est-ce que la directive NIS2 ?
NIS2 (UE 2022/2555) est une directive européenne adoptée en décembre 2022 qui renforce les obligations de cybersécurite pour les entreprises. Elle élargit le périmètre à 18 secteurs et concerne entre 10 000 et 15 000 entités en France. En France, la transposition passe par la Loi Resilience, avec une promulgation attendue début 2026.
Ma PME est-elle concernée par NIS2 ?
Les PME de plus de 50 salaries ou 10 millions d'euros de chiffre d'affaires dans l'un des 18 secteurs couverts (industrie, sante, transport, energie, services numeriques, etc.) sont potentiellement concernees. Certaines entites peuvent etre designees quelle que soit leur taille. L'ANSSI propose un simulateur indicatif sur MonEspaceNIS2.
Quelles sont les sanctions NIS2 pour les dirigeants ?
Pour les entités essentielles : jusqu'a 10 millions d'euros ou 2 % du CA mondial. Pour les entités importantes : jusqu'a 7 millions d'euros ou 1,4 % du CA mondial. Les dirigeants peuvent être tenus personnellement responsables et frappes d'interdiction temporaire d'exercer des fonctions de direction.
Quel est le délai pour se mettre en conformité NIS2 ?
Les entreprises concernées disposeront d'un délai de 3 ans après l'entrée en vigueur de la loi nationale. Mais attendre serait une erreur stratégique : les cyber-assureurs exigent déjà des mesures concrètes, et les contrôles de l'ANSSI seront rétroactifs sur les incidents survenus après l'entrée en vigueur.
Par où commencer la mise en conformité NIS2 pour une PME
Cinq étapes : vérifier votre éligibilité sur MonEspaceNIS2, réaliser un audit de sécurité informatique pour identifier les écarts, durcir les postes et serveurs (hardening CIS Benchmark), déployer un EDR ou SOC pour la détection et la réponse aux incidents, puis documenter et former en continu. Le hardening est la mesure qui offre le meilleur ratio conformité/effort.
.svg)