Conformité NIS2 : guide pratique pour les PME — mesures techniques et hardening

NIS2 : ce que la directive change pour les PME françaises

La directive européenne NIS2 (UE 2022/2555), adoptée en décembre 2022, élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. L'ANSSI estime qu'entre 10 000 et 15 000 entités françaises sont désormais concernées (contre quelques centaines sous NIS1), réparties en 18 secteurs : industrie, santé, transport, énergie, services numériques, administration publique, agro-alimentaire, et bien d'autres.

En France, la transposition passe par la Loi Résilience, adoptée au Sénat en mars 2025 puis en commission à l'Assemblée nationale en septembre 2025. La promulgation définitive est attendue début 2026. Les entreprises concernées disposeront ensuite d'un délai de 3 ans pour se mettre en conformité. Mais attendre serait une erreur stratégique : les cyber-assureurs exigent déjà des mesures concrètes, et les contrôles de l'ANSSI seront rétroactifs sur les incidents survenus après l'entrée en vigueur.

Sources : ANSSI — Commission européenne — Wavestone (NIS2 Transposition Tracker, janvier 2026)

Qui est concerné par NIS2 ?

NIS2 crée deux catégories : les entités essentielles (EE) et les entités importantes (EI). Le classement dépend du secteur d'activité et de la taille de l'organisation. Les PME de plus de 50 salariés ou 10 millions d'euros de CA dans les 18 secteurs couverts sont potentiellement concernées. Certaines entités peuvent être désignées quelle que soit leur taille si elles sont « fournisseur unique » dans leur région. L'ANSSI propose un simulateur indicatif sur MonEspaceNIS2 pour vérifier son éligibilité.

Les sanctions NIS2 : un risque réel pour les dirigeants

Les sanctions sont significatives et personnelles. Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA mondial. Innovation majeure : les dirigeants peuvent être tenus personnellement responsables et frappés d'interdiction temporaire d'exercer des fonctions de direction en cas de manquement. Les audits de l'ANSSI seront à la charge financière des entités contrôlées.

Sources : Directive UE 2022/2555 — Projet de Loi Résilience (France)

Les mesures techniques exigées par NIS2

La directive impose la mise en œuvre de mesures techniques « adaptées et proportionnées » pour gérer les risques. Concrètement, l'article 21 de la directive couvre : la gestion des risques et l'analyse des menaces, le traitement des incidents et la notification obligatoire (alerte initiale sous 24h, rapport intermédiaire sous 72h), la continuité d'activité et la gestion de crise, la sécurité de la chaîne d'approvisionnement, le durcissement des systèmes et la gestion des vulnérabilités, les politiques de contrôle d'accès et de chiffrement.

Le hardening : la mesure technique la plus directe pour la conformité NIS2

Parmi toutes les mesures techniques demandées, le hardening des postes et serveurs est celle qui offre le meilleur ratio conformité/effort. Le durcissement des configurations selon les référentiels CIS Benchmark ou les recommandations ANSSI produit une preuve tangible et auditable. Le rapport de conformité CIS-CAT constitue un livrable directement exploitable lors d'un contrôle.

Le hardening répond simultanément à plusieurs exigences NIS2 : réduction de la surface d'attaque (gestion des vulnérabilités), contrôle d'accès (LAPS, restriction des comptes privilégiés), journalisation (audit avancé), chiffrement (BitLocker). C'est une mesure transversale qui coche plusieurs cases du référentiel en une seule prestation. Et rappelons que, selon le rapport Semperis 2024, Active Directory est ciblé dans 9 attaques de ransomware sur 10, ce qui place le durcissement des identités au cœur de la conformité.

Source : Semperis, 2024 Ransomware Risk Report

Découvrez nos solutions de protection de postes de travail et appareils mobiles →

Plan de mise en conformité NIS2 en 5 étapes pour une PME

Étape 1 : Évaluer si votre entreprise est concernée

Utilisez le simulateur MonEspaceNIS2 de l'ANSSI. En cas de doute, considérez-vous concerné : il vaut mieux être conforme sans obligation que non-conforme avec obligation. Orange Cyberdefense rappelle qu'une cyberattaque coûte en moyenne 466 000 euros à une PME française, ce qui relativise le coût de la mise en conformité.

Source : Orange Cyberdefense

Étape 2 : Réaliser un audit de sécurité informatique

L'audit établit l'état des lieux de votre posture de sécurité et identifie les écarts par rapport aux exigences NIS2. C'est la base indispensable de votre plan d'actions.

Retrouvez notre article "audit de sécurité informatique : méthode complète"

Étape 3 : Durcir les postes et les serveurs (hardening)

Déployer les configurations de sécurité CIS Level 1 ou recommandations ANSSI sur l'ensemble du parc. Cette étape produit immédiatement des preuves de conformité et réduit concrètement le risque. Le rapport CIS-CAT « avant/après » constitue un livrable auditable.

Étape 4 : Déployer la détection et la réponse (EDR/SOC)

NIS2 exige la capacité de détecter et de réagir aux incidents, avec des délais de notification stricts. Un EDR managé ou un SOC externalisé répond à cette exigence sans nécessiter de ressources internes dédiées. Selon IBM, les organisations utilisant l'IA et l'automatisation dans leur sécurité réduisent le cycle de vie des violations de 80 jours en moyenne.

Source : IBM Cost of a Data Breach Report 2025

Étape 5 : Documenter, former et maintenir

La conformité NIS2 est un processus continu. Documentation des politiques, formation des dirigeants (obligation légale), formation des collaborateurs, revues périodiques et plans de réponse à incident doivent être maintenus dans le temps. NIS2 reconnaît que 90 % des cyberattaques réussies exploitent l'erreur humaine, d'où l'importance de la sensibilisation continue.

‍

FAQ -Conformité NIS2 : guide pratique PME

‍

Qu'est-ce que la directive NIS2 ?

NIS2 (UE 2022/2555) est une directive europeenne adoptee en decembre 2022 qui renforce les obligations de cybersecurite pour les entreprises. Elle elargit le perimetre a 18 secteurs et concerne entre 10 000 et 15 000 entites en France. En France, la transposition passe par la Loi Resilience, avec une promulgation attendue debut 2026.

Ma PME est-elle concernee par NIS2 ?

Les PME de plus de 50 salaries ou 10 millions d'euros de chiffre d'affaires dans l'un des 18 secteurs couverts (industrie, sante, transport, energie, services numeriques, etc.) sont potentiellement concernees. Certaines entites peuvent etre designees quelle que soit leur taille. L'ANSSI propose un simulateur indicatif sur MonEspaceNIS2.

Quelles sont les sanctions NIS2 pour les dirigeants ?

Pour les entites essentielles : jusqu'a 10 millions d'euros ou 2 % du CA mondial. Pour les entites importantes : jusqu'a 7 millions d'euros ou 1,4 % du CA mondial. Les dirigeants peuvent etre tenus personnellement responsables et frappes d'interdiction temporaire d'exercer des fonctions de direction.

Quel est le delai pour se mettre en conformite NIS2 ?

Les entreprises concernees disposeront d'un delai de 3 ans apres l'entree en vigueur de la loi nationale. Mais attendre serait une erreur strategique : les cyber-assureurs exigent deja des mesures concretes, et les controles de l'ANSSI seront retroactifs sur les incidents survenus apres l'entree en vigueur.

Par ou commencer la mise en conformite NIS2 pour une PME ?

Cinq etapes : verifier votre eligibilite sur MonEspaceNIS2, realiser un audit de securite informatique pour identifier les ecarts, durcir les postes et serveurs (hardening CIS Benchmark), deployer un EDR ou SOC pour la detection et la reponse aux incidents, puis documenter et former en continu. Le hardening est la mesure qui offre le meilleur ratio conformite/effort.

‍