+(33)777852686

contact@linkway.fr

a
M

NIS2 pour les PME françaises : ce que vous devez faire concrètement avant 2027

Votre PME est peut-être dans le viseur de la directive NIS2 sans que vous le sachiez encore.

Contrairement à NIS1, qui ne concernait qu’environ 300 entités en France, NIS2 devrait s’appliquer à plus de 10 000 entités, dont une grande partie de PME et ETI. Si vous employez plus de 50 personnes ou réalisez plus de 10 millions d’euros de chiffre d’affaires dans l’un des 18 secteurs visés, vous êtes probablement concerné.

Et les conséquences d’une non-conformité ne sont pas anodines : les entités essentielles s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, et les dirigeants peuvent être tenus personnellement responsables des manquements.

Ce guide vous explique clairement qui est concerné, ce que vous devez faire concrètement, et comment vous préparer sans vous noyer dans la complexité réglementaire.

Qu’est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security 2), adoptée le 14 décembre 2022 et entrée en vigueur le 18 octobre 2024, abroge et remplace la première directive NIS adoptée en 2016. Elle vise à assurer un niveau élevé et commun de cybersécurité dans toute l’Union Européenne.

Le changement d’échelle est massif. Là où NIS1 ciblait une poignée d’opérateurs d’infrastructure critique, NIS2 couvre désormais environ 15 000 organisations françaises, avec un objectif résolument proactif : non plus seulement réagir efficacement aux cyberattaques, mais aussi anticiper les risques en consolidant en amont les dispositifs de protection.

Où en est la transposition en France ?

La France n’a pas respecté la date limite du 17 octobre 2024 pour transposer NIS2 en droit national. La Commission européenne a envoyé un avis motivé en mai 2025 pour pousser la France à accélérer. Le véhicule législatif choisi est le projet de loi Résilience, qui transpose simultanément NIS2, la directive REC et le règlement DORA.

L’ANSSI publie le 17 mars 2026 le référentiel ReCyF pour accélérer la mise en œuvre de la directive NIS2, et encourage désormais fortement les entités concernées à ne plus attendre la finalisation de la transposition nationale. Elle les exhorte à amorcer dès aujourd’hui leurs démarches de mise en conformité.

Ce que cela signifie pour vous : le délai ne doit pas être interprété comme un sursis. Vous avez jusqu’à fin 2027 pour être totalement conforme, mais les entreprises qui n’auront pas commencé seront dans une position critique à l’approche des contrôles.

Votre PME est-elle concernée ? Le test en 2 minutes

Critère 1 — La taille de votre entreprise

NIS2 s’applique aux entreprises remplissant l’un de ces seuils :

Catégorie Seuil effectif Seuil CA
Moyenne entreprise ≥ 50 salariés OU ≥ 10 M€ de CA
Grande entreprise ≥ 250 salariés OU ≥ 50 M€ de CA

Exemple : une entreprise de 60 salariés dans le secteur alimentaire dépasse le seuil minimal de 50 salariés et entre donc dans le périmètre NIS2, même si son CA est inférieur à 10 M€.

Critère 2 — Votre secteur d’activité

NIS2 distingue deux annexes :

Annexe I: Secteurs hautement critiques (Entités Essentielles)

Énergie, transport, banque, infrastructures financières, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, espace, administration publique.

Annexe II: Secteurs importants (Entités Importantes)

Services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques (moteurs de recherche, places de marché, réseaux sociaux).

Critère 3: Vos sous-traitants et fournisseurs

Même si votre PME ne répond pas directement aux critères ci-dessus, elle peut être indirectement concernée si elle est fournisseur ou prestataire d’une entité couverte par NIS2. La directive impose en effet la sécurisation de la chaîne d’approvisionnement.

Les deux catégories d’entités : quelle différence pour vous ?

L’article 21 de NIS2 impose le même socle de mesures de gestion des risques aux entités essentielles et importantes. La différence porte sur le mode de supervision, ex ante pour les essentielles, ex post pour les importantes, le plafond des sanctions et certains pouvoirs spécifiques de l’autorité.

 

Entité Essentielle Entité Importante
Supervision Proactive (audits réguliers) Réactive (sur incident)
Amende max 10 M€ ou 2 % CA mondial 7 M€ ou 1,4 % CA mondial
Responsabilité dirigeants Oui, y compris suspension Oui
Mesures article 21 Identiques Identiques

Les 10 obligations concrètes de l’article 21

C’est le cœur de NIS2. La directive impose 10 mesures minimales à toutes les entités concernées, avec notification des incidents à l’ANSSI sous 24 heures pour l’alerte initiale et 72 heures pour le rapport détaillé.

1. Analyse de risques et politique de sécurité

Documenter formellement vos risques cyber et établir une politique de sécurité approuvée au niveau de la direction. L’article 20 impose aux dirigeants une implication directe : ils doivent approuver les politiques de cybersécurité, s’assurer de leur bonne mise en œuvre et bénéficier eux-mêmes d’une formation adaptée.

Action concrète : Organiser un atelier de cartographie des risques avec votre DSI et direction générale. Formaliser le résultat dans un document approuvé en CODIR.

2. Plan de gestion des incidents

Définir des procédures claires : qui fait quoi en cas d’incident, comment qualifier un incident « majeur », quels sont les circuits de notification internes et vers l’ANSSI.

Action concrète : Rédiger un Incident Response Plan (IRP) et le tester via un exercice de simulation annuel.

3. Continuité d’activité — PCA et PRA

Mettre en place des sauvegardes régulières, un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA), et les tester en conditions réelles, pas seulement sur papier.

Action concrète : Tester la restauration réelle de vos sauvegardes au moins une fois par trimestre. Documenter les RTO (Recovery Time Objective) et RPO (Recovery Point Objective) de chaque système critique.

4. Sécurisation de la chaîne d’approvisionnement

Évaluer la maturité cyber de vos fournisseurs et sous-traitants clés. Intégrer des clauses contractuelles de sécurité dans vos appels d’offres.

Action concrète : Établir un questionnaire de sécurité fournisseur et l’intégrer à votre processus d’achat.

5. Sécurité dès la conception (Security by Design)

Intégrer la sécurité dans les projets IT dès leur conception, pas en bout de chaîne. Réaliser des tests de sécurité avant toute mise en production.

Action concrète : Intégrer une phase de revue de sécurité (threat modeling) dans votre pipeline DevOps.

6. Audits et évaluations de sécurité réguliers

Réaliser des tests d’intrusion, des audits de configuration et des revues de code régulières. Conserver les rapports pour démontrer la conformité.

Action concrète : Planifier un pentest annuel réalisé par un prestataire certifié PASSI (ANSSI).

7. Formation et sensibilisation continue

Former l’ensemble des collaborateurs aux bonnes pratiques cyber, pas seulement les équipes IT. Les entreprises doivent également désigner en interne des responsables de la conformité NIS2, par exemple un RSSI, chargés de piloter ces mesures.

Action concrète : Déployer une plateforme de sensibilisation avec simulations de phishing et modules e-learning trimestriels.

8. Chiffrement des données

Chiffrer les données sensibles au repos et en transit. Documenter la politique de chiffrement.

Action concrète : Auditer vos flux de données et activer le chiffrement TLS 1.2/1.3 sur toutes les communications, et le chiffrement AES-256 sur les stockages sensibles.

9. Contrôles d’accès et authentification multifacteur (MFA)

L’authentification multifacteur est une obligation de fait dans le cadre NIS2, notamment pour les accès aux systèmes critiques. Appliquer le principe du moindre privilège.

Action concrète : Activer le MFA sur tous les comptes administrateurs et accès distants. Sur Azure, déployer Microsoft Entra ID avec des politiques d’accès conditionnel.

10. Sécurité des ressources humaines

Gérer les habilitations en fonction des rôles, révoquer les accès immédiatement en cas de départ, et encadrer l’usage des équipements personnels (BYOD).

Action concrète : Mettre en place un processus d’offboarding IT systématique avec revue des accès à chaque départ.

Environment: prod / staging / dev
Project: nom_projet
Owner: equipe_responsable
CostCenter: BU ou département

Les délais de notification des incidents : ce que vous devez savoir

NIS2 impose des délais stricts de notification à l’ANSSI en cas d’incident significatif :

Délai Ce que vous devez faire
24 heures Alerte initiale à l’ANSSI : type d’incident, systèmes impactés, premières mesures prises
72 heures Rapport intermédiaire : évaluation détaillée, indicateurs de compromission, impact estimé
1 mois Rapport final : analyse complète, cause racine, mesures correctives mises en place

La notification se fait via le portail MonEspaceNIS2 de l’ANSSI (accessible sur messervices.cyber.gouv.fr), qui requiert une authentification FranceConnect Pro.

Un incident « significatif » est un incident qui :

  • Cause ou risque de causer une interruption grave de service
  • Affecte d’autres entités ou d’autres États membres
  • Implique une compromission de données à grande échelle

Les sanctions : ce que vous risquez concrètement

Les dirigeants peuvent désormais voir leur responsabilité personnelle engagée, y compris par des interdictions temporaires d’exercice ou des sanctions administratives spécifiques en cas de manquement grave.

Au-delà des amendes, l’ANSSI pourra émettre des avertissements publics et des instructions contraignantes. La réputation de votre entreprise est en jeu autant que votre trésorerie.

Les sanctions peuvent aller jusqu’à :

  • 10 millions d’euros ou 2 % du CA mondial pour une entité essentielle
  • 7 millions d’euros ou 1,4 % du CA mondial pour une entité importante
  • Suspension temporaire du dirigeant en cas de manquement grave et répété

Votre checklist NIS2 — PME : 12 actions à lancer maintenant

Voici les actions prioritaires à engager sans attendre la loi de transposition définitive :

Gouvernance (à faire en premier)

  • Identifier si votre entreprise entre dans le périmètre NIS2 (secteur + taille)
  • Désigner un responsable NIS2 interne (RSSI ou équivalent)
  • Pré-enregistrer votre entité sur le portail MonEspaceNIS2 de l’ANSSI
  • Faire approuver la politique de cybersécurité en CODIR

Techniques (dans les 3 mois)

  • Activer le MFA sur tous les comptes administrateurs et accès distants
  • Réaliser un inventaire complet des assets IT (matériels, logiciels, données)
  • Tester la restauration réelle de vos sauvegardes
  • Auditer vos configurations cloud (Azure Security Center / Defender for Cloud)

Processus (dans les 6 mois)

  • Rédiger et tester un plan de réponse aux incidents
  • Évaluer la sécurité de vos 5 principaux fournisseurs et sous-traitants
  • Former les dirigeants et collaborateurs à la cybersécurité
  • Planifier un audit de sécurité ou pentest par un prestataire certifié PASSI

NIS2 et Microsoft Azure : les outils déjà disponibles

Si votre infrastructure repose sur Azure, vous disposez déjà d’une base solide pour répondre aux exigences NIS2 :

Microsoft Defender for Cloud:

Évaluation continue de votre posture de sécurité, recommandations priorisées, détection des menaces en temps réel.

Microsoft Entra ID (ex Azure AD) + Accès Conditionnel:

MFA natif, politiques d’accès basées sur le risque, gestion des identités privilégiées (PIM).

Microsoft Sentinel:

SIEM cloud-native pour la détection, l’investigation et la réponse aux incidents. Journalisation centralisée pour les obligations de traçabilité NIS2.

Azure Backup & Azure Site Recovery:

Sauvegardes automatisées et plan de reprise d’activité cloud pour répondre aux exigences de continuité.

Microsoft Purview:

Gouvernance des données, classification, protection des informations sensibles.

En tant que partenaire Microsoft CSP certifié, Linkway vous accompagne dans l’activation et la configuration de ces outils dans le cadre de votre mise en conformité NIS2.

Plan d’action NIS2 : les 3 phases pour une PME

Phase 1 — Évaluation (Mois 1-2)

  • Déterminer votre catégorie (Essentielle / Importante)
  • Réaliser un gap analysis par rapport aux 10 mesures de l’article 21
  • Identifier les actions prioritaires et chiffrer l’effort

Phase 2 — Mise en conformité (Mois 3-12)

  • Déployer les mesures techniques (MFA, chiffrement, monitoring)
  • Mettre en place les processus (IRP, PCA/PRA, sensibilisation)
  • Contractualiser les obligations avec vos fournisseurs clés

Phase 3 — Maintien en condition (Continu)

  • Audits réguliers et tests de pénétration annuels
  • Revue périodique de la politique de sécurité
  • Mise à jour en fonction de l’évolution de la menace et de la réglementation

Linkway vous accompagne dans votre conformité NIS2

En tant que partenaire Microsoft CSP certifié et expert en sécurité cloud pour les PME françaises, Linkway vous propose :

  • Un audit NIS2 initial pour évaluer votre niveau de maturité par rapport aux 10 mesures de l’article 21
  • Un plan de mise en conformité priorisé adapté à votre taille et votre secteur
  • Le déploiement des outils Microsoft (Defender for Cloud, Sentinel, Entra ID) dans votre environnement Azure
  • Un accompagnement continu pour maintenir votre conformité dans la durée

👉 Contactez nos experts pour un audit NIS2 gratuit

Devis gratuit

FAQ — NIS2 pour les PME françaises

Mon entreprise a 45 salariés et 12 M€ de CA dans le secteur alimentaire : suis-je concernée ?

Oui. Les seuils sont alternatifs (OU, pas ET). Avec 12 M€ de CA, vous dépassez le seuil des 10 M€ et êtes dans le périmètre NIS2, même si vous n’atteignez pas 50 salariés. Le secteur alimentaire figure en Annexe II.

La loi de transposition française n'est pas encore adoptée : dois-je agir maintenant ?
Oui. L’ANSSI l’indique clairement : n’attendez pas. Le portail MonEspaceNIS2 est déjà opérationnel pour l’enregistrement, et les mesures de l’article 21 constituent un socle de bonnes pratiques indépendant de la transposition nationale.
Quelles sont les premières actions à réaliser cette semaine ?
Trois actions immédiates : (1) vérifier si votre secteur et votre taille vous placent dans le périmètre, (2) désigner un référent NIS2 en interne, (3) se pré-enregistrer sur le portail ANSSI. C’est gratuit et sans engagement.
Un partenaire IT peut-il m'aider à me mettre en conformité ?
Oui, et c’est souvent la voie la plus efficace pour une PME sans RSSI dédié. Un prestataire spécialisé peut réaliser le gap analysis, prioriser les actions et vous accompagner dans le déploiement des mesures techniques, notamment si votre infrastructure est sur Azure.
NIS2 remplace-t-elle le RGPD ?
Non, les deux coexistent. NIS2 se concentre sur la sécurité des systèmes d’information et la résilience opérationnelle, tandis que le RGPD porte sur la protection des données personnelles. Les deux réglementations se complètent et peuvent s’appliquer simultanément à la même entreprise.
Que risque concrètement mon directeur général en cas de non-conformité ?
En cas de manquement grave et répété, le dirigeant peut faire l’objet d’une interdiction temporaire d’exercer ses fonctions de direction. C’est l’une des grandes nouveautés de NIS2 par rapport à NIS1 : la responsabilité personnelle n’est plus théorique.

Conclusion : la conformité NIS2, un investissement, pas une contrainte

NIS2 n’est pas qu’une obligation réglementaire à cocher. C’est l’opportunité pour les PME françaises de structurer une posture de sécurité qui les protège réellement, contre les ransomwares, les attaques sur la chaîne d’approvisionnement, et les risques de réputation.

En 2025, plus de 40 % des entreprises déclarent avoir subi au moins une cyberattaque significative. Le vrai risque pour une PME n’est pas l’amende NIS2, c’est l’incident cyber qui arrête l’activité pendant des semaines.

Commencer maintenant, c’est avancer à votre rythme. Attendre 2027, c’est courir vers une mise en conformité dans l’urgence, avec les coûts et erreurs que cela implique.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *