En France, une cyberattaque coûte en moyenne plusieurs centaines de milliers d’euros à une PME. Et selon le baromètre 2025 de Cybermalveillance.gouv.fr, près de 6 TPE-PME sur 10 reconnaissent qu’elles ne sauraient pas évaluer les conséquences d’un tel incident. Face à cette réalité, l’Union européenne a durci le cadre réglementaire avec la directive NIS2 (Network and Information Security 2).

Ce texte ne concerne plus seulement les grands groupes et les infrastructures critiques. Il s’étend désormais à des milliers de PME et ETI françaises, y compris celles qui interviennent comme sous-traitants ou fournisseurs dans des secteurs sensibles. Pour les dirigeants de TPE et PME, comprendre ces nouvelles obligations et s’y préparer concrètement n’est plus une option. C’est un enjeu de conformité, de résilience et de crédibilité commerciale.

Dans cet article nous faisons le point sur ce que NIS2 change pour votre entreprise auboise, les obligations à respecter, les sanctions encourues et les étapes concrètes pour structurer votre mise en conformité.

NIS2 : ce que la directive change pour les PME en France

De NIS1 à NIS2 : un périmètre considérablement élargi

La première directive NIS, adoptée en 2016, ne s’appliquait en France qu’à environ 500 opérateurs de services essentiels répartis dans 6 secteurs d’activité. NIS2 change complètement d’échelle. Le nouveau texte concerne désormais entre 15 000 et 18 000 entités françaises, réparties dans 18 secteurs : énergie, transports, santé, services numériques, agroalimentaire, gestion des déchets, industrie manufacturière, recherche, et bien d’autres.

Les entreprises régulées sont classées en deux catégories : les entités essentielles (EE), soumises aux obligations les plus strictes, et les entités importantes (EI), avec des exigences proportionnées mais tout aussi contraignantes. Le critère de classement repose sur le secteur d’activité, la taille de l’entreprise et son chiffre d’affaires.

Votre entreprise est-elle concernée par NIS2 ?

Concrètement, une entreprise entre dans le périmètre de NIS2 si elle remplit ces 2 conditions :

  • opérer dans l’un des 18 secteurs identifiés
  • dépasser le seuil de 50 salariés ou 10 millions d’euros de chiffre d’affaires.

Mais le critère de taille n’est pas le seul. Une PME de moins de 50 salariés peut être concernée si elle fournit des services à une entité régulée. C’est le principe de la sécurité de la chaîne d’approvisionnement : si vous êtes sous-traitant informatique, hébergeur, prestataire cloud ou fournisseur de services numériques pour un client soumis à NIS2, vous serez indirectement tenu de respecter des exigences de sécurité équivalentes.

Pour vérifier votre situation, l’ANSSI met à disposition le portail MonEspaceNIS2, un outil d’auto-évaluation en ligne. Si votre entreprise fait appel à un prestataire d’infogérance informatique, c’est également un bon point de départ pour cartographier votre exposition.

Les obligations concrètes imposées par NIS2

Gestion des risques et mesures de sécurité

L’article 21 de la directive définit un socle de mesures que toutes les entités concernées doivent mettre en œuvre. Il ne s’agit pas de recommandations : ce sont des obligations légales.

Parmi les exigences principales, on retrouve :

  • l’analyse de risques appliquée à l’ensemble du système d’information
  • la mise en place de l’authentification multifacteur (MFA) sur les accès critiques
  • le chiffrement des données sensibles
  • la journalisation des événements de sécurité et la gestion rigoureuse des droits d’accès.

Ces mesures doivent être proportionnées à la taille et au niveau de risque de l’entreprise. Pour une PME, cela passe souvent par des fondamentaux : des solutions de sauvegarde et de sécurité fiables, un pare-feu correctement configuré et des mises à jour régulières de l’ensemble du parc.

Notification des incidents : un calendrier serré

NIS2 impose un processus de déclaration strict en cas d’incident significatif. Les entités concernées doivent émettre une alerte initiale auprès de l’ANSSI (ou du CSIRT compétent) dans un délai de 24 heures après avoir pris connaissance de l’incident. Une notification complète doit suivre dans les 72 heures, avec une analyse détaillée des causes, de l’impact et des mesures correctives engagées.

Pour une PME qui ne dispose pas d’un SOC interne, ce délai de réaction suppose d’avoir anticipé : procédures de détection, chaîne d’alerte définie, et contacts identifiés pour la notification. Attendre l’incident pour s’organiser, c’est déjà trop tard.

Responsabilité directe des dirigeants

C’est l’un des changements majeurs de NIS2 par rapport au cadre précédent. L’article 20 de la directive impose que les organes de direction soient activement impliqués dans la gestion des risques cyber. Concrètement, les dirigeants doivent superviser la mise en œuvre des mesures de sécurité, valider les budgets associés et suivre une formation en cybersécurité.

Leur responsabilité personnelle peut être engagée en cas de manquement grave. Les sanctions peuvent aller jusqu’à l’interdiction temporaire d’exercer des fonctions de direction. La cybersécurité n’est plus un sujet que l’on délègue uniquement au prestataire IT ou au DSI : elle devient un enjeu de gouvernance.

Quelles sanctions en cas de non-conformité NIS2 ?

Des amendes significatives

Le régime de sanctions prévu par NIS2 est conçu pour être dissuasif :

Au-delà des amendes, l’ANSSI pourra imposer des audits obligatoires, des ordres de mise en conformité et la publication des manquements. Cette dimension « réputationnelle » est souvent sous-estimée, mais dans un contexte B2B où la confiance est un critère de sélection, une non-conformité rendue publique peut peser lourd. Très lourd.

Calendrier NIS2 en France : où en est-on début 2026 ?

La transposition française en cours de finalisation

La France accuse un retard dans la transposition de NIS2. Le texte européen fixait la date limite au 17 octobre 2024. Le projet de loi français « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » a été adopté par le Sénat en mars 2025, puis examiné en commission spéciale à l’Assemblée nationale en septembre 2025. La promulgation définitive est attendue au premier trimestre 2026, suivie de la publication des décrets techniques par l’ANSSI au deuxième trimestre.

Une fois la loi promulguée, les entreprises régulées disposeront de 3 ans pour se mettre en conformité. Cela place l’échéance effective aux alentours de 2028-2029. Mais l’ANSSI recommande de ne pas attendre : la menace cyber est déjà très présente, et les entreprises qui anticipent seront mieux positionnées face à leurs clients et partenaires.

5 étapes pour préparer votre PME à la conformité NIS2

Par où commencer quand on est une petite structure ?

La première action concrète est de vérifier si votre entreprise entre dans le périmètre de la directive. L’outil MonEspaceNIS2 de l’ANSSI permet de réaliser cette auto-évaluation en quelques minutes. Si vous êtes concerné (directement ou via la chaîne d’approvisionnement) la démarche de mise en conformité se structure en 5 étapes progressives.

Cartographier vos actifs et évaluer vos risques

Avant de déployer des mesures techniques, il faut savoir ce que vous protégez. Identifiez vos actifs critiques : serveurs, données clients, applications métier, accès distants… Évaluez les risques associés : quels sont les scénarios d’attaque les plus probables ? Quels seraient les impacts sur votre activité ? Cette cartographie constitue la base de toute stratégie de conformité. Des solutions logicielles adaptées aux PME facilitent cette étape en centralisant la gestion de vos ressources IT.

Sécuriser les fondamentaux : MFA, sauvegardes, pare-feu

Inutile de viser la perfection dès le premier jour. Concentrez-vous sur les mesures à fort impact et à déploiement rapide : activer l’authentification multifacteur sur tous les accès sensibles, mettre en place une stratégie de sauvegarde externalisée (règle 3-2-1), vérifier la configuration de votre pare-feu et appliquer systématiquement les correctifs de sécurité.

Ces fondamentaux couvrent une grande partie des exigences NIS2 et réduisent significativement votre surface d’attaque.

Former vos équipes et impliquer la direction

Le baromètre 2025 de Cybermalveillance.gouv.fr révèle que 43 % des TPE-PME victimes d’une attaque identifient le phishing comme cause principale. La sensibilisation des collaborateurs reste le levier le plus efficace et le moins coûteux. Campagnes de simulation de phishing, sessions courtes sur les bonnes pratiques, politique de mots de passe : chaque action compte.

NIS2 impose également que les dirigeants suivent une formation en cybersécurité. Ce n’est pas un détail administratif : c’est une obligation légale dont le non-respect engage leur responsabilité personnelle.

Structurer votre gouvernance et documenter

La conformité NIS2 ne se résume pas à installer des outils. Elle exige une gouvernance documentée : politique de sécurité des systèmes d’information (PSSI), plan de continuité d’activité (PCA), plan de reprise d’activité (PRA), procédures de gestion des incidents et clauses de cybersécurité dans les contrats fournisseurs.

Documentez chaque action. En cas de contrôle, c’est la capacité à démontrer une démarche structurée qui sera évaluée, pas la perfection technique. Un prestataire informatique de proximité comme NEOXO peut vous accompagner dans cette structuration sans mobiliser de ressources internes lourdes.

Vous l’avez compris, la directive NIS2 marque un tournant dans la cybersécurité des PME françaises. Elle impose des obligations structurantes, mais elle offre aussi l’opportunité de renforcer durablement la résilience de votre entreprise et la confiance de vos partenaires.

L’essentiel est de ne pas attendre la contrainte pour agir. Vérifiez votre éligibilité, lancez un diagnostic de maturité et structurez votre plan d’action. Chez NEOXO, nous accompagnons les PME de l’Aube dans leur mise en conformité cybersécurité, de l’audit initial au déploiement des solutions. Contactez notre équipe pour un premier échange sans engagement.