NIS2 : ce qui change vraiment pour les PME en 2026

Depuis janvier 2026, la directive NIS2 est transposée en droit français. Contrairement à NIS1 qui ne concernait qu'une poignée d'opérateurs critiques, NIS2 élargit considérablement son périmètre — et probablement à vous.

Qui est concerné ?

NIS2 distingue deux catégories d'entités :

• Entités essentielles : énergie, transport, santé, eau, infrastructure numérique, administration. Soumises aux contrôles les plus stricts.
• Entités importantes : services postaux, gestion des déchets, fabrication, distribution alimentaire, chimie, fournisseurs numériques. Contrôles a posteriori.

Le seuil d'application : 50 salariés et 10 M€ de CA pour les entités importantes. En dessous, vous pouvez rester hors périmètre — sauf si vous êtes fournisseur d'une entité essentielle (notion de chaîne d'approvisionnement, Article 21.2.d).

Les 10 obligations concrètes (Article 21)

NIS2 impose un socle minimum de mesures de gestion des risques cyber :

1. Politique de sécurité des systèmes d'information — documentée, approuvée par la direction
2. Gestion des incidents — détection, notification ANSSI sous 24h (rapport préliminaire), rapport final sous 72h
3. Continuité d'activité et sauvegardes — PCA/PRA testés, sauvegardes chiffrées hors site
4. Sécurité de la chaîne d'approvisionnement — évaluation des risques fournisseurs IT
5. Sécurité dans les développements — gestion des vulnérabilités, tests de sécurité
6. Évaluation de l'efficacité des mesures — audits réguliers, indicateurs de suivi
7. Hygiène cyber et formation — sensibilisation obligatoire de tous les collaborateurs
8. Cryptographie et chiffrement — chiffrement des données sensibles au repos et en transit
9. Sécurité des ressources humaines — contrôles à l'embauche, gestion des accès, offboarding
10. Authentification multifacteur (MFA) — obligatoire pour tous les accès critiques

Les sanctions

C'est là que NIS2 marque une rupture avec NIS1. Les sanctions administratives peuvent atteindre :

• Entités essentielles : 10 M€ ou 2% du CA mondial (le plus élevé des deux)
• Entités importantes : 7 M€ ou 1,4% du CA mondial

Et surtout : la directive prévoit explicitement la responsabilité personnelle des dirigeants — y compris pour les membres du conseil d'administration.

Par où commencer : 3 étapes

1. Déterminer si vous êtes dans le périmètre — secteur d'activité, taille, rôle dans la chaîne d'approvisionnement. Un diagnostic de 30 min suffit souvent.

2. Faire une gap analysis — évaluer votre niveau actuel sur les 10 obligations. L'ANSSI a publié un guide de mise en œuvre. Comptez 2 à 5 jours de travail selon votre documentation existante.

3. Prioriser les quick wins — MFA, sauvegardes chiffrées, politique de gestion des incidents. Ces trois mesures couvrent les risques les plus critiques et peuvent être déployées en 30 à 90 jours.