CYBER EXPERT
Retour au blog
NIS2ConformitéPME

NIS2 pour dirigeants de PME : qui est concerné ?

Votre PME est-elle potentiellement concernée par NIS2 ? Où en est la transposition française ? Le décryptage visuel pour décider en 10 minutes.

Hakim Djelili8 min de lecture
NIS2ConformitéPME

NIS2 pour dirigeants de PME : qui est concerné ?

Cyber Expert · Le blog

NIS2 est la grande directive européenne de cybersécurité de la décennie. Beaucoup de dirigeants de PME pensent encore qu'elle ne les concernera pas. Mauvaise lecture du texte.

Le cadre

Qu'est-ce que NIS2, en une page

NIS2 (Network and Information Security 2) est la directive européenne 2022/2555. Elle remplace la première directive NIS de 2016, jugée trop étroite. Trois objectifs :

18

Secteurs couverts

Contre 7 dans NIS1

≈ 100 000

Entreprises concernées en UE

Dont des dizaines de milliers en France

2025

Transposition française

Projet de loi PRMD2412608L en cours d'adoption

En France, la transposition est portée par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, référencé PRMD2412608L. Le texte a été présenté en Conseil des ministres le 15 octobre 2024 et adopté en première lecture par le Sénat le 12 mars 2025. C'est l'ANSSI qui prépare la mise en œuvre opérationnelle de NIS2 et les futurs assujettis.

Suis-je concerné ?

La règle des deux portes

Pour savoir si NIS2 pourrait s'appliquer à votre PME, il faut franchir deux portes successives.

1Mon activité figure-t-elle dans l'un des 18 secteurs NIS2 ?

Oui

Je passe à la porte 2 (taille).

Non

Je suis hors périmètre, sauf désignation nominative par l'ANSSI.

2Mon entreprise a-t-elle au moins 50 salariés OU 10 M€ de CA ?

Oui

Je suis potentiellement dans le périmètre NIS2 (entité essentielle ou importante).

Non

Je suis hors périmètre, sauf exception sectorielle (DNS, services de confiance...).

Les deux catégories d'entités

Annexe I

Entités essentielles

  • Énergie, transports, banque
  • Santé, eau potable
  • Infrastructures numériques (cloud, datacenters, DNS)
  • MSP / MSSP (services TIC interentreprises)
  • Administration publique, espace

Annexe II

Entités importantes

  • Postes & expédition, gestion des déchets
  • Chimie, agroalimentaire
  • Fabrication (médical, électronique, automobile)
  • Fournisseurs numériques (places de marché, réseaux sociaux)
  • Recherche

Les seuils de taille à retenir

≥ 250

Salariés (entité essentielle)

ou 50 M€ CA et 43 M€ bilan

≥ 50

Salariés (entité importante)

ou 10 M€ CA et 10 M€ bilan

< 50

Hors périmètre

Sauf exception sectorielle

Quand

Le calendrier réel pour une PME française

  1. Octobre 2024

    Date butoir européenne de transposition

    La France a pris du retard.

  2. 15 octobre 2024

    Présentation du projet de loi

    Projet de loi PRMD2412608L présenté en Conseil des ministres.

  3. 12 mars 2025

    Adoption en première lecture par le Sénat

    Étape parlementaire importante, mais pas publication d'une loi définitive.

  4. 2026

    Préparation opérationnelle

    L'ANSSI met à disposition des ressources, dont MonEspaceNIS2 et le ReCyF en document de travail.

  5. Après adoption

    Textes d'application

    Décrets, référentiels et modalités de contrôle préciseront les obligations françaises.

  6. À anticiper

    Contrôles et sanctions

    Les plafonds prévus par la directive et repris par la transposition s'appliqueront selon le cadre final.

Que faire

Les 10 obligations minimales, traduites

La directive NIS2 prévoit des mesures techniques et organisationnelles. Voici une traduction opérationnelle utile pour une PME, à ajuster aux textes français définitifs :

  • Politique d'analyse des risques validée par la direction (mise à jour annuelle)
  • Procédure de gestion des incidents avec un point de contact 24/7
  • Plan de continuité d'activité : sauvegardes testées + plan de reprise
  • Évaluation cybersécurité de vos fournisseurs critiques (cloud, MSP)
  • Sécurité dans le développement et application des correctifs
  • Audits techniques ou tests d'intrusion réguliers
  • Sensibilisation annuelle de tous les collaborateurs
  • Politiques de chiffrement des données sensibles
  • MFA, moindre privilège, inventaire des actifs à jour
  • Communications sécurisées en gestion de crise

Sanctions

Ce que vous risquez vraiment

10 M€

Plafond directive : entité essentielle

Ou 2 % du CA mondial annuel, selon le plus élevé

7 M€

Plafond directive : entité importante

Ou 1,4 % du CA mondial annuel

420 000 €

Plafond pour une PME à 30 M€ CA

Catégorie entité importante

Au-delà de l'amende : le dirigeant en première ligne

  • Mesures de supervision renforcées selon la catégorie de l'entité
  • Mise en demeure de corriger les manquements constatés
  • Publication possible de certaines décisions selon le cadre final
  • Perte de marchés : les grands comptes et le secteur public demanderont davantage de preuves cyber

Plan d'action

Par où commencer si vous découvrez le sujet

L'urgence n'est pas de tout révolutionner. C'est de sécuriser les trois prochains trimestres dans cet ordre :

  1. Semaine 1

    Vérifier votre éligibilité noir sur blanc

    Code NAF, salariés, CA. Documenter la décision.

  2. Semaine 2

    Surveiller les ressources ANSSI

    MonEspaceNIS2, ReCyF et informations de transposition permettent d'anticiper le cadrage.

  3. Semaines 3 à 10

    Diagnostic d'écart

    Posture actuelle vs 10 mesures minimales. 6 à 8 semaines suffisent.

  4. Mois 3

    Feuille de route à 12 mois

    Priorisée par le risque, validée par la direction, traçable.

  5. Mois 4

    Former la direction

    Indispensable pour démontrer une gouvernance cyber active.

Si vous voulez un point précis sur votre situation, demandez un diagnostic NIS2 gratuit : 30 minutes pour clarifier votre catégorie, vos obligations et votre exposition.

Besoin d'un avis sur votre situation ?

Discutons-en 30 minutes, sans engagement

Un échange franc avec un consultant sénior pour cadrer vos priorités cybersécurité et clarifier vos obligations.

Prendre rendez-vous