NIS2 concerne en France entre 10 000 et 15 000 entités — dont des milliers de PME et ETI qui n'avaient jusqu'ici aucune obligation formelle en matière de cybersécurité. La directive européenne, transposée en droit français, distingue deux catégories d'entités assujetties selon leur taille et leur secteur d'activité. Si vous opérez dans un secteur dit "essentiel" ou "important", vous êtes probablement concerné, même avec moins de 250 salariés.
Êtes-vous concerné par NIS2 ? La grille de lecture 2026
- Vérifiez votre secteur d'activité : NIS2 couvre 18 secteurs, dont santé, énergie, transport, eau, infrastructure numérique, administrations publiques, services financiers, gestion des déchets, alimentation, et fabrication
- Vérifiez votre taille : les seuils distinguent les moyennes entreprises (50-249 salariés, CA 10-50 M€) et les grandes entreprises (250+ salariés, CA 50+ M€)
- Vérifiez votre criticité : même une petite structure peut être assujettie si elle est "prestataire essentiel" d'une entité critique
- Consultez l'ANSSI : l'Agence nationale de la sécurité des systèmes d'information publie la liste des secteurs et les seuils précis sur ssi.gouv.fr
- Enregistrez-vous : les entités assujetties doivent s'inscrire auprès de l'ANSSI dans les délais imposés par la loi de transposition française
Entités essentielles vs entités importantes : quelle différence ?
| Critère | Entité essentielle (EE) | Entité importante (EI) |
|---|---|---|
| Secteurs | Énergie, transports, banque, santé, eau, infrastructures numériques | Services postaux, gestion déchets, alimentation, fabrication, recherche |
| Supervision | Ex ante (proactive, audits réguliers) | Ex post (réactive, après incident) |
| Amendes max | 10 M€ ou 2% du CA mondial | 7 M€ ou 1,4% du CA mondial |
| Obligations | Identiques dans les deux cas | Identiques, supervision différente |
Les 6 obligations concrètes NIS2 pour les PME
- Politique de gestion des risques cyber : identifier, évaluer et traiter les risques liés à votre système d'information. Un document formalisé est exigé
- Sécurité de la chaîne d'approvisionnement : auditer les pratiques de cybersécurité de vos fournisseurs et sous-traitants critiques
- Gestion des incidents : mettre en place une procédure de détection, de gestion et de déclaration des incidents de sécurité significatifs
- Continuité d'activité : plan de reprise après sinistre (PRA) et sauvegardes testées régulièrement
- Authentification et contrôle d'accès : MFA (authentification multi-facteur) pour les accès critiques, gestion des privilèges
- Formation des collaborateurs : sensibilisation régulière aux risques cyber, notamment phishing et ingénierie sociale
Notification d'incident : les délais obligatoires
En cas d'incident de sécurité significatif, NIS2 impose des délais stricts de notification à l'ANSSI :
- Alerte initiale : 24 heures après détection de l'incident
- Rapport intermédiaire : 72 heures avec première évaluation de l'impact
- Rapport final : 1 mois avec analyse complète, mesures correctives et enseignements
Ces délais s'appliquent aux incidents qui perturbent significativement la fourniture de services. La notification hors délai peut entraîner des sanctions administratives.
Plan d'action NIS2 pour une PME : par où commencer ?
- Cartographier vos systèmes critiques : quels systèmes, données et processus sont indispensables à votre activité ?
- Réaliser un audit de maturité cyber : évaluer votre niveau actuel face aux exigences NIS2 (gap analysis)
- Prioriser les mesures à impact immédiat : MFA, mises à jour, sauvegardes testées, segmentation réseau
- Documenter vos politiques : politique de sécurité, procédure de gestion des incidents, plan de continuité
- Former vos équipes : une seule formation de sensibilisation annuelle ne suffit pas — prévoir des micro-formations régulières
- S'enregistrer auprès de l'ANSSI via le portail officiel dans les délais légaux
FAQ — NIS2 France 2026
Ma PME de 80 salariés dans la logistique est-elle concernée par NIS2 ?
Potentiellement oui, si vous opérez dans le secteur des transports (y compris logistique) au-dessus des seuils de taille définis. Une entreprise de 80 salariés avec un CA supérieur à 10 M€ dans un secteur important peut être qualifiée d'entité importante. Consultez l'outil de qualification de l'ANSSI sur ssi.gouv.fr pour une vérification précise.
Quelles sanctions en cas de non-conformité NIS2 ?
Pour les entités importantes : jusqu'à 7 M€ ou 1,4% du CA annuel mondial. Pour les entités essentielles : jusqu'à 10 M€ ou 2% du CA. Des amendes journalières d'astreinte peuvent s'ajouter en cas de non-respect des injonctions. Les dirigeants peuvent également être personnellement tenus responsables dans certains cas.
NIS2 s'applique-t-elle aux auto-entrepreneurs et microentreprises ?
Non. La directive exclut explicitement les micro-entreprises (moins de 10 salariés et CA inférieur à 2 M€). En revanche, si une micro-entreprise fournit des services critiques (ex : hébergement cloud pour des hôpitaux), elle peut être assujettie à titre dérogatoire.
