CYBER EXPERT
Retour au blog
NIS2ConformitéPME

NIS2 expliquée aux dirigeants de PME : qui est concerné, quand, sanctions

Votre PME est-elle concernée par NIS2 ? Quand s'applique-t-elle ? Quels risques en cas d'inaction ? Le décryptage visuel pour décider en 10 minutes.

Hakim Djelili8 min de lecture
NIS2ConformitéPME

NIS2 expliquée aux dirigeants de PME : qui est concerné, quand, sanctions

Cyber Expert · Le blog

NIS2 est la grande loi européenne de cybersécurité de la décennie. Beaucoup de dirigeants de PME pensent encore qu'elle ne les concerne pas. Mauvaise lecture du texte.

Le cadre

Qu'est-ce que NIS2, en une page

NIS2 (Network and Information Security 2) est la directive européenne 2022/2555. Elle remplace la première directive NIS de 2016, jugée trop étroite. Trois objectifs :

18

Secteurs couverts

Contre 7 dans NIS1

≈ 100 000

Entreprises concernées en UE

Dont des dizaines de milliers en France

2025

Loi française du 30 avril

Loi REEN cybersécurité

En France, la transposition est portée par la loi n° 2025-391 du 30 avril 2025. C'est l'ANSSI qui pilote l'application et joue le rôle d'autorité nationale compétente.

Suis-je concerné ?

La règle des deux portes

Pour savoir si NIS2 s'applique à votre PME, il faut franchir deux portes successives.

1Mon activité figure-t-elle dans l'un des 18 secteurs NIS2 ?

Oui

Je passe à la porte 2 (taille).

Non

Je suis hors périmètre — sauf désignation nominative par l'ANSSI.

2Mon entreprise a-t-elle au moins 50 salariés OU 10 M€ de CA ?

Oui

Je suis dans le périmètre NIS2 (entité essentielle ou importante).

Non

Je suis hors périmètre — sauf exception sectorielle (DNS, services de confiance...).

Les deux catégories d'entités

Annexe I

Entités essentielles

  • Énergie, transports, banque
  • Santé, eau potable
  • Infrastructures numériques (cloud, datacenters, DNS)
  • MSP / MSSP (services TIC interentreprises)
  • Administration publique, espace

Annexe II

Entités importantes

  • Postes & expédition, gestion des déchets
  • Chimie, agroalimentaire
  • Fabrication (médical, électronique, automobile)
  • Fournisseurs numériques (places de marché, réseaux sociaux)
  • Recherche

Les seuils de taille à retenir

≥ 250

Salariés (entité essentielle)

ou 50 M€ CA et 43 M€ bilan

≥ 50

Salariés (entité importante)

ou 10 M€ CA et 10 M€ bilan

< 50

Hors périmètre

Sauf exception sectorielle

Quand

Le calendrier réel pour une PME française

  1. Octobre 2024

    Date butoir européenne de transposition

    La France a pris du retard.

  2. 30 avril 2025

    Publication de la loi française

    Loi n° 2025-391 dite « REEN cybersécurité ».

  3. Été 2025

    Décrets d'application

    Précisions sur les seuils et obligations sectorielles.

  4. Avant le 17 janvier 2026

    Date butoir d'enregistrement ANSSI

    Inscription via le téléservice de l'ANSSI.

  5. 2026 — S2

    Premiers contrôles ANSSI

    Sur les entités essentielles d'abord.

  6. 2027

    Sanctions financières

    Contrôles étendus aux entités importantes.

Que faire

Les 10 obligations minimales, traduites

NIS2 impose dix mesures techniques et organisationnelles. Voici la traduction opérationnelle pour une PME :

  • Politique d'analyse des risques validée par la direction (mise à jour annuelle)
  • Procédure de gestion des incidents avec un point de contact 24/7
  • Plan de continuité d'activité : sauvegardes testées + plan de reprise
  • Évaluation cybersécurité de vos fournisseurs critiques (cloud, MSP)
  • Sécurité dans le développement et application des correctifs
  • Audits techniques ou tests d'intrusion réguliers
  • Sensibilisation annuelle de tous les collaborateurs
  • Politiques de chiffrement des données sensibles
  • MFA, moindre privilège, inventaire des actifs à jour
  • Communications sécurisées en gestion de crise

Sanctions

Ce que vous risquez vraiment

10 M€

Amende max — entité essentielle

Ou 2 % du CA mondial annuel, selon le plus élevé

7 M€

Amende max — entité importante

Ou 1,4 % du CA mondial annuel

420 000 €

Plafond pour une PME à 30 M€ CA

Catégorie entité importante

Au-delà de l'amende : le dirigeant en première ligne

  • Suspension temporaire de l'autorisation d'exercer de l'entreprise
  • Interdiction temporaire faite au dirigeant d'exercer des fonctions de direction
  • Publication officielle de la sanction (impact réputationnel direct)
  • Perte de marchés : grands comptes et secteur public exigent désormais la conformité

Plan d'action

Par où commencer si vous découvrez le sujet

L'urgence n'est pas de tout révolutionner. C'est de sécuriser les trois prochains trimestres dans cet ordre :

  1. Semaine 1

    Vérifier votre éligibilité noir sur blanc

    Code NAF, salariés, CA. Documenter la décision.

  2. Semaine 2

    S'enregistrer auprès de l'ANSSI

    Obligation distincte et préalable à toute mise en conformité.

  3. Semaines 3 à 10

    Diagnostic d'écart

    Posture actuelle vs 10 mesures minimales. 6 à 8 semaines suffisent.

  4. Mois 3

    Feuille de route à 12 mois

    Priorisée par le risque, validée par la direction, traçable.

  5. Mois 4

    Former la direction

    Explicitement exigé par le texte. Change la culture interne.

Si vous voulez un point précis sur votre situation, demandez un diagnostic NIS2 gratuit : 30 minutes pour clarifier votre catégorie, vos obligations et votre exposition.

Besoin d'un avis sur votre situation ?

Discutons-en 30 minutes, sans engagement

Un échange franc avec un consultant sénior pour cadrer vos priorités cybersécurité et clarifier vos obligations.

Prendre rendez-vous