La directive NIS2 (UE 2022/2555) marque un tournant pour la cybersécurité des entreprises en Europe. Transposée en France via le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (Loi Résilience), elle élargit considérablement le périmètre des organisations soumises à des obligations de sécurité numérique.
Contrairement à une idée reçue, NIS2 ne concerne pas uniquement les grands groupes. Les PME de 50 à 500 salariés opérant dans les 18 secteurs critiques sont directement visées. Or beaucoup de dirigeants de PME ignorent encore qu’ils sont concernés — et qu’ils engagent leur responsabilité personnelle en cas de non-conformité.
Selon les estimations, environ 15 000 entités seront concernées en France par NIS2, contre environ 500 sous NIS1. La majorité de ces nouvelles entités sont des PME et ETI.
Votre PME est-elle concernée par NIS2 ?
L’éligibilité repose sur deux critères cumulatifs : le secteur d’activité et la taille de l’entreprise. Si votre PME remplit les deux conditions, elle entre dans le champ de la directive.
Les critères de taille
- Entité importante (EI) : 50 salariés ou plus, OU chiffre d’affaires annuel supérieur à 10 M€, OU bilan supérieur à 10 M€.
- Entité essentielle (EE) : 250 salariés ou plus, OU chiffre d’affaires supérieur à 50 M€, OU bilan supérieur à 43 M€.
- Exception : les micro-entreprises (moins de 10 salariés ET CA inférieur à 2 M€) sont généralement exemptées, sauf désignation spécifique.
Les 18 secteurs concernés
Énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (cloud, data centers, DNS, MSP), gestion des services TIC, administrations publiques, espace, services postaux, gestion des déchets, fabrication de produits critiques, produits chimiques, denrées alimentaires, recherche, fournisseurs numériques.
La différence entre entité essentielle et entité importante détermine le niveau d’obligations et le régime de sanctions. Pour comprendre les nuances, consultez notre article détaillé sur la différence entre EE et EI.
Vérifiez en 2 minutes si votre PME est concernée avec notre simulateur NIS2 gratuit — sans inscription, résultat immédiat.
Les 5 grandes obligations NIS2 pour les PME
Le référentiel ReCyF v2.5, publié par l’autorité compétente, structure les exigences NIS2 autour de 20 objectifs de sécurité répartis en 4 domaines. Pour les PME, ces obligations se résument en 5 grands thèmes accessibles, même sans équipe cybersécurité dédiée.
- 1
Gouvernance et pilotage
La direction doit s’impliquer directement : approbation d’une politique de sécurité (PSSI), formation obligatoire, supervision des mesures. La responsabilité du dirigeant est personnelle et explicite dans le texte.
- 2
Protection technique du système d’information
Sécuriser l’architecture réseau, contrôler les accès (MFA obligatoire sur les accès distants), gérer les correctifs de sécurité, protéger contre les codes malveillants. Les mesures sont proportionnées à la taille de l’entreprise.
- 3
Détection et réponse aux incidents
Mettre en place une capacité de détection des incidents, qualifier et notifier dans les délais réglementaires (alerte initiale sous 24h, notification complète sous 72h à l’autorité compétente et/ou au CSIRT compétent), et réaliser un retour d’expérience.
- 4
Continuité et résilience
Préparer un plan de continuité d’activité (PCA) et un plan de reprise (PRA), tester les sauvegardes régulièrement, organiser des exercices de gestion de crise cyber.
- 5
Maîtrise de l’écosystème fournisseurs
Évaluer la sécurité de vos prestataires critiques, intégrer des clauses de sécurité dans les contrats, suivre les dépendances et les risques liés à la chaîne d’approvisionnement.
Les 15 premiers objectifs s’appliquent à toutes les entités (EI et EE). Les 5 derniers — analyse de risques formalisée, audit de sécurité, sécurisation des configurations, administration dédiée, supervision — sont réservés aux entités essentielles.
Les 6 étapes concrètes pour mettre votre PME en conformité NIS2
La mise en conformité NIS2 est un projet structuré mais accessible pour une PME, à condition de procéder par étapes. Voici le parcours recommandé, chaque étape correspondant à une fonctionnalité de la plateforme NIS2facile.
- 1
Vérifier votre éligibilité
Commencez par déterminer si votre PME entre dans le champ NIS2 (secteur + taille). Le simulateur gratuit NIS2facile vous donne la réponse en 2 minutes, avec votre classification EI ou EE.
- 2
Évaluer votre maturité actuelle
Réalisez une auto-évaluation sur les 20 objectifs de sécurité du ReCyF. Pour chaque objectif, un scoring de 0 (non traité) à 4 (optimisé) vous positionne objectivement. C’est le point de départ de tout plan d’action.
- 3
Construire un plan d’action priorisé
Sur la base de votre évaluation, identifiez les mesures prioritaires. Un outil de conformité NIS2 comme NIS2facile génère automatiquement un plan d’action trié par criticité et effort estimé.
- 4
Documenter les preuves de conformité
La conformité NIS2 repose sur la preuve documentée. Utilisez les templates prêts à personnaliser (PSSI, PCA/PRA, procédure incidents, clauses fournisseurs) et centralisez vos preuves. Consultez notre checklist NIS2 PME pour un aperçu des 20 objectifs.
- 5
Former et sensibiliser les équipes
NIS2 exige que la direction soit formée à la cybersécurité. Au-delà, la sensibilisation de l’ensemble du personnel (phishing, hygiène numérique, procédures d’alerte) est un objectif à part entière du référentiel.
- 6
Maintenir la conformité dans la durée
La conformité n’est pas un exercice ponctuel. Réévaluez régulièrement votre maturité, mettez à jour vos documents, suivez les évolutions réglementaires. Un tableau de bord de suivi vous permet de piloter votre progression.
Combien coûte la mise en conformité NIS2 pour une PME ?
Le coût de la conformité NIS2 varie considérablement selon l’approche choisie. Les PME disposent aujourd’hui de deux voies principales.
- Cabinet de conseil spécialisé : selon les estimations du marché, un accompagnement complet coûte entre 10 000 et 50 000 € pour une PME, davantage pour les ETI. Ce coût inclut l’audit initial, la rédaction documentaire et le suivi.
- Plateforme SaaS de conformité : un outil de conformité NIS2 comme NIS2facile permet de structurer la démarche en autonomie, dès 59,99 €/mois (ou 49,99 €/mois en engagement annuel). Simulateur, évaluation guidée, templates, plan d’action et rapports exportables sont inclus.
Au-delà du coût de mise en conformité, il faut considérer le coût de la non-conformité. Les sanctions NIS2 peuvent atteindre 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 M€ ou 1,4 % pour les entités importantes. Les dirigeants engagent par ailleurs leur responsabilité personnelle — un aspect détaillé dans notre article sur la responsabilité des dirigeants face à NIS2.
Pour une PME de 80 salariés, la mise en conformité via une plateforme SaaS coûte moins de 600 €/an — à comparer aux sanctions potentielles et au coût moyen d’un incident cyber (plusieurs centaines de milliers d’euros selon les retours du marché).
Questions fréquentes sur NIS2 et les PME
Les PME de moins de 50 salariés sont-elles concernées par NIS2 ?
En règle générale, non. Le seuil d’entrée pour être classé entité importante est fixé à 50 salariés ou 10 M€ de chiffre d’affaires. Toutefois, des exceptions existent : une entreprise peut être désignée directement par l’autorité compétente si elle est considérée comme critique pour son secteur (par exemple, un prestataire IT exclusif d’une infrastructure essentielle).
Quel est le délai pour se mettre en conformité NIS2 ?
La transposition française de NIS2 passe par la Loi Résilience, toujours en cours d’adoption au printemps 2026. Les décrets d’application précisant les modalités opérationnelles sont attendus au cours de l’année 2026. Il est recommandé de commencer dès maintenant : les premières vérifications de l’autorité compétente sont anticipées pour fin 2026 ou début 2027, et une démarche de mise en conformité prend généralement entre 3 et 12 mois selon la maturité initiale de l’organisation.
Faut-il un RSSI dédié pour être conforme NIS2 ?
NIS2 n’impose pas explicitement le recrutement d’un RSSI. En revanche, la directive exige que la direction supervise directement les mesures de cybersécurité et suive une formation adaptée. Pour une PME, un référent sécurité interne (même à temps partiel) couplé à un outil de pilotage comme NIS2facile peut suffire à structurer la démarche. Les entités de plus grande taille ou à risque élevé auront intérêt à disposer d’une compétence dédiée.
Quelle est la différence entre NIS2 et ISO 27001 pour une PME ?
ISO 27001 est une norme volontaire de management de la sécurité de l’information, certifiable par un organisme tiers. NIS2 est une obligation réglementaire européenne, assortie de sanctions. Les deux cadres partagent des fondamentaux communs (gestion des risques, politique de sécurité, gestion des incidents), mais NIS2 ajoute des obligations spécifiques comme la notification d’incidents dans des délais contraints et la responsabilité personnelle des dirigeants. Une certification ISO 27001 facilite la conformité NIS2 mais ne la garantit pas automatiquement.
Commencez votre mise en conformité NIS2 dès aujourd’hui
La conformité NIS2 pour les PME est un projet accessible, à condition de s’outiller et de structurer la démarche. NIS2facile vous accompagne de A à Z : simulateur d’éligibilité, évaluation guidée sur les 20 objectifs de sécurité, plan d’action priorisé, templates documentaires et rapports exportables.
Essai gratuit 14 jours, sans engagement. Hébergé en France, 100 % conforme RGPD. Découvrez nos offres dès 59,99 €/mois.