Directive NIS2 : ce que les PME doivent savoir
NIS2 en bref
La directive NIS2 (Network and Information Security 2), adoptée en décembre 2022, remplace NIS1 et élargit massivement le périmètre des entreprises soumises à des obligations de cybersécurité. Elle couvre désormais 18 secteurs d'activité et concerne plus de 15 000 entités en France (contre 500 sous NIS1). L'ANSSI est l'autorité nationale chargée de la mise en oeuvre.
Suis-je concerné ?
Question 1 — Votre secteur est-il dans la liste NIS2 ?
Énergie, transports, santé, eau, banque, infrastructures numériques, espace, administration publique, services postaux, déchets, chimie, agroalimentaire, dispositifs médicaux, services numériques, recherche...
Question 2 — Taille de votre entreprise ?
50+ salariés OU chiffre d'affaires > 10 M€
Question 3 — Cas particuliers ?
Fournisseur unique d'un service essentiel, services DNS, registre de domaine, impact significatif sur la sécurité publique, ou sous-traitant d'une entité essentielle ?
*Attention : même non concerné directement, vos clients dans le périmètre NIS2 peuvent vous imposer des exigences de sécurité par contrat. La conformité devient un argument commercial. L'ANSSI propose un outil en ligne pour vérifier votre éligibilité.
Calendrier des dates clés
Décembre 2022
Publication de la directive NIS2 au Journal officiel de l'UE
Octobre 2024
Date limite de transposition en droit national (retard dans plusieurs pays dont la France)
2025-2026
Transposition effective en France — projet de loi en cours d'examen
Après promulgation
Période transitoire puis contrôles effectifs par l'ANSSI
Les obligations en résumé
| Axe d'obligation | Ce qui est exigé |
|---|---|
| Gestion des risques | PSSI, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, chiffrement, MFA, contrôle d'accès, pentests réguliers, formation du personnel |
| Notification des incidents | Alerte précoce sous 24h, notification complète sous 72h, rapport final sous 1 mois |
| Gouvernance | Les dirigeants doivent approuver et superviser les mesures cyber. Responsabilité personnelle possible. Formation obligatoire des dirigeants. |
Sanctions
gavel Sanctions en cas de non-conformité
Entités essentielles
Jusqu'à 10 M€ ou 2 % du CA mondial
Entités importantes
Jusqu'à 7 M€ ou 1,4 % du CA mondial
En plus : injonctions, suspension de certifications, et interdiction temporaire d'exercer pour les dirigeants.
Préparer votre PME : plan d'action
Évaluer son éligibilité
Utiliser l'outil ANSSI. Vérifier secteur + seuils de taille. Anticiper les exigences contractuelles de vos clients.
Cartographier les systèmes d'information
Inventaire complet : serveurs, applications, BDD, prestataires cloud, connexions partenaires.
Réaliser un pentest
Exigence explicite de NIS2. Photographie objective des vulnérabilités + plan de remédiation. Découvrir notre offre →
Mettre en place une surveillance continue (SOC)
NIS2 exige une capacité de détection des incidents. Un SOC externalisé est la réponse adaptée aux PME. Découvrir notre offre →
Formaliser les procédures
PSSI, procédures d'incidents, plan de continuité, gestion des fournisseurs. La documentation est un pilier de NIS2.
NIS2 = opportunité
Au-delà de la contrainte, les entreprises conformes bénéficient d'un avantage compétitif : accès aux appels d'offres exigeant des garanties de sécurité, confiance des clients, couverture assurance cyber. Le coût de la conformité est sans commune mesure avec le coût d'un incident majeur.
Notre équipe accompagne les PME dans leur parcours de mise en conformité NIS2, du diagnostic initial à la mise en oeuvre opérationnelle. Demander un diagnostic →
Conformité NIS2 : notre équipe vous accompagne
De l'audit initial à la mise en conformité opérationnelle.
Découvrir le service arrow_forwardSources & Références
VigiFlow — Expert en cybersécurité, développement web et automatisation IA pour PME. En savoir plus →
Un projet ? Contactez-nous
Décrivez votre besoin, on vous répond sous 24 à 48 heures avec un devis gratuit et sans engagement.
Demander un devis gratuit