CIBNET Logo
CIBNET Logo
Nous contacter

Checklist Conformité NIS2 : Guide Pratique pour PME

Tout ce que votre PME doit savoir pour se mettre en conformité avec la directive NIS2

01 février 2026 12 min de lecture Conformité

La directive européenne NIS2 (Network and Information Security 2), entrée en vigueur en octobre 2024, impose de nouvelles obligations de cybersécurité à des milliers d'entreprises françaises. Êtes-vous concerné ? Que risquez-vous en cas de non-conformité ? Comment vous mettre en règle ? Ce guide pratique vous donne toutes les clés pour aborder sereinement NIS2.

NIS2 en Bref : De Quoi Parle-t-on ?

Qu'est-ce que NIS2 ?

NIS2 (Network and Information Systems Directive 2) est une directive européenne adoptée en décembre 2022 et transposée en droit français en octobre 2024. Elle remplace la directive NIS1 (2016) jugée insuffisante face à l'explosion des cybermenaces.

Objectif : Harmoniser le niveau de cybersécurité en Europe et protéger les infrastructures critiques et services essentiels.

Périmètre : NIS2 étend considérablement le champ d'application : on passe de ~300 entités concernées (NIS1) à environ 10 000+ entreprises en France (NIS2).

Étape 1 : Êtes-vous Concerné par NIS2 ?

Les 2 Catégories d'Entités

Entités Essentielles (EE)

Secteurs vitaux pour l'économie et la société. Obligations renforcées, supervision stricte ANSSI.

Secteurs concernés :

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Santé (hôpitaux, laboratoires, pharmacies)
  • Eau potable et eaux usées
  • Infrastructures numériques (cloud, data centers, DNS)
  • Espace

Entités Importantes (EI)

Secteurs importants mais non vitaux. Obligations allégées vs EE.

Secteurs concernés :

  • Services postaux et courrier
  • Gestion des déchets
  • Chimie (fabrication, distribution)
  • Agroalimentaire (production, transformation, distribution)
  • Fabrication (électronique, machines, véhicules)
  • Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
  • Recherche

Critères de Taille

Êtes-vous dans le périmètre ? (Règle générale)

Une entreprise est concernée par NIS2 si elle remplit 2 des 3 critères suivants :

  • Chiffre d'affaires : ≥ 10 millions €/an
  • Bilan : ≥ 10 millions €
  • Effectif : ≥ 50 salariés

IMPORTANT : Exceptions

  • Secteurs santé, énergie, transports : TOUTES les entités sont concernées, quelle que soit leur taille
  • Fournisseurs numériques : Seuil CA > 50M€ ou effectif > 250 personnes

Auto-Diagnostic : Checklist Rapide

  1. Votre secteur d'activité est-il listé ci-dessus ? (EE ou EI) → Si non, vous n'êtes probablement pas concerné
  2. Atteignez-vous 2 des 3 seuils (CA, bilan, effectif) ? → Si non, vérifiez les exceptions sectorielles
  3. Votre entreprise fournit-elle un service essentiel au fonctionnement d'une EE ? → Vous pourriez être concerné par effet de cascade
  4. Avez-vous déjà des obligations LPM (Opérateur d'Importance Vitale) ? → Vous êtes forcément EE sous NIS2

En cas de doute

L'ANSSI met à disposition un questionnaire d'auto-évaluation sur son site. En cas de doute, consultez un RSSI ou avocat spécialisé cyber. Une erreur d'interprétation peut coûter cher en sanctions.

Étape 2 : Les Obligations NIS2 (Ce que Vous Devez Faire)

1. Mesures de Gestion des Risques Cyber

10 Mesures Obligatoires Minimales

  • Analyse des risques : Identifier les actifs critiques, menaces et vulnérabilités (méthode EBIOS recommandée)
  • Gestion des incidents : Procédures de détection, réponse, récupération, notification
  • Continuité d'activité : PCA/PRA testés régulièrement (au moins 1x/an)
  • Sécurité de la chaîne d'approvisionnement : Évaluation sécurité des fournisseurs critiques
  • Sécurité acquisition/développement : Secure by design, tests sécurité avant mise en prod
  • Mesures techniques de base : Chiffrement, authentification forte (MFA), segmentation réseau, EDR
  • Hygiène cyber : Patch management, gestion des vulnérabilités, sauvegardes chiffrées
  • Sensibilisation et formation : Formation annuelle obligatoire pour tous les collaborateurs
  • Contrôle d'accès : Principe du moindre privilège, révocation automatique, logs d'accès
  • Cryptographie : Chiffrement des données sensibles au repos et en transit (TLS 1.3 minimum)

2. Notification des Incidents Significatifs

Toute entreprise soumise à NIS2 doit notifier à l'ANSSI les incidents cyber ayant un impact significatif sur ses services.

Délais de Notification STRICTS

Délai Contenu
< 24 heures Alerte précoce (early warning) : nature de l'incident, gravité estimée
< 72 heures Rapport d'incident détaillé : cause, impact, mesures prises
< 1 mois Rapport final : analyse post-mortem, actions correctives

⚠️ Non-respect des délais = Sanction administrative immédiate

Qu'est-ce qu'un "incident significatif" ?

  • Interruption de service > 4h
  • Fuite de données personnelles ou sensibles
  • Ransomware avec perte d'accès aux systèmes critiques
  • Compromission d'infrastructures essentielles
  • Impact financier > 100k€ ou impact sur sécurité/santé publique

3. Gouvernance et Responsabilité des Dirigeants

Implication Obligatoire de la Direction

NIS2 impose une responsabilité personnelle des dirigeants (CEO, DG, Président, membres du conseil d'administration) en matière de cybersécurité :

  • Validation de la politique de cybersécurité en COMEX/CA
  • Suivi trimestriel des risques cyber via reporting RSSI
  • Formation obligatoire à la cybersécurité (au moins 1x/an)
  • Engagement budgétaire pour mise en conformité

En cas de manquement grave, les dirigeants peuvent être tenus personnellement responsables et sanctionnés.

Étape 3 : Calendrier et Échéances

Timeline NIS2 France

Décembre 2022 Adoption directive NIS2 par l'UE
Octobre 2024 Transposition en droit français (loi publiée)
Janvier 2025 Décrets d'application (précisions sectorielles, modalités notification)
Juillet 2025 Échéance de conformité complète pour EE (Entités Essentielles)
Janvier 2026 Échéance de conformité complète pour EI (Entités Importantes)
2026-2027 Début des contrôles ANSSI et premières sanctions

Étape 4 : Sanctions en Cas de Non-Conformité

NIS2 prévoit des sanctions administratives et pénales dissuasives.

Amendes Administratives Maximales

Type Entité Amende Maximum
Entités Essentielles (EE) 10 millions € OU 2% du CA mondial annuel (le + élevé)
Entités Importantes (EI) 7 millions € OU 1,4% du CA mondial annuel (le + élevé)

Exemple : Pour une PME EI avec 50M€ de CA, l'amende peut atteindre 7M€ (max absolu) ou 700k€ (1,4% du CA), soit 7M€.

Autres sanctions possibles :

  • Injonction de mise en conformité sous délai
  • Suspension temporaire de l'activité
  • Interdiction d'exercer certaines fonctions pour les dirigeants
  • Publication de la sanction (name and shame)

Étape 5 : Roadmap de Mise en Conformité (12 mois)

Plan d'Action Type pour PME

Phase 1 : Diagnostic (Mois 1-2)
  • Auto-évaluation : êtes-vous EE ou EI ?
  • Audit de conformité vs 10 mesures NIS2
  • Analyse d'écart (gap analysis) avec méthodologie EBIOS
  • Priorisation des actions (quick wins vs projets structurants)
Phase 2 : Gouvernance et Documentation (Mois 3-4)
  • Nomination d'un RSSI (interne ou externe temps partagé)
  • Rédaction Politique de Sécurité des SI (PSSI) conforme NIS2
  • Procédures de gestion d'incidents et notification ANSSI
  • Cartographie des actifs critiques et dépendances fournisseurs
  • Présentation COMEX/CA : validation budget et roadmap
Phase 3 : Mesures Techniques (Mois 5-9)
  • Authentification : Déploiement MFA (Multi-Factor Authentication) sur tous les accès critiques
  • Protection endpoints : EDR/XDR sur 100% des postes et serveurs
  • Sauvegardes : Backup 3-2-1 chiffré, test de restauration mensuel
  • Surveillance : SIEM ou SOC externalisé pour détection incidents
  • Segmentation : Isolation réseaux critique/bureautique, DMZ
  • Patch management : Processus automatisé de mises à jour
Phase 4 : Humain et Organisationnel (Mois 6-10)
  • Formation dirigeants (1 jour) : enjeux cyber, responsabilités NIS2
  • Sensibilisation collaborateurs (100% staff, e-learning + phishing simulé)
  • Évaluation fournisseurs critiques (questionnaire sécurité, audits si nécessaire)
  • Exercice de crise cyber (simulation ransomware avec COMEX)
Phase 5 : Tests et Certification (Mois 11-12)
  • Test PCA/PRA (simulation panne majeure)
  • Pentest externe (tests d'intrusion par cabinet spécialisé)
  • Audit de conformité NIS2 par tiers indépendant
  • Correction des dernières non-conformités
  • Déclaration de conformité à l'ANSSI

Budget Prévisionnel de Mise en Conformité

Estimation Coûts pour PME Type (100 salariés)

RSSI temps partagé (1-2j/semaine pendant 12 mois) 40 000€
Outils cybersécurité (EDR, SIEM, MFA, backup) 25 000€
Audit de conformité + pentest 15 000€
Formation et sensibilisation 8 000€
Mise à niveau infrastructure (si nécessaire) 20 000€
TOTAL PREMIÈRE ANNÉE 108 000€
Coût récurrent annuel (années suivantes) 45 000€ - 60 000€

Budget variable selon maturité initiale et complexité SI. ETI (300+ salariés) : budget × 2 à 3.

NIS2 vs RGPD vs ISO 27001 : Quelle Différence ?

Critère NIS2 RGPD ISO 27001
Nature Obligation légale Obligation légale Certification volontaire
Périmètre Secteurs critiques (10 000+ entreprises) Toute entreprise traitant données personnelles Universel (toute organisation)
Focus Cybersécurité SI + continuité Protection données personnelles Système de management sécurité
Amende max 10M€ ou 2% CA 20M€ ou 4% CA Aucune (certification)
Complémentarité Ces 3 cadres se renforcent mutuellement. Une entreprise ISO 27001 est déjà à 70% conforme NIS2.

Conclusion : Ne Pas Attendre les Sanctions

NIS2 n'est pas une option mais une obligation légale pour des milliers d'entreprises françaises. Les premières sanctions tomberont dès 2026-2027, et l'ANSSI ne fera pas de cadeau. Si vous êtes concerné, il est impératif de lancer votre mise en conformité DÈS MAINTENANT.

La bonne nouvelle : NIS2 impose des mesures de bon sens qui renforcent réellement votre sécurité. Ce n'est pas de la bureaucratie pour la bureaucratie, mais une protection efficace contre les ransomwares, fuites de données et autres cyberattaques qui coûtent en moyenne 250 000€ à une PME.

Budget à prévoir : 80 000€ à 150 000€ pour la première année selon votre maturité. Un investissement bien inférieur au coût d'une cyberattaque ou d'une amende NIS2.

Besoin d'aide pour la conformité NIS2 ?

CIBNET vous accompagne de l'audit initial à la déclaration de conformité ANSSI. Nos RSSI sont experts NIS2 et connaissent les spécificités de tous les secteurs concernés.

Demander un audit NIS2 gratuit

Nous respectons votre vie privée

Nous utilisons des cookies pour améliorer votre expérience sur notre site, personnaliser le contenu et les publicités, fournir des fonctionnalités de médias sociaux et analyser notre trafic. Cliquez sur "Accepter tous" pour autoriser l'utilisation de tous les cookies ou sur "Personnaliser" pour choisir lesquels vous souhaitez autoriser. En savoir plus.