NIS2 & PME #1 : NIS2, quoi, quand, qui, comment ?
La majorité des PME avec lesquelles nous échangeons n’ont jamais entendu parler de NIS2 (Network and Information Security Directive 2). C’est le cas même dans des secteurs sensibles comme la santé ou l’industrie.
Pourtant, cette directive européenne a un impact opérationnel, organisationnel et juridique majeur. Elle vise plus de 160 000 entités dans l’UE, dont plus de 15 000 en France, et impose des obligations de sécurité que vous devez pouvoir démontrer. En cas de non-respect, les sanctions peuvent être lourdes — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial — mais elles restent graduées en fonction des cas.
C’est pourquoi, à l’approche de la promulgation de la loi Résilience, qui transpose notamment NIS2 en droit français et attendue après juillet 2026, il nous semblait opportun d’offrir ce mini-guide aux PME comme aux plus grandes organisations.
En quelques minutes, ce guide vous aide à savoir si vous êtes concerné, et par où commencer. Il vous donne les clés pour agir dès aujourd’hui, afin que NIS2 ne soit pas vécue comme une contrainte de plus, mais comme une opportunité.
Cet article inaugure notre série spéciale “NIS2 & PME“, conçue pour vous offrir des clés de lecture pragmatiques de la directive.
Que vous soyez directement soumis à ce cadre, fournisseur d’une entité assujettie, ou hors périmètre, ces mini-guides vous accompagnent pour construire une cybersécurité alignée sur les derniers standards.
C’est QUOI ?
La directive NIS2 (UE 2022/2555) succède à la directive NIS1 de 2016. Elle a été adoptée fin 2022 et vise à renforcer la cybersécurité dans l’Union européenne, à l’heure où les cybermenaces sont plus rapides, plus complexes, et systémiques.
NIS2 a un double objectif : élever le niveau de cybersécurité des organisations européennes et harmoniser leurs pratiques.
Pour y parvenir, elle élargit son périmètre d’application et impose des règles minimales communes aux entités assujetties.
Attention à ne pas la confondre avec les autres textes cyber européens (DORA, CER, Cyber Resilience Act, RGPD) ni avec les référentiels volontaires (ISO 27001, SOC 2). Chacun a un objet distinct, NIS2 constituant le « socle commun ».
Pour en savoir plus sur ce dernier point, lire notre article “NIS2 & PME #4 : NIS2, RGPD, DORA, CRA, CER : qui couvre quoi?”
QUAND va-t-elle s’appliquer en France ?
L’Europe a adopté NIS2 fin 2022, avec une date limite de transposition fixée au 17 octobre 2024.
En France, le projet de loi Résilience, qui transpose notamment la directive NIS2, suit encore son parcours parlementaire. Déjà adopté par le Sénat, il doit être examiné en séance publique lors de la session de juillet 2026.
Les obligations s’appliqueront dès que la loi et ses textes d’application (décrets, arrêtés) seront promulgués, certainement après juillet 2026.
Faut-il attendre les décrets pour agir ?
Non, car une mise en conformité NIS2 peut durer jusqu’à 3 ans en fonction de la taille et de la complexité des entités.
Pour vous guider, l’ANSSI a déjà mis en ligne un test d’assujettissement et publié, en mars 2026, le Référentiel Cyber France (ReCyF), encore en version de travail, qui détaille les mesures recommandées pour atteindre les objectifs NIS2.
QUI est concerné ?
NIS2 classe les entités en deux catégories : Entités Essentielles (EE) et Entités Importantes (EI), selon leur taille et leur secteur. Elle s’applique automatiquement aux entités moyennes et grandes opérant dans 18 secteurs critiques.
| Secteur hautement critique | Secteur critique | |
| Grande entité Effectifs ≥ 250 ET (CA ≥ 50M€ OU bilan ≥ 43M€) | Essentielle (EE) | Importante (EI) |
| Moyenne entité 50 ≤ Effectifs < 250 ET (10M€ ≤ CA < 50M€ OU 10M€ ≤ bilan < 43M€) | Importante (EI) | Importante (EI) |
Source : Directive UE2022/2555, Recommandation 2003/361/CE, LINARIS
Ces 18 secteurs et ces seuils de taille (avec des ET/OU) sont fixés par la directive. Ces critères s’apprécient au niveau de l’entité ou de l’entreprise, avec des nuances. Pour savoir si votre activité précise (sous-secteur) et votre taille vous assujettissent, nous vous recommandons d’utiliser le simulateur officiel de l’ANSSI.
COMMENT s’aligner ?
On peut distinguer trois domaines d’action et un principe transversal.
Quelles SANCTIONS en cas d’inaction ?
NIS2 prévoit aussi des mécanismes de contrôle et des sanctions, dont l’intensité dépend du statut de l’entité et de la gravité du manquement.
La supervision est proactive pour les entités essentielles (audits et inspections réguliers) et uniquement réactive (ex post) pour les entités importantes.
Pour en savoir plus, lire notre article “NIS2 & PME #2 : les 4 obligations cyber des dirigeants.”
Concrètement, comment êtes-vous concerné ?
Selon votre situation, NIS2 peut vous toucher de trois manières différentes.
Pour en savoir plus sur les Cas 2 et 3, lire notre article “NIS2 & PME #3 : l’effet domino du risque cyber fournisseur”
En résumé
NIS2 est le nouveau socle de la cybersécurité en Europe. Elle hisse le sujet au niveau de la direction générale qui doit la piloter de manière informée et pouvoir la démontrer. Elle fixe des mesures strictes et des contraintes élevées mais ne demande pas la même chose à une PME qu’à une grande entreprise. Elle permet ainsi à chacune un niveau de protection cohérent avec son niveau d’exposition aux risques cyber pour garantir la continuité de ses activités.
Concrètement, nous pensons que c’est la nouvelle norme de cybersécurité à suivre, que l’on soit concerné ou non. Car par le biais de l’exigence de sécurisation de la chaîne d’approvisionnement, elle s’étendra de fait bien au-delà des entités directement assujetties.
Bâtir une cybersécurité défendable se compte en mois, voire en années, pas en semaines. La meilleure stratégie, c’est d’agir dès maintenant, sans attendre la promulgation des textes.
Auteur
Lai Ly
Spécialiste Gouvernance Cybersécurité PME
Spécialiste Secteur Services Financiers
Contributeur
Stéphane Hivert
Spécialiste Cybersécurité PME
Spécialiste Secteurs E‑Commerce, Industrie
Vos clients sont soumis à NIS2 ?
Préparez-vous sans tarder.
Ne risquez pas de perdre des marchés à cause de votre cybersécurité.
Faites-en un argument de vente et un gage de confiance pour vos partenaires.
LINARIS accompagne les dirigeants de PME pour traduire la complexité de la cybersécurité de manière pragmatique et adaptée.
Prendre rendez-vous avec un conseiller LINARIS
Note d’édition : Pour alléger la lecture, le masculin est employé dans cet article comme genre neutre. Ce contenu a une vocation purement pédagogique et pragmatique ; nous ne faisons aucune interprétation juridique ou anticipation de la transposition française (voir notre mention complète ci-dessous).
Disclaimer
Cet article est fourni à titre informatif uniquement et reflète l’opinion de son auteur à sa date de publication. Il ne constitue pas un avis juridique ou réglementaire et ne saurait engager la responsabilité de l’éditeur quant à l’exhaustivité des informations fournies. Les menaces cyber et les niveaux de risque évoluant constamment dans le temps, toute décision prise sur la base de cette lecture relève de la seule responsabilité du lecteur.
Note spécifique à la directive NIS2 : Comme indiqué en introduction, les éléments partagés dans cet article découlent directement du texte européen (Directive (UE) 2022/2555) et restent soumis aux décrets de la transposition française. Ce contenu a une vocation purement pédagogique et pragmatique. Il ne constitue pas un avis juridique et ne saurait en aucun cas remplacer une analyse juridique personnalisée au cas par cas pour votre entreprise.
