Komplyo
  • NIS2
  • Conformité
  • NIST CSF

Directive NIS2 pour les PME : ce qu'il faut vraiment faire

Votre PME est-elle concernée par NIS2 ? Les 10 mesures de l'article 21, la règle 24h/72h/1 mois, les sanctions et une feuille de route concrète, en français clair.

Komplyo18 min de lecture

Si vous dirigez une petite ou moyenne entreprise dans l'UE, vous avez probablement entendu parler de « NIS2 ». Peut-être qu'un client l'a mentionné dans un contrat. Peut-être que votre responsable IT en a parlé en réunion. Ou peut-être que vous avez vu des titres sur des amendes de 10 millions d'euros et vous vous êtes dit : « ça ne peut pas me concerner. »

Voici la vérité dérangeante : si, ça pourrait. Et même si ce n'est pas directement le cas, vos clients vous y entraîneront probablement.

NIS2 — la directive Network and Information Security 2 (Directive (UE) 2022/2555) — est la réglementation cyber européenne la plus ambitieuse à ce jour. Elle est entrée en vigueur le 16 janvier 2023, avec une date butoir de transposition au 17 octobre 2024. À mi-2026, la plupart des États membres l'ont transposée en droit national, et l'application s'intensifie.

Ce guide explique ce que NIS2 signifie concrètement pour les PME, en français clair — pas de jargon juridique, pas de démagogie, juste les faits et un plan d'action.

Qu'est-ce que la directive NIS2 ?

NIS2 remplace la première directive NIS de 2016. Là où NIS1 couvrait environ 7 secteurs et quelque 300 entités en France, NIS2 s'étend à 18 secteurs et devrait concerner plus de 10 000 entités en France — dont de nombreuses PME et ETI.

La directive a un objectif central : élever le niveau de cybersécurité en Europe en obligeant les organisations des secteurs critiques à mettre en place une gestion des risques adéquate, à notifier rapidement les incidents et à assumer la responsabilité au niveau de la direction.

Elle distingue deux catégories d'entités réglementées :

Catégorie Seuil de taille Secteurs Supervision
Entités essentielles (EE) ≥250 salariés OU ≥50 M€ de CA ET ≥43 M€ de bilan Énergie, transports, banque, santé, eau, infrastructure numérique, administration publique, espace Proactive (ex-ante)
Entités importantes (EI) ≥50 salariés OU ≥10 M€ de CA OU ≥10 M€ de bilan Services postaux, gestion des déchets, chimie, alimentaire, fabrication, fournisseurs numériques, recherche Réactive (ex-post)

Point clé pour les PME : la plupart des entreprises de taille moyenne (50–249 salariés) dans les secteurs couverts relèvent des « entités importantes ». Les obligations sont identiques à celles des entités essentielles — seuls le régime de supervision et les plafonds d'amende diffèrent.

La directive NIS2 s'applique-t-elle à votre PME ?

Trois critères déterminent si votre entreprise est concernée. Vous devez réunir les critères de taille ET de secteur — ou relever d'une exception.

Critère 1 : la taille

Votre PME est potentiellement concernée si elle dépasse au moins un de ces seuils :

  • 50 salariés ou plus, OU
  • 10 millions d'euros de chiffre d'affaires annuel, OU
  • 10 millions d'euros de total de bilan annuel

Nuance importante : cela s'applique au niveau de l'entité juridique, pas au niveau du groupe. Une filiale avec 60 salariés et 12 M€ de CA est concernée même si le groupe parent est plus petit.

Critère 2 : le secteur

Votre entreprise doit exercer dans l'un des 18 secteurs listés aux annexes I et II de la directive :

Annexe I — Secteurs essentiels :

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire et infrastructures des marchés financiers
  • Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
  • Eau potable et eaux usées
  • Infrastructure numérique (DNS, data centers, cloud, télécoms)
  • Administration publique
  • Espace

Annexe II — Secteurs importants :

  • Services postaux et de livraison
  • Gestion des déchets
  • Production et distribution de produits chimiques
  • Production, transformation et distribution de produits alimentaires
  • Fabrication (dispositifs médicaux, électronique, machines, véhicules)
  • Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
  • Recherche

Critère 3 : l'exception supply chain (le piège caché)

Même si vous êtes en dessous des seuils de taille, vous pouvez tout de même être entraîné dans NIS2 si vous fournissez des produits ou services à une entité essentielle ou importante. L'article 21(2)(d) oblige ces entités à évaluer la cybersécurité de leurs fournisseurs — et elles transmettent généralement cela sous forme de clauses contractuelles de sécurité.

Exemple concret : une ESN de 20 personnes développant une application sur mesure pour un hôpital (entité essentielle) fera probablement face à des exigences de sécurité alignées NIS2 dans son contrat — même si l'ESN elle-même est en dessous des seuils de taille.

Toujours concernées quelle que soit la taille : les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les prestataires de services de confiance qualifiés, et les réseaux/services de communications électroniques publics.

Les 10 mesures de l'article 21

L'article 21 de NIS2 énumère 10 mesures minimales de gestion des risques cyber que chaque entité concernée doit mettre en œuvre. La directive les encadre explicitement comme « appropriées et proportionnées » — ce qui signifie qu'un fabricant de 50 personnes ne sera pas jugé selon les mêmes critères qu'une banque multinationale. Mais vous devez couvrir les 10 domaines.

Chaque mesure se projette clairement sur les fonctions du NIST CSF 2.0 — c'est précisément pourquoi Komplyo utilise le CSF 2.0 comme colonne vertébrale (voir plus bas). Voici ce que chaque mesure signifie concrètement pour une PME :

1. Analyse des risques et politiques de sécurité de l'information

Ce que ça signifie : connaissez vos risques, consignez-les par écrit, et ayez un plan.

Baseline PME :

  • Maintenir un registre des risques avec vos 10–15 risques cyber principaux
  • Disposer d'une politique de sécurité de l'information approuvée par la direction (même si elle fait 2 pages)
  • Réviser les risques au moins une fois par an

Preuves attendues : registre des risques, document de politique avec signature d'approbation, comptes-rendus de réunions de révision.

2. Gestion des incidents

Ce que ça signifie : être capable de détecter, répondre et se remettre d'un incident de sécurité.

Baseline PME :

  • Plan de réponse aux incidents documenté avec rôles et chemins d'escalade
  • Détection de base (EDR, SIEM, ou au minimum un antivirus avec alertes)
  • Processus de revue post-incident

Preuves attendues : plan d'intervention, tickets/journal d'incidents, modèle de revue post-incident.

3. Continuité d'activité et gestion de crise

Ce que ça signifie : continuer à fonctionner quand les choses tournent mal.

Baseline PME :

  • Politique de sauvegarde suivant la règle 3-2-1 (3 copies, 2 supports, 1 hors site)
  • Processus de restauration testé (pas seulement « on a des sauvegardes »)
  • Plan de communication de crise de base

Preuves attendues : politique de sauvegarde, résultats de tests de restauration, objectifs RTO/RPO, plan de communication de crise. (Définir des objectifs RTO/RPO réalistes commence par une analyse d'impact sur l'activité.)

4. Sécurité de la chaîne d'approvisionnement

Ce que ça signifie : vos fournisseurs sont vos risques.

Baseline PME :

  • Inventaire des fournisseurs critiques avec évaluation des risques
  • Clauses de sécurité dans les contrats avec les fournisseurs clés
  • Checklist de due diligence de base pour les nouveaux fournisseurs

Preuves attendues : inventaire fournisseurs, clauses contractuelles, checklist de révision.

5. Sécurité dans l'acquisition, le développement et la maintenance des systèmes

Ce que ça signifie : la sécurité dès la conception, pas en dernier recours.

Baseline PME :

  • Exigences de sécurité dans les achats
  • Processus de gestion des vulnérabilités avec SLA de patch
  • Gestion des changements pour les systèmes de production

Preuves attendues : exigences de sécurité à l'achat, politique de patch, journaux de changements.

6. Évaluation de l'efficacité

Ce que ça signifie : prouver que vos contrôles fonctionnent réellement.

Baseline PME :

  • Revue interne ou audit de base annuel
  • Indicateurs clés (couverture MFA, conformité des patchs, taux de succès des sauvegardes)
  • Suivi des actions correctives

Preuves attendues : rapports de révision, tableau de bord KPI, suivi des actions correctives.

7. Hygiène cyber et formation

Ce que ça signifie : vos collaborateurs sont votre première ligne de défense.

Baseline PME :

  • Formation annuelle à la sensibilisation à la sécurité pour tout le personnel
  • Simulations de phishing (optionnel mais recommandé)
  • Formation spécifique par rôle pour les administrateurs et développeurs

Preuves attendues : supports de formation, registres de participation, checklist d'entrée/sortie de poste.

8. Cryptographie et chiffrement

Ce que ça signifie : protéger les données en transit et au repos.

Baseline PME :

  • TLS 1.2+ pour toutes les communications externes
  • Chiffrement complet des disques sur les ordinateurs portables
  • Chiffrement pour les bases de données sensibles

Preuves attendues : politique de chiffrement, captures de configuration, inventaire des certificats.

9. Sécurité RH, contrôle d'accès et gestion des actifs

Ce que ça signifie : contrôler qui peut accéder à quoi.

Baseline PME :

  • Processus d'entrée/sortie/changement de poste pour les droits d'accès
  • Revues annuelles des accès
  • Inventaire des actifs (matériel et logiciel)
  • Principe du moindre privilège

Preuves attendues : checklist JML, journaux de revue des accès, inventaire des actifs.

10. Authentification multifacteur (MFA) et communications sécurisées

Ce que ça signifie : les mots de passe seuls ne suffisent plus.

Baseline PME :

  • MFA sur tous les systèmes critiques et les comptes administrateurs
  • Canaux de communication sécurisés pour la réponse aux incidents
  • Plan de communication d'urgence

Preuves attendues : preuve de configuration MFA, durcissement des accès admin, compte-rendu d'exercice de canal d'urgence.

Notification d'incidents : la règle des 24h/72h/1 mois

L'article 23 de NIS2 impose un calendrier de notification strict en trois étapes pour les « incidents significatifs » — ceux causant une perturbation opérationnelle grave, une perte financière substantielle, ou un préjudice considérable à autrui.

Étape Délai Quoi signaler
Alerte précoce Dans les 24 heures suivant la prise de connaissance Cause malveillante suspectée ? Impact transfrontalier potentiel ?
Notification d'incident Dans les 72 heures suivant la prise de connaissance Évaluation actualisée, sévérité, impact, indicateurs de compromission
Rapport final Dans le mois suivant la notification d'incident Description complète, cause racine, mesures d'atténuation, impact transfrontalier

Point critique : le délai commence à courir quand vous prenez connaissance de l'incident — pas quand votre enquête est terminée. Cela signifie que vous avez besoin d'un processus d'escalade 24/7, y compris les week-ends et jours fériés. Pour beaucoup de PME, c'est le changement culturel le plus difficile.

Qu'est-ce qu'un incident « significatif » :

  • Perturbation opérationnelle grave des services
  • Perte financière substantielle
  • Dommages considérables à d'autres personnes ou organisations

Signalement volontaire : l'article 30 permet de signaler volontairement des quasi-incidents et des menaces qui n'atteignent pas le seuil de signification. Cela crée de la bonne volonté avec votre CSIRT et ne peut déclencher d'obligations supplémentaires.

Responsabilité des dirigeants & sanctions

NIS2 est explicite : la cybersécurité est une responsabilité de la direction, pas seulement un sujet IT.

Article 20 — gouvernance

Les organes de direction doivent :

  • Approuver les mesures de gestion des risques cyber
  • Superviser leur mise en œuvre
  • Suivre une formation régulière pour comprendre les risques cyber
  • Potentiellement être tenus personnellement responsables en cas de manquement

Article 34 — sanctions

Type d'entité Amende maximale
Entités essentielles 10 millions d'euros OU 2 % du chiffre d'affaires mondial annuel (le plus élevé)
Entités importantes 7 millions d'euros OU 1,4 % du chiffre d'affaires mondial annuel (le plus élevé)

Au-delà des amendes, les autorités peuvent :

  • Émettre des injonctions de mise en conformité
  • Suspendre des certifications
  • Interdire temporairement à des individus d'exercer des fonctions de direction
  • Imposer des audits de sécurité aux frais de l'entité
  • Publier publiquement les sanctions (« name and shame »)

Le message pour les dirigeants de PME : si vous êtes le directeur général, vous ne pouvez pas déléguer la conformité NIS2 à votre responsable IT et vous en laver les mains. La directive vous vise explicitement, vous.

La pression supply chain : le piège caché

Même si votre PME est en dessous des seuils de taille NIS2, vous pouvez faire face à une pression de conformité via vos clients. Voici comment cela fonctionne :

  1. Votre client est une entité essentielle ou importante sous NIS2
  2. L'article 21(2)(d) l'oblige à évaluer la cybersécurité de ses fournisseurs
  3. Il insère des clauses de sécurité dans ses contrats avec vous
  4. Vous devez désormais démontrer vos contrôles, fournir des preuves, et éventuellement accepter des audits

Secteurs où cela se produit déjà :

  • Santé (hôpitaux exigeant des attestations de sécurité des fournisseurs de dispositifs médicaux)
  • Services financiers (banques transmettant les exigences DORA/NIS2 aux prestataires fintech)
  • Infrastructure publique (marchés publics avec normes de sécurité obligatoires)
  • Fabrication (chaînes d'approvisionnement automobile et aéronautique)

Ce que cela signifie concrètement : même une startup SaaS de 15 personnes vendant à un hôpital devra probablement montrer une politique de sécurité de l'information, la preuve du déploiement du MFA, des procédures de réponse aux incidents, des sauvegardes et tests de restauration, et des registres de formation de base du personnel.

La bonne nouvelle ? Si vous construisez ces capacités de manière proactive, vous transformez la conformité en avantage concurrentiel — et les mêmes preuves satisfont souvent les clients qui exigent une assurance ISO 27001 ou SOC 2.

Feuille de route de conformité réaliste pour les PME

Basé sur des mises en œuvre réelles, voici une feuille de route pratique sur 12 mois pour une PME abordant la conformité NIS2.

Mois 1–2 : découverte et cadrage

  • Confirmer si vous êtes concerné : vérifier les seuils de taille et le secteur contre les annexes I/II
  • Identifier l'exposition supply chain : êtes-vous un fournisseur critique d'une entité NIS2 ?
  • Vous enregistrer auprès de votre autorité nationale (ANSSI en France, NCSC en Irlande)
  • Réaliser une analyse d'écart par rapport aux 10 mesures de l'article 21

Mois 3–4 : gouvernance et documentation

  • Désigner un responsable de la sécurité (peut être un prestataire externe pour les PME)
  • Rédiger et approuver une politique de sécurité de l'information
  • Créer un registre des risques avec vos principaux risques
  • Documenter les procédures de réponse aux incidents alignées sur la notification 24h/72h/1 mois
  • Planifier la formation des dirigeants aux obligations NIS2

Mois 5–7 : socle technique

  • Déployer le MFA sur tous les systèmes critiques et les comptes administrateurs
  • Mettre en place l'EDR (Endpoint Detection and Response) sur tous les postes
  • Établir une politique de sauvegarde avec la règle 3-2-1 et tester la restauration
  • Activer le chiffrement des données au repos et en transit
  • Déployer la gestion des vulnérabilités avec des SLA de patch définis

Mois 8–9 : processus et formation

  • Déployer la formation de sensibilisation à la sécurité pour tout le personnel
  • Mettre en place le processus d'entrée/sortie/changement de poste pour le contrôle d'accès
  • Créer une checklist d'évaluation de la sécurité fournisseurs
  • Réaliser un premier exercice de crise pour la réponse aux incidents
  • Tester la restauration des sauvegardes et documenter les résultats

Mois 10–11 : évaluation et amélioration

  • Mener un audit interne des 10 mesures
  • Réaliser un test d'intrusion ou une évaluation des vulnérabilités
  • Réviser et mettre à jour le registre des risques et les politiques
  • Préparer le pack de preuves pour chaque mesure de l'article 21
  • Combler les lacunes identifiées lors de l'évaluation

Mois 12 : validation et amélioration continue

  • Réaliser un deuxième exercice de crise
  • Réviser les KPI (couverture MFA, conformité des patchs, taux de réalisation de la formation)
  • Informer la direction de l'état de conformité
  • Planifier le cycle d'amélioration de l'année suivante

Budget réaliste pour une PME de 50 personnes : 15 000 à 40 000 € la première année, puis 5 000 à 15 000 € par an de maintenance.

Comment Komplyo rend NIS2 gérable

Les 10 mesures de l'article 21 ne sont pas une checklist au hasard : elles se projettent directement sur les fonctions du NIST CSF 2.0 (Govern, Identify, Protect, Detect, Respond, Recover). Komplyo repose exactement là-dessus : vous évaluez une fois sur le CSF 2.0, et la plateforme projette vos réponses sur les référentiels qui comptent — une seule évaluation fait ressortir votre posture NIS2 aux côtés d'ISO 27001, SOC 2 et du RGPD.

  • On évalue une fois, on lit partout. Vos réponses CSF 2.0 se projettent automatiquement sur les attentes de NIS2, le RGPD, ISO 27001 et SOC 2. Découvrez la méthodologie.
  • Commencez gratuitement. Le diagnostic gratuit vous donne un score de maturité indicatif par fonction CSF en quelques minutes — un moyen rapide de repérer vos principales lacunes au regard de l'article 21.
  • Des écarts aux preuves. Les lacunes identifiées alimentent une feuille de route priorisée et des politiques générées (politique de sécurité de l'information, réponse aux incidents, sauvegarde) — exactement le pack de preuves que les superviseurs NIS2 et les clients grands comptes réclament. Découvrez le produit.

Foire aux questions

Ma petite entreprise est-elle vraiment concernée par NIS2 ?

Vous êtes probablement concerné si vous dépassez au moins un seuil de taille (≥50 salariés, ou ≥10 M€ de CA, ou ≥10 M€ de bilan) et exercez dans l'un des 18 secteurs des annexes I/II. En dessous des seuils, vous pouvez tout de même être entraîné par contrat en tant que fournisseur d'une entité essentielle ou importante. L'assistant MonEspaceNIS2 est le moyen le plus rapide de vous auto-évaluer.

Quelle différence entre entités essentielles et importantes ?

Les obligations de cybersécurité (les 10 mesures de l'article 21) sont identiques. Les différences portent sur la supervision (proactive/ex-ante pour les essentielles, réactive/ex-post pour les importantes) et les plafonds d'amende (10 M€ ou 2 % du CA contre 7 M€ ou 1,4 %).

Quels sont les délais de notification d'incident NIS2 ?

Trois étapes pour les incidents significatifs : une alerte précoce sous 24 heures, une notification d'incident plus complète sous 72 heures, et un rapport final sous un mois. Le délai court dès que vous prenez connaissance de l'incident, pas à la fin de l'enquête.

Les dirigeants peuvent-ils être tenus personnellement responsables sous NIS2 ?

Oui. L'article 20 rend les organes de direction responsables de l'approbation et de la supervision des mesures de gestion des risques et leur impose une formation. Des individus peuvent être temporairement interdits d'exercer des fonctions de direction en cas de manquement grave.

Quel lien entre NIS2, le NIST CSF 2.0, ISO 27001 et le RGPD ?

Les mesures de l'article 21 s'alignent sur les fonctions du NIST CSF 2.0 et recoupent largement les contrôles ISO 27001 et l'article 32 du RGPD (sécurité du traitement). C'est le cœur du modèle « on répond une fois, on projette partout » de Komplyo — vous répondez une fois sur le CSF 2.0 et lisez votre préparation sur chacun d'eux. Voir SOC 2 vs ISO 27001 : lequel choisir ?.

Ressources et outils gratuits

Ressource Source Ce qu'elle fournit
Texte complet de la directive NIS2 Journal officiel de l'UE Le texte juridique de la Directive (UE) 2022/2555
Page NIS2 de l'ENISA ENISA État de la transposition pays par pays
Ressources NIS2 ANSSI (France) ANSSI Guide de transposition français, modèles, FAQ
FAQ NIS2 du NCSC Irlande NCSC Irlande Guide spécifique à l'Irlande et enregistrement
MonEspaceNIS2 (France) Gouvernement français Assistant d'auto-évaluation pour vérifier si vous êtes concerné
Suivi de transposition ECSO ECSO Analyse détaillée de la transposition pays par pays
NIST CSF 2.0 NIST Cadre qui correspond bien aux mesures de l'article 21 NIS2
Cyber Essentials du CISA CISA Guide de sécurité de base gratuit pour les petites entreprises

En résumé : ne paniquez pas, mais n'attendez pas

NIS2 n'est pas une punition. C'est une reconnaissance que dans une économie connectée, un maillon faible peut compromettre tout un secteur. Pour les PME, la directive crée à la fois obligation et opportunité.

L'obligation est claire : si vous êtes concerné, vous devez mettre en œuvre les 10 mesures, notifier les incidents dans les délais, et assumer la responsabilité au niveau de la direction.

L'opportunité est moins évidente mais tout aussi réelle : les PME qui construisent des pratiques de cybersécurité robustes peuvent s'en servir comme avantage concurrentiel. Quand un hôpital choisit entre deux éditeurs de logiciels — l'un avec un programme de sécurité documenté et l'autre sans — le choix devient évident.

Commencez par trois questions :

  1. Sommes-nous concernés ? (taille + secteur + supply chain)
  2. Quelle est notre plus grande lacune ? (généralement : inventaire des actifs, sauvegardes testées, ou réponse aux incidents)
  3. Qui en est responsable ? (quelqu'un doit en être responsable — et ce ne peut pas être juste « l'IT »)

Des cadres comme le NIST CSF 2.0 et l'EBIOS de l'ANSSI fournissent la structure. La directive NIS2 fournit l'urgence. Votre connaissance métier fournit le contexte. Combinez les trois — et la conformité devient gérable, même pour une équipe de 50 personnes.