Octobre 2026 : une échéance que beaucoup de PME sous-estiment
La transposition française de la directive NIS2 (Network and Information Security 2) impose de nouvelles obligations de cybersécurité aux PME opérant dans des secteurs considérés comme critiques ou importants pour l'économie européenne. Le problème : la majorité des entreprises concernées ne le savent pas encore, ou pensent que cela ne les concerne pas.
NIS2 n'est pas un simple ajustement réglementaire. C'est un changement de paradigme. La directive élargit considérablement le nombre d'entités soumises à des obligations de cybersécurité, renforce les sanctions, et introduit la responsabilité personnelle des dirigeants en cas de manquement.
Qu'est-ce que la directive NIS2 ?
NIS2 est la révision de la première directive NIS adoptée en 2016. Si NIS1 ne concernait qu'un nombre restreint d'opérateurs de services essentiels (principalement les grandes entreprises du secteur énergétique et des télécoms), NIS2 étend le périmètre à 18 secteurs d'activité et abaisse les seuils d'éligibilité.
La directive distingue deux catégories d'entités :
- Entités essentielles : énergie, transport, santé, eau potable, infrastructure numérique, administration publique, espace. Soumises aux obligations les plus strictes et aux sanctions les plus élevées.
- Entités importantes : services postaux, gestion des déchets, industrie chimique, agroalimentaire, fabrication de dispositifs médicaux, recherche. Obligations identiques, mais régime de sanctions légèrement atténué.
Point clé : NIS2 ne concerne pas seulement les grandes entreprises. Toute PME de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans un secteur visé est potentiellement concernée. Et certaines PME plus petites peuvent l'être si elles sont fournisseurs critiques d'une entité essentielle.
Qui est concerné ? Les critères précis
L'éligibilité à NIS2 repose sur deux critères combinés : le secteur d'activité et la taille de l'entreprise.
Critères de taille
- 50 salariés ou plus, OU
- Chiffre d'affaires annuel supérieur à 10 millions d'euros, OU
- Bilan annuel supérieur à 10 millions d'euros
Exception importante : les entreprises de toute taille peuvent être concernées si elles sont le seul fournisseur d'un service essentiel dans un État membre, ou si une perturbation de leur activité pourrait avoir un impact systémique.
Tableau des secteurs couverts
| Secteur | Catégorie | Exemples |
|---|---|---|
| Énergie | Essentiel | Électricité, gaz, pétrole, hydrogène, réseaux de chaleur |
| Transport | Essentiel | Aérien, ferroviaire, maritime, routier |
| Santé | Essentiel | Hôpitaux, laboratoires, fabricants de médicaments |
| Infrastructure numérique | Essentiel | Fournisseurs cloud, datacenters, DNS, télécoms |
| Eau potable et eaux usées | Essentiel | Distribution, traitement, assainissement |
| Administration publique | Essentiel | Administrations centrales et régionales |
| Services postaux | Important | Courrier, colis, logistique |
| Gestion des déchets | Important | Collecte, traitement, recyclage |
| Industrie chimique | Important | Production, stockage, distribution |
| Agroalimentaire | Important | Production, transformation, distribution |
| Fabrication | Important | Dispositifs médicaux, électronique, machines, véhicules |
| Recherche | Important | Organismes de recherche |
Les 10 obligations clés de NIS2
La directive impose un socle commun de mesures de cybersécurité à toutes les entités concernées. Voici les 10 obligations principales, telles que précisées par l'article 21 de la directive.
1. Gouvernance de la cybersécurité
Les organes de direction doivent approuver les mesures de gestion des risques et superviser leur mise en oeuvre. La cybersécurité n'est plus un sujet purement technique : c'est un sujet de gouvernance.
2. Analyse de risques
Chaque entité doit réaliser et maintenir une analyse de risques complète de son système d'information. Cela commence par un audit de sécurité approfondi de l'infrastructure existante.
3. Plan de continuité d'activité
Gestion des sauvegardes, reprise après sinistre, gestion de crise. L'entreprise doit pouvoir démontrer qu'elle est capable de maintenir ses services en cas d'incident majeur.
4. Gestion des incidents
Détection, réponse et notification obligatoire dans les 24 heures suivant la découverte d'un incident significatif. Une alerte précoce doit être envoyée à l'ANSSI, suivie d'un rapport détaillé sous 72 heures et d'un rapport final sous un mois.
5. Sécurité de la chaîne d'approvisionnement
L'entreprise est responsable de la sécurité de ses fournisseurs et prestataires. Cela implique d'évaluer le niveau de cybersécurité de ses partenaires IT et d'intégrer des clauses de sécurité dans les contrats. Les risques liés au Shadow IT prennent ici une dimension particulière.
6. Formation des dirigeants
Les membres de la direction doivent suivre des formations en cybersécurité. Ils doivent disposer de connaissances suffisantes pour évaluer les risques et prendre des décisions éclairées.
7. Tests et audits réguliers
Tests d'intrusion, audits de vulnérabilités, exercices de crise. La conformité NIS2 n'est pas un état statique : c'est un processus continu. Les signes qu'un audit est nécessaire sont souvent visibles bien avant l'échéance réglementaire.
8. Chiffrement et cryptographie
Mise en place de politiques de chiffrement des données au repos et en transit. Gestion des clés cryptographiques selon les bonnes pratiques.
9. Contrôle d'accès et gestion des identités
Authentification forte, principe du moindre privilège, gestion des accès privilégiés. Chaque accès au système d'information doit être traçable et justifié.
10. Reporting et documentation
Tenue à jour d'un registre des actifs, documentation des procédures de sécurité, traçabilité des décisions. En cas de contrôle, l'entreprise doit pouvoir fournir l'ensemble de ces éléments.
Attention : ces obligations s'appliquent aussi aux prestataires et sous-traitants de l'entreprise. Si vous êtes un fournisseur IT, un MSP ou un intégrateur, vos clients soumis à NIS2 vont exiger de vous un niveau de sécurité documenté et vérifiable.
Les sanctions : ce que risquent les entreprises non conformes
NIS2 introduit un régime de sanctions significativement plus sévère que NIS1. Les autorités nationales (l'ANSSI en France) disposent de pouvoirs de contrôle et de sanction élargis.
| Catégorie | Amende maximale | Responsabilité dirigeants |
|---|---|---|
| Entités essentielles | 10 M€ ou 2% du CA mondial | Oui, responsabilité personnelle |
| Entités importantes | 7 M€ ou 1,4% du CA mondial | Oui, responsabilité personnelle |
Au-delà des amendes, les sanctions peuvent inclure :
- Suspension temporaire de l'autorisation d'exercer pour les dirigeants
- Injonctions de mise en conformité avec astreintes journalières
- Publication des sanctions (name and shame), avec un impact réputationnel considérable
- Audits imposés aux frais de l'entreprise
Le point le plus notable : la responsabilité personnelle des dirigeants. Les membres des organes de direction peuvent être tenus personnellement responsables du non-respect des obligations. Ce n'est plus seulement l'entreprise qui risque une sanction, mais aussi ses dirigeants à titre individuel.
Comment se préparer : 5 étapes concrètes
Octobre 2026 approche. Voici une feuille de route pragmatique pour les PME qui doivent se mettre en conformité.
Étape 1 : Déterminer si vous êtes concerné
- Vérifier si votre secteur d'activité figure dans la liste des 18 secteurs NIS2
- Contrôler vos seuils de taille (50 salariés, 10 M€ de CA)
- Identifier si vous êtes fournisseur critique d'une entité essentielle
- Consulter le site de l'ANSSI pour les précisions sur la transposition française
Étape 2 : Réaliser un diagnostic de votre infrastructure IT
- Cartographier l'ensemble de vos actifs numériques (serveurs, postes, équipements réseau, applications)
- Identifier les vulnérabilités existantes et les équipements en fin de vie
- Évaluer la maturité de vos pratiques actuelles de cybersécurité
- Détecter les usages non maîtrisés (Shadow IT, comptes partagés, accès non révoqués)
Ce diagnostic est la première étape indispensable. Sans connaître l'état réel de votre infrastructure, il est impossible de définir un plan de mise en conformité réaliste.
Étape 3 : Mettre en place la gouvernance
- Désigner un responsable de la sécurité des systèmes d'information (RSSI) ou un référent
- Former les dirigeants aux enjeux de cybersécurité
- Intégrer la cybersécurité dans les processus de décision de l'entreprise
- Définir et documenter une politique de sécurité des systèmes d'information (PSSI)
Étape 4 : Déployer les mesures techniques
- Mettre en place l'authentification multifacteur (MFA) sur tous les accès critiques
- Déployer le chiffrement des données sensibles au repos et en transit
- Configurer la détection d'incidents et les alertes automatiques
- Établir un plan de sauvegarde et de reprise d'activité testé régulièrement
- Sécuriser la chaîne d'approvisionnement (audits fournisseurs, clauses contractuelles)
Étape 5 : Structurer le processus de notification
- Définir la procédure interne de détection et de qualification des incidents
- Identifier les contacts ANSSI et les canaux de notification
- Préparer les modèles de rapports (alerte 24h, rapport intermédiaire 72h, rapport final 1 mois)
- Réaliser au moins un exercice de crise par an pour tester la chaîne de notification
Le calendrier à retenir
| Échéance | Événement | Impact |
|---|---|---|
| Janvier 2023 | Entrée en vigueur de la directive NIS2 | Cadre européen posé |
| Octobre 2024 | Date limite de transposition nationale (non respectée par la France) | Retard législatif |
| 2025-2026 | Transposition française en cours (projet de loi résilience) | Préparation nécessaire |
| Octobre 2026 | Application effective en France (estimation) | Conformité obligatoire |
Pourquoi les PME ne peuvent pas attendre
La mise en conformité NIS2 ne se fait pas en quelques semaines. Entre le diagnostic initial, la définition de la politique de sécurité, le déploiement des mesures techniques et la formation des équipes, il faut compter entre 6 et 12 mois pour une PME de taille moyenne.
Commençer maintenant, c'est se donner les moyens d'arriver à l'échéance d'octobre 2026 sereinement. Attendre, c'est risquer de devoir investir dans l'urgence, avec des coûts plus élevés, des choix techniques précipités et une mise en conformité partielle qui n'offrira pas une protection réelle.
Le premier pas est toujours le même : connaître l'état réel de son infrastructure IT. Sans cette photographie précise de l'existant, toute stratégie de mise en conformité repose sur des hypothèses. Si vous avez besoin d'un accompagnement personnalisé pour votre mise en conformité, vous pouvez demander un devis auprès de nos partenaires certifiés.
À lire aussi
Commencez par diagnostiquer votre infrastructure IT
Notre IA analyse votre situation en 30 secondes et vous met en relation avec des experts cybersécurité certifiés. Gratuit pour les entreprises. Sans engagement.