NIS2 et PME : qui est concerné, comment se mettre en conformité (et combien ça coûte de ne rien faire)

Beaucoup de dirigeants de PME pensent que NIS2 ne les concerne pas — "c'est pour les grandes infrastructures critiques". Erreur. La directive transposée en France élargit massivement le périmètre : on passe d'une centaine d'entités sous NIS1 à plusieurs milliers sous NIS2, dont une majorité sont des PME. Voici comment savoir si vous êtes concerné, ce qu'il faut faire, et ce qui se passe si vous ne faites rien.

Comprendre la directive en 3 minutes

NIS2 (Network and Information Security 2) est la directive européenne 2022/2555 qui remplace NIS1. Elle a été transposée en droit français par la loi n° 2024-449 du 24 mai 2024 et son décret d'application — l'ANSSI est l'autorité compétente. Date butoir : les entités concernées doivent être en conformité depuis le 17 octobre 2024, mais l'ANSSI a annoncé une période de souplesse jusqu'à fin 2026 pour les entreprises de bonne foi.

NIS2 distingue deux catégories : les entités essentielles (EE — gros acteurs des secteurs critiques) et les entités importantes (EI — taille intermédiaire, mais dans les mêmes secteurs ou secteurs assimilés). Les PME sont surtout concernées par la catégorie EI, ou par effet de cascade en tant que sous-traitant d'une EE.

Êtes-vous concerné ? Le test en 3 questions

Question 1 — Votre secteur est-il listé ? Les secteurs concernés (annexe I et II de NIS2) sont nombreux : énergie, transports, banque, santé, eau potable, infrastructures numériques (datacenters, fournisseurs cloud, registrars DNS), services postaux, gestion des déchets, fabrication chimique, fabrication agroalimentaire (au-delà d'un certain seuil), aérospatiale, services TIC managés (MSP, MSSP), administration publique, recherche.

Question 2 — Avez-vous au moins 50 employés ou 10 M€ de CA ? En dessous de ces seuils, vous êtes hors scope sauf si vous êtes désigné individuellement comme critique par l'ANSSI (rare).

Question 3 — Êtes-vous fournisseur d'une entité essentielle ? Effet cascade : si vous êtes le prestataire IT d'un hôpital, d'une banque, d'un opérateur de l'énergie, votre client va vous imposer NIS2 par contrat, même si vous n'êtes pas directement dans le scope.

Si vous répondez OUI à la 1+2, ou OUI à la 3, vous êtes concerné. Vous avez l'obligation de vous enregistrer auprès de l'ANSSI, de mettre en œuvre les mesures de gestion du risque cyber, et de notifier les incidents significatifs sous 24h (alerte préliminaire) puis 72h (notification d'incident).

Les 10 mesures techniques obligatoires (article 21 de la directive)

NIS2 ne donne pas de liste de produits à acheter — elle impose une gestion du risque documentée, avec 10 mesures minimales :

1. Politique d'analyse de risque et de sécurité des systèmes d'information — vous devez avoir un document formel qui identifie vos risques cyber, les hiérarchise, et définit des actions correctives priorisées.

2. Gestion des incidents — procédures écrites, désignation d'un responsable, plan de notification ANSSI sous 24h/72h.

3. Continuité d'activité (PCA) et gestion de crise — PRA documenté, sauvegardes testées régulièrement, plan de communication de crise.

4. Sécurité de la chaîne d'approvisionnement — clauses cyber dans les contrats prestataires, audit de leurs pratiques.

5. Sécurité dans l'acquisition, le développement et la maintenance — patch management, durcissement des configurations.

6. Politiques d'évaluation de l'efficacité — indicateurs (KPI cyber), revues annuelles documentées.

7. Pratiques d'hygiène cyber et formation — sensibilisation phishing, MFA, gestion des comptes à privilèges.

8. Cryptographie et chiffrement — chiffrement des données sensibles au repos et en transit.

9. Sécurité des ressources humaines, contrôle d'accès, gestion des actifs — inventaire, IAM, principe du moindre privilège.

10. Authentification multifactorielle, communications sécurisées — MFA obligatoire (a minima sur les accès distants et les comptes admin), VPN ou ZTNA, communications voix/vidéo sécurisées.

Les sanctions : ce que la directive prévoit

Pour les entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial (le plus élevé des deux). Pour les entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial. Ces sanctions sont prononcées par l'ANSSI et peuvent être cumulées avec les sanctions RGPD de la CNIL si données personnelles sont touchées.

Au-delà des amendes : responsabilité personnelle des dirigeants. NIS2 prévoit explicitement (article 20) que les organes de direction sont responsables de la mise en œuvre des mesures, peuvent être suspendus de leurs fonctions, et engagent leur responsabilité personnelle en cas de manquement grave. C'est nouveau et c'est lourd.

Sanction administrative également : interdiction temporaire de l'activité, retrait d'agrément (pour les secteurs régulés). Pour une PME dans la santé ou la finance, c'est la mort de l'entreprise.

La feuille de route en 6 mois (réaliste pour une PME)

Mois 1 — Audit d'écart (gap analysis) : où en êtes-vous par rapport aux 10 mesures ? Document de 15-25 pages identifiant les écarts. Coût type : 5 000 à 15 000 € selon taille.

Mois 2 — Plan d'action priorisé : choix des mesures par ordre d'impact/coût. Validation comité de direction.

Mois 3-4 — Mise en œuvre technique : MFA, EDR, SIEM si absent, durcissement, sauvegardes immuables, segmentation réseau. Budget type PME 50-150 postes : 30 000 à 100 000 € la première année (matériel + licences + intégration).

Mois 5 — Documentation : politique SSI formelle, procédure de gestion incident, PCA/PRA, registre de traitement, charte informatique. Documents validés par la direction.

Mois 6 — Formation et test : sensibilisation des équipes, simulation phishing, exercice de crise (même 2h sur table). Enregistrement auprès de l'ANSSI.

Coût total réaliste pour une PME 50-150 personnes : 40 000 à 130 000 € la première année, puis 15 000 à 40 000 € de récurrent annuel (licences, maintien de la supervision, audit annuel). C'est moins qu'une attaque réussie qui coûte en moyenne 105 000 € — sans compter le risque réputationnel.

Les pièges classiques (vu sur le terrain)

Piège n°1 — "On a un antivirus, on est conformes." Non. NIS2 impose une gestion documentée du risque, pas un produit de sécurité. Sans politique SSI écrite, sans procédure incident, sans plan de continuité testé, vous n'êtes pas conforme — même avec le meilleur EDR.

Piège n°2 — "On va faire ça avec notre prestataire IT habituel." Si votre infogéreur n'est pas qualifié SecNumCloud ou n'a pas d'expérience NIS2, il va vous vendre des produits sans documentation conforme. Demandez explicitement des références NIS2.

Piège n°3 — Sous-estimer la chaîne de sous-traitance. Si votre logiciel métier est hébergé chez un prestataire non-conforme, votre conformité est compromise. Audit de la chaîne d'approvisionnement obligatoire.

Piège n°4 — Reporter "parce que les contrôles n'ont pas commencé". L'ANSSI déclenche les contrôles à partir de 2026. Mais en cas d'incident significatif (et 60 % des PME en ont un dans l'année), vous devrez prouver votre conformité au moment de l'incident, pas au moment de la sanction.

En résumé

NIS2 n'est pas une option. Si vous êtes dans le scope (secteur listé + 50 employés ou 10M€ CA, ou sous-traitant d'une EE), vous avez l'obligation de vous mettre en conformité — et les sanctions sont lourdes, y compris au niveau personnel des dirigeants.

La bonne nouvelle : la mise en conformité a un effet de bord positif énorme. Une PME conforme NIS2 est une PME beaucoup plus difficile à attaquer. Le coût de la conformité est largement inférieur au coût d'une attaque, et l'investissement renforce structurellement votre résilience.

Le mauvais réflexe est de traiter NIS2 comme une "mise aux normes" administrative. Le bon réflexe est de la traiter comme un cadre de référence pour structurer votre cybersécurité — l'amende devient un risque secondaire, la vraie valeur étant la robustesse opérationnelle.