NIS2 pour PME française : suis-je concerné et que faire en 2026 ?

La directive NIS2 est entrée en application progressive en France entre fin 2024 et 2026. Beaucoup de dirigeants PME se demandent encore : « suis-je vraiment concerné ? ». Réponse pragmatique.

1. Êtes-vous concerné ?

Trois critères cumulatifs :

• Taille : ≥ 50 salariés OU ≥ 10 M€ de CA annuel
• Secteur listé : énergie, transport, banque, santé, eau potable, eaux usées, infrastructure numérique, espace, services postaux, fabrication critique, gestion déchets, agro-alimentaire, produits chimiques, recherche
• Établissement UE ou prestation de services dans l'UE

Cas particulier : les fournisseurs MSP, datacenter, DNS, cloud sont concernés dès la première personne employée si leur service est jugé essentiel.

2. Entité essentielle vs entité importante

NIS2 distingue deux catégories. La différence n'est pas anodine côté sanctions :

• Entité essentielle (≥ 250 salariés ou ≥ 50 M€ CA en secteur hautement critique) : sanctions jusqu'à 10 M€ ou 2% du CA mondial
• Entité importante (PME 50-250 salariés en secteur critique) : sanctions jusqu'à 7 M€ ou 1,4% du CA mondial

3. Les 10 obligations clés à mettre en œuvre

1. Politique de sécurité de l'information validée par la direction
2. Gestion des risques cyber documentée et révisée annuellement
3. Gestion des incidents (détection, traitement, post-mortem)
4. Continuité d'activité et gestion de crise (PCA/PRA testés)
5. Sécurité de la chaîne d'approvisionnement (audit fournisseurs critiques)
6. Sécurité dans le développement et la maintenance (SSDLC)
7. Évaluation efficacité des mesures (audit annuel)
8. Hygiène cyber et formation continue (tous les collaborateurs)
9. Cryptographie et chiffrement (au repos, en transit)
10. MFA et gestion des accès privilégiés (PAM)

4. Notification d'incident : la règle des 24h-72h-1 mois

Le timing strict est nouveau et beaucoup d'organisations le sous-estiment :

• 24h : pré-notification à l'autorité compétente (ANSSI en France via plateforme dédiée)
• 72h : notification d'incident détaillée
• 1 mois : rapport final avec analyse cause racine et mesures correctives

5. Plan d'action 6 mois pour PME concernée

Mois 1-2 — Cadrage

• Auto-évaluation éligibilité (critères + secteur)
• Inscription au registre ANSSI dans les délais
• Désignation du responsable conformité NIS2 (souvent DSI ou RSSI)

Mois 3-4 — Documentation

• Politique de sécurité écrite et validée
• Cartographie des actifs critiques + analyse de risques
• Procédures de gestion d'incident + escalade

Mois 5-6 — Mise en œuvre technique

• EDR/XDR sur tous les endpoints
• MFA généralisée
• Sauvegardes immuables testées
• Formation phishing trimestrielle

Conclusion

NIS2 n'est pas un projet « à faire un jour ». Les sanctions sont réelles, la responsabilité des dirigeants peut être engagée personnellement. Si votre PME est concernée et que rien n'est en place, démarrez le cadrage cette semaine — KOLOSALTech accompagne l'audit de conformité et la mise en œuvre.