Conformité NIS2 · PME

NIS2 arrive. Êtes-vous concerné ?

Q: Quelle différence entre entité essentielle et importante ?

Les obligations de fond (article 21, notification d'incident) sont les mêmes. La différence porte sur le contrôle — supervision proactive (audits, inspections) pour les essentielles, contrôle a posteriori pour les importantes — et sur le plafond des sanctions (jusqu'à 10 M€ ou 2 % du CA mondial pour les essentielles, 7 M€ ou 1,4 % pour les importantes).

Q: Par où commencer concrètement ?

Par un état des lieux honnête. Notre diagnostic cyber gratuit (2 minutes) situe votre maturité réelle, puis nous cadrons une feuille de route NIS2 proportionnée à votre risque et à votre budget — en mobilisant les dispositifs de financement publics quand vous y êtes éligible.

La directive européenne NIS2 étend les obligations de cybersécurité à des milliers de PME françaises, avec des sanctions lourdes et la responsabilité des dirigeants. Vérifiez votre statut en 30 secondes — puis transformez l'obligation en feuille de route.

Transposition française (« loi Résilience ») en cours — anticipez le calendrier.

≈ 15 000

entités concernées en France

secteurs visés (annexes I & II)

10 M€

de sanction max. (entité essentielle)

Dirigeants

responsabilité personnelle engagée

Simulateur — votre statut NIS2

Deux questions suffisent pour une première orientation. Aucune donnée n'est envoyée : le calcul se fait dans votre navigateur.

1. Votre secteur d'activité

Choisissez la catégorie qui correspond à votre activité principale.

2. La taille de votre entreprise

Selon les seuils européens (effectif, chiffre d'affaires).

Orientation indicative — ne constitue pas une qualification juridique. Le périmètre définitif dépend du décret d'application de la loi de transposition (« loi Résilience »).

Sélectionnez votre secteur et votre taille pour connaître votre statut NIS2 et vos obligations.

Calendrier & démarches

De la qualification à la conformité

Quatre étapes pour aborder NIS2 sans subir : se qualifier, s'enregistrer, se mettre en conformité, se maintenir.

1. Vous qualifier

Déterminez si vous êtes entité essentielle, importante ou hors champ — secteur (annexes I/II) croisé avec votre taille. C'est l'objet du simulateur ci-dessus.

2. Vous enregistrer

Les entités concernées s'enregistrent auprès de l'ANSSI via la plateforme MonEspaceNIS2 (ouverte au pré-enregistrement). Identité, secteur, point de contact.

3. Vous mettre en conformité

Déployez les mesures de l'article 21 (gouvernance du risque, MFA, chiffrement, sauvegarde, continuité, chaîne d'approvisionnement) et la procédure de notification d'incident (24 h / 72 h / 1 mois).

4. Vous maintenir

NIS2 est un régime continu : pilotage du risque, tests de restauration, exercices d'incident, et preuve documentée en cas de contrôle de l'ANSSI.

Financement & dispositifs publics

Vous n'êtes pas seul à financer votre mise à niveau

L'État finance et structure la montée en sécurité des PME. Nous construisons votre projet pour qu'il s'inscrive dans ces dispositifs quand vous y êtes éligible — le coût réel n'est pas toujours celui qu'on croit.

Diagnostic + plan d'action cofinancés

Cyber PME (France 2030)

Dispositif France 2030 opéré par Bpifrance : accompagnement à la sécurisation des TPE/PME avec prise en charge d'une partie du coût (diagnostic, feuille de route, premières mesures).

francenum.gouv.fr

Diagnostic de premier niveau gratuit

MesServicesCyber (ANSSI)

Plateforme de l'ANSSI : diagnostic cyber gratuit (≈ 1 h 30) et orientation vers les dispositifs complémentaires. Un point de départ sans coût pour cadrer votre exposition.

francenum.gouv.fr

Choisir un prestataire de confiance

Label Mon ExpertCyber

Label national (Cybermalveillance.gouv.fr / AFNOR) qui distingue les prestataires de proximité audités. KOLOSALTech en a engagé la démarche.

cybermalveillance.gouv.fr

Commencer par le diagnostic offert Voir toutes les options de financement

L'éligibilité et les montants dépendent de chaque dispositif et de votre situation (taille, secteur, localisation). Informations publiques — sources officielles liées ci-dessus, à vérifier au moment de votre projet.

Questions fréquentes

NIS2 est-elle déjà applicable en France ?

La directive européenne NIS2 est entrée en vigueur en octobre 2024. Sa transposition française (« loi Résilience ») est en cours d'adoption : son entrée en vigueur déclenchera les obligations et les échéances d'enregistrement. Anticiper maintenant évite de subir le calendrier.

Ma PME de moins de 50 salariés est-elle concernée ?

En règle générale, les micro et petites entreprises (< 50 salariés ET < 10 M€ de CA) sont hors du champ direct. Deux exceptions : certaines activités critiques restent concernées quelle que soit leur taille (DNS, registres, télécoms, prestataires de confiance, administration) ; et si vous êtes sous-traitant d'une entité concernée, elle vous imposera des exigences de sécurité par contrat.

Quelle différence entre entité essentielle et importante ?

Les obligations de fond (article 21, notification d'incident) sont les mêmes. La différence porte sur le contrôle — supervision proactive (audits, inspections) pour les essentielles, contrôle a posteriori pour les importantes — et sur le plafond des sanctions (jusqu'à 10 M€ ou 2 % du CA mondial pour les essentielles, 7 M€ ou 1,4 % pour les importantes).

Par où commencer concrètement ?

Par un état des lieux honnête. Notre diagnostic cyber gratuit (2 minutes) situe votre maturité réelle, puis nous cadrons une feuille de route NIS2 proportionnée à votre risque et à votre budget — en mobilisant les dispositifs de financement publics quand vous y êtes éligible.

Faites de NIS2 un avantage, pas une corvée.

Diagnostic offert, feuille de route proportionnée, dispositifs de financement mobilisés. On commence par mesurer, pas par vous vendre.

Mon diagnostic offert Parler à un expert NIS2