Depuis juin 2025, plus de 15 000 entités françaises ont reçu — ou recevront dans les prochaines semaines — une notification de l'ANSSI les informant qu'elles entrent dans le périmètre de la directive NIS 2. Parmi elles, un nombre important de PME. La réaction typique oscille entre "on n'y est pas vraiment concernés" et "il va falloir mobiliser toute l'équipe IT pendant six mois". Les deux sont faux. NIS 2 est sérieux, mais encadré, progressif, et largement accessible sans équipe cybersécurité dédiée — à condition de s'y prendre maintenant, avec la bonne méthode.
Est-ce que NIS 2 me concerne ?
Trois critères déclenchent l'obligation de conformité, et il suffit qu'un seul soit rempli.
Le premier est la taille. Les entreprises qui emploient au moins 50 salariés ET réalisent un chiffre d'affaires annuel supérieur à 10 millions d'euros (ou 43 M€ de total bilan) entrent potentiellement dans le périmètre.
Le deuxième est le secteur d'activité. NIS 2 couvre 18 secteurs classés "essentiels" ou "importants" : énergie, transports, banque, santé, eau, télécoms, infrastructures numériques, administration publique, recherche, fabrication de produits critiques, agroalimentaire, gestion des déchets. Si votre activité principale figure dans cette liste, vous êtes concerné dès le seuil ci-dessus.
Le troisième — et souvent oublié — est la chaîne d'approvisionnement. Si votre PME est un fournisseur critique d'une entité dite essentielle (banque, hôpital, opérateur d'importance vitale), votre client vous transférera contractuellement une partie de ses obligations NIS 2. Un sous-traitant industriel de 30 personnes peut se retrouver soumis aux mêmes exigences qu'une ETI par ce biais.
Si l'ANSSI vous a notifié en 2025, vous êtes concerné sans ambiguïté. Sinon, vérifiez votre statut via le registre national ouvert depuis octobre 2025 — les détails sont disponibles chez Orange Cyberdefense, qui maintient un guide à jour.
Les 10 mesures obligatoires (article 21)
L'article 21 de la directive liste dix mesures minimales, rendues obligatoires en France par la Loi de Résilience en cours de promulgation au premier trimestre 2026.
Politique de sécurité du SI formalisée et approuvée par la direction.
Gestion des risques : analyse régulière, traitement priorisé.
Gestion des incidents : détection, réponse, notification à l'ANSSI sous 24 à 72 heures selon la gravité.
Continuité d'activité : sauvegardes testées, plan de reprise documenté.
Sécurité de la chaîne d'approvisionnement : exigences contractuelles sur les prestataires critiques.
Hygiène numérique : mots de passe, verrouillage des postes, sensibilisation continue.
Formation obligatoire des dirigeants — c'est le point nouveau majeur de NIS 2, pas seulement celle du RSSI.
Cryptographie : chiffrement des données sensibles au repos et en transit.
Authentification multifacteur (MFA) sur les accès critiques : messagerie pro, VPN, outils d'administration.
Contrôle d'accès et gestion des comptes : principe du moindre privilège, revue périodique des droits.
Pour une PME qui n'a jamais formalisé sa cybersécurité, cela représente 3 à 6 mois de travail. Pour une PME qui a déjà un minimum de pratiques (MFA activé, sauvegardes, politique de mots de passe), le chantier est essentiellement documentaire.
Quel budget, quel calendrier réaliste
Les ordres de grandeur observés début 2026 pour une PME de 50 à 250 salariés :
Audit de départ et gap analysis : 5 000 à 12 000 € HT (4 à 8 jours d'intervention).
Mise en conformité : 15 000 à 60 000 € HT sur 6 à 9 mois, selon la dette cyber de départ.
Formation dirigeants et équipes : 2 000 à 5 000 € HT.
Outillage technique (MFA, EDR, sauvegardes chiffrées) : 30 à 80 € par utilisateur et par an.
Budget total d'une conformité NIS 2 pour une PME de 100 salariés : entre 30 000 et 80 000 € la première année, puis 10 000 à 25 000 € par an en fonctionnement courant.
Calendrier serré mais jouable : pour respecter la deadline du 17 octobre 2026, il faut avoir terminé l'audit et le plan d'action au plus tard fin mars, lancé les chantiers en avril, bouclé les mesures techniques avant septembre. Les PME qui démarrent en janvier disposent d'une marge confortable ; celles qui s'y mettent en mai devront accélérer.
Les trois pièges à éviter en 2026
Piège 1 : croire que "nous ne sommes pas concernés" parce qu'on est petit. L'effet chaîne d'approvisionnement met beaucoup de PME sous le périmètre via leurs contrats B2B. Vérifiez auprès de vos gros clients s'ils comptent vous transférer des obligations — la réponse vient souvent plusieurs mois après la question.
Piège 2 : acheter des outils avant d'écrire la politique. Un EDR, un SOC ou une solution XDR ne vous rendent pas conforme s'ils ne sont pas en exécution d'une politique documentée. Commencez par la gouvernance et les procédures — l'outillage vient en réponse à une doctrine claire, pas l'inverse.
Piège 3 : sous-estimer la formation des dirigeants. NIS 2 rend personnelle la responsabilité de la direction (articles 20 et 21). Une formation d'une à deux journées est désormais obligatoire, et les sanctions individuelles peuvent aller jusqu'à l'interdiction temporaire de direction en cas de manquement grave avéré.
L'approche Eden Solutions : conformité outillée, pas théâtrale
Nous accompagnons les PME françaises sur NIS 2 en trois temps. Un gap analysis de 5 jours pour qualifier le périmètre réel et la dette cyber. Un plan d'action chiffré aligné sur les 10 mesures de l'article 21, priorisé par risque décroissant. Un suivi mensuel sur 9 mois pour arriver en conformité avant octobre 2026 sans mobiliser plus de 0,2 ETP interne.
Notre conviction : NIS 2 n'est pas une contrainte qui justifie 200 000 € de prestations — c'est un exercice encadré qui, bien mené, améliore aussi la résilience opérationnelle réelle de l'entreprise. Pour en discuter, voir nos prestations d'audit et de mise en conformité.
FAQ : NIS 2 pour PME en 2026
Quelle différence avec NIS 1 ?
NIS 1 (2016) concernait environ 500 entités en France, essentiellement des opérateurs d'importance vitale. NIS 2 élargit massivement à plus de 15 000 entités, dont beaucoup de PME, et impose 10 mesures explicites là où NIS 1 fixait des objectifs flous.
Quelles sont les sanctions ?
Pour les entités essentielles, jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4 % du CA. La responsabilité personnelle des dirigeants peut aussi être engagée.
Faut-il une certification ISO 27001 ?
Non. ISO 27001 est utile mais pas obligatoire. Un système de management de la sécurité informelle mais documenté et traçable, aligné sur l'article 21, peut suffire — à condition d'être auditable par l'ANSSI en cas de contrôle.
Peut-on mutualiser avec RGPD et DORA ?
Oui, et c'est même recommandé. Les mesures de NIS 2 recoupent largement celles du RGPD (sécurité des traitements) et de DORA (résilience opérationnelle pour le secteur financier). Un plan unique cyber + données réduit les coûts de 30 à 50 % par rapport à trois plans séparés.
Que se passe-t-il si je rate la deadline ?
L'ANSSI a indiqué qu'elle appliquera une phase de tolérance raisonnable en 2027, concentrée sur l'accompagnement plutôt que sur la sanction, à condition de démontrer un engagement sincère (plan d'action en cours, audit signé, formation des dirigeants effectuée). Attendre pour commencer reste toutefois la pire stratégie : les sanctions deviennent effectives à partir de fin 2027.
En résumé
NIS 2 n'est pas une tempête à traverser, c'est un cadre à installer. Une PME qui s'y prend dès janvier 2026, avec un audit rigoureux et un plan d'action priorisé, tient confortablement la deadline d'octobre — et gagne au passage une posture cyber durable. Discutons de votre situation : un échange de 30 minutes suffit à qualifier votre périmètre NIS 2 et votre niveau de préparation actuel.
