NIS2 : suis-je concerné ? La checklist pour les PME françaises

En résumé : la directive NIS2 (2022/2555) a été transposée en droit français le 30 avril 2025. Elle concerne environ 15 000 entités en France, dont une majorité de PME et ETI qui n'étaient pas soumises à l'ancienne directive NIS. Voici comment savoir en 5 minutes si votre entreprise entre dans le périmètre — et ce que ça implique concrètement.

En 3 questions : suis-je concerné ?

Pour être soumis à NIS2, votre entreprise doit cocher les trois cases suivantes.

1. Êtes-vous dans un secteur couvert ?

NIS2 couvre deux catégories de secteurs :

Secteurs « hautement critiques » (ex-OSE, fortement élargis) :

• Énergie (électricité, gaz, pétrole, chauffage urbain, hydrogène)
• Transports (aérien, ferroviaire, maritime, routier)
• Banques et marchés financiers
• Santé (hôpitaux, labos, fabricants de dispositifs médicaux, pharmacie)
• Eau potable et eaux usées
• Infrastructures numériques (DNS, cloud, datacenters, réseaux télécoms)
• Administration publique
• Espace

Secteurs « critiques » (nouveaux avec NIS2) :

• Services postaux et d'expédition
• Gestion des déchets
• Fabrication, production et distribution de produits chimiques
• Production, transformation et distribution de denrées alimentaires
• Fabrication (dispositifs médicaux, informatique/électronique, machines, véhicules)
• Fournisseurs de services numériques (places de marché, moteurs de recherche, réseaux sociaux)
• Recherche

2. Avez-vous la taille requise ?

Deux seuils suffisent (un seul des deux) :

Catégorie	Effectifs	OU	Chiffre d'affaires
Entité importante	≥ 50 salariés	OU	≥ 10 M€
Entité essentielle	≥ 250 salariés	OU	≥ 50 M€ et bilan ≥ 43 M€

⚠️ Cas particuliers : certaines entités sont concernées quelle que soit leur taille (ex : fournisseurs de DNS, registres de noms de domaine, certains opérateurs télécoms, administrations publiques centrales, entités critiques selon l'État).

3. Exercez-vous l'activité en France ou dans l'UE ?

Le critère de territorialité est simple : vous êtes soumis au droit français si votre établissement principal est en France, ou si vous fournissez vos services en France sans y avoir d'établissement principal dans l'UE.

Si je coche les 3 cases : qu'est-ce que je dois faire ?

NIS2 impose 7 obligations principales, à tenir à partir du 18 octobre 2024 (date d'entrée en application de la directive) :

1. Analyse de risque et politique de sécurité formalisées.
2. Gestion des incidents : détection, qualification, réponse — avec procédures écrites.
3. Continuité d'activité : PRA/PCA avec objectifs RTO/RPO, sauvegardes testées.
4. Sécurité de la chaîne d'approvisionnement : évaluation des sous-traitants et fournisseurs critiques.
5. Sécurité dans le développement : cycle de vie sécurisé, gestion des vulnérabilités.
6. Politique de cryptographie et chiffrement pour les données sensibles.
7. Formation et sensibilisation cyber du personnel, et formation spécifique des dirigeants.

À ces obligations s'ajoute une notification d'incident à l'ANSSI en deux temps :

• 24h après détection : pré-notification avec les infos minimales
• 72h après détection : notification complète avec qualification de l'incident

Quelles sanctions en cas de non-conformité ?

Les amendes sont calibrées pour être dissuasives :

Type d'entité	Plafond amende
Essentielle	10 M€ ou 2 % du CA mondial (le plus élevé)
Importante	7 M€ ou 1,4 % du CA mondial (le plus élevé)

Important : la responsabilité personnelle du dirigeant peut être engagée en cas de manquement grave. L'ANSSI peut ordonner la suspension d'activité ou retirer les certifications.

L'erreur classique : croire que NIS2 = uniquement technique

NIS2 est une directive de gouvernance, pas seulement un référentiel technique. Elle impose à la direction générale de :

• Valider formellement la politique de sécurité
• Suivre une formation cyber obligatoire (dirigeants)
• Superviser les mesures de sécurité
• Être tenue pour responsable en cas de manquement

Autrement dit, cocher des cases techniques ne suffit pas : il faut une gouvernance cyber documentée.

Comment se mettre en conformité pragmatiquement ?

Notre retour d'expérience sur les premières missions NIS2 chez Cyberg :

1. Commencer par un audit de maturité (2-3 jours) pour cartographier l'écart actuel.
2. Prioriser les 3 risques critiques spécifiques à votre SI (pas un plan générique).
3. Formaliser l'essentiel en 3 mois : politique de sécurité, procédures incidents, PRA minimum viable.
4. Déployer les mesures techniques par vagues : MFA, supervision, sauvegardes immutables, sensibilisation.
5. Préparer le volet gouvernance : session de formation dirigeants + nomination d'un référent cyber.

Budget moyen constaté sur une PME de 80 collaborateurs : 15 à 40 k€ sur la première année, selon la maturité initiale.

FAQ

Mon entreprise compte 45 salariés et 8 M€ de CA. Suis-je concerné ? Non, pas au titre des seuils "entité importante" (≥ 50 salariés ou ≥ 10 M€). Mais attention : si vous êtes sous-traitant critique d'une entité NIS2, votre donneur d'ordre vous imposera probablement les mêmes exigences par contrat.

Quelle différence avec le RGPD ? RGPD = protection des données personnelles. NIS2 = cybersécurité opérationnelle des services. Les deux se recoupent sur la gestion d'incident, mais leurs exigences sont complémentaires, pas redondantes.

À partir de quand les sanctions s'appliquent-elles ? Les obligations sont en vigueur depuis le 18 octobre 2024 à l'échelle UE. En France, la transposition (loi du 30 avril 2025) précise les modalités de contrôle par l'ANSSI. Les premiers contrôles ciblés commencent en 2026.

Dois-je faire certifier ma conformité ? Non, NIS2 n'impose pas de certification. Mais une attestation de conformité délivrée par un auditeur externe est fortement recommandée — elle démontre la bonne foi du dirigeant en cas de contrôle.

Cyberg accompagne la conformité NIS2 ? Oui : audit de maturité, plan de mise en conformité, PSSI, procédures incidents, formation dirigeants, supervision continue. Voir notre offre NIS2.