NIS2 : Guide de Conformité pour les PME Françaises (2026)

Le 17 octobre 2026, des milliers d'entreprises françaises devront être conformes à NIS2 — ou risquer des amendes jusqu'à 10 millions d'euros. Ce n'est pas une menace abstraite : c'est une échéance légale, inscrite dans le droit européen depuis octobre 2022, dont la transposition française est désormais imminente.

Pourtant, aujourd'hui encore, une grande majorité des PME françaises ignorent si elles sont concernées, et dans quel délai elles doivent agir. La directive NIS2 ne vise pas uniquement les grandes entreprises ou les opérateurs d'infrastructures critiques. Elle touche aussi, et de manière directe, les moyennes entreprises de nombreux secteurs — y compris celles qui opèrent en tant que sous-traitantes.

Dans cet article, nous répondons aux questions essentielles : Qu'est-ce que NIS2 ? Qui est concerné ? Quelles sont les obligations concrètes ? Et surtout, comment se conformer avant octobre 2026 sans se noyer dans la complexité réglementaire ?

Qui est concerné ? Secteurs et tailles d'entreprise

NIS2 distingue deux catégories d'entités, avec des exigences et des sanctions différenciées.

Les entités essentielles (EE)

Elles opèrent dans des secteurs jugés hautement critiques :

• Énergie (électricité, gaz, pétrole, hydrogène)
• Transport (aérien, ferroviaire, maritime, routier)
• Secteur bancaire et infrastructures des marchés financiers
• Santé (hôpitaux, laboratoires, R&D pharmaceutique)
• Eau potable et eaux usées
• Infrastructure numérique (DNS, datacenters, réseaux de communications)
• Administration publique
• Espace

Les entités importantes (EI)

Elles couvrent des secteurs critiques de second rang :

• Services postaux et de messagerie
• Gestion des déchets
• Industrie chimique
• Alimentation (production, transformation, distribution)
• Fabrication industrielle (dispositifs médicaux, électronique, machines, véhicules)
• Services numériques (places de marché, moteurs de recherche, réseaux sociaux)
• Recherche

Critères de taille

La directive s'applique aux organisations répondant à l'un ou l'autre de ces critères :

Critère | Seuil

Effectif | 50 salariés ou plus

Chiffre d'affaires | 10 millions d'euros ou plus

Total bilan | 10 millions d'euros ou plus

Important : certaines entités sont concernées quelle que soit leur taille, notamment les fournisseurs de réseaux publics de communications électroniques, les prestataires de services de confiance, et les registres de noms de domaine de premier niveau.

Le cas des PME sous-traitantes

C'est souvent le point oublié : une PME de 60 salariés qui fournit un service informatique, logistique ou de maintenance à un opérateur de santé ou d'énergie peut être indirectement soumise à NIS2. Les entités essentielles ont l'obligation de sécuriser leur chaîne d'approvisionnement, ce qui signifie qu'elles vont répercuter des exigences contractuelles sur leurs fournisseurs. Être sous-traitant d'un secteur critique, c'est de facto entrer dans le périmètre NIS2.

Les 5 obligations clés de NIS2

1. Gestion des risques cyber

Chaque entité concernée doit mettre en place une politique formalisée de gestion des risques liés à la sécurité des systèmes d'information. Cela inclut : l'identification des actifs critiques, l'évaluation des menaces, la mise en œuvre de mesures techniques et organisationnelles proportionnées, et la révision régulière de ces mesures.

Ce n'est pas une liste de bonnes pratiques optionnelles — c'est une obligation documentée, opposable en cas de contrôle.

2. Notification des incidents

En cas d'incident de sécurité significatif, les délais de notification à l'ANSSI sont stricts :

• 24 heures : alerte initiale dès la détection de l'incident
• 72 heures : rapport intermédiaire avec premières analyses
• 1 mois : rapport final complet

Un incident est considéré comme significatif s'il perturbe ou risque de perturber la fourniture du service, ou s'il affecte d'autres entités ou secteurs.

3. Continuité d'activité

Les entités doivent disposer d'un plan de continuité d'activité (PCA) et d'un plan de reprise d'activité (PRA) testés et opérationnels. Cela implique des sauvegardes régulières, des procédures de gestion de crise documentées, et des exercices de simulation.

4. Sécurité de la chaîne d'approvisionnement

Les organisations doivent évaluer les risques de sécurité liés à leurs fournisseurs et prestataires, intégrer des clauses de sécurité dans leurs contrats, et s'assurer que leurs partenaires respectent des standards minimaux. C'est l'obligation qui aura le plus fort effet de cascade sur les PME sous-traitantes.

5. Gouvernance et responsabilité des dirigeants

C'est la nouveauté majeure de NIS2 par rapport à NIS1 : les dirigeants sont personnellement responsables de la conformité de leur organisation. Les organes de direction doivent approuver les mesures de sécurité, superviser leur mise en œuvre, et peuvent être tenus responsables en cas de manquement — y compris via une suspension temporaire de leurs fonctions dirigeantes.

Checklist NIS2 : 8 étapes pour se conformer avant octobre 2026

Voici un plan d'action structuré pour aborder la conformité NIS2 sans se disperser.

1. Audit de périmètre : suis-je concerné ?

Avant tout, déterminez si votre organisation entre dans le champ d'application de NIS2. Secteur d'activité, effectif, chiffre d'affaires, nature des services rendus à des entités critiques : cette étape est non-négociable et conditionne tout le reste.

2. Cartographie des actifs critiques

Identifiez tous les systèmes, données, réseaux et services dont dépend votre activité. Sans cartographie précise, il est impossible d'évaluer correctement les risques ni de prioriser les investissements de sécurité.

3. Évaluation des risques cyber

Réalisez une analyse de risques formalisée : quelles menaces pèsent sur vos actifs critiques ? Quelle est la probabilité d'occurrence ? Quel serait l'impact métier ? Cette analyse doit être documentée et mise à jour régulièrement.

4. Plan de réponse aux incidents

Définissez clairement qui fait quoi en cas d'attaque ou d'incident : procédures de détection, chaîne d'escalade interne, contacts ANSSI, communication de crise. Ce plan doit être testé, pas seulement rédigé.

5. Supervision continue

Mettez en place des outils de détection et de surveillance : SIEM (Security Information and Event Management), alertes en temps réel, journalisation des accès. La supervision continue est le socle technique de la conformité NIS2.

6. Formation des équipes et de la direction

La cybersécurité ne peut pas reposer uniquement sur l'équipe IT. Les dirigeants, les équipes métier et les utilisateurs doivent être formés aux bonnes pratiques, aux procédures internes et à la détection des tentatives de phishing ou d'ingénierie sociale.

7. Audit des fournisseurs et sous-traitants

Passez en revue vos contrats fournisseurs et évaluez leur niveau de maturité en cybersécurité. Intégrez des clauses NIS2 dans vos nouveaux contrats et mettez en demeure les partenaires critiques de se conformer.

8. Documentation et processus de reporting ANSSI

Constituez et maintenez la documentation nécessaire : politique de sécurité, registre des incidents, rapports d'évaluation des risques, preuves des mesures mises en place. En cas de contrôle, c'est cette documentation qui fera foi.

Sanctions : que risque-t-on en cas de non-conformité ?

Les sanctions prévues par NIS2 sont significatives et graduées selon la catégorie de l'entité.

Pour les entités essentielles :

• Amendes administratives jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé s'applique)
• Audits réguliers obligatoires et contrôles par l'ANSSI
• Mesures correctives imposées avec délais contraignants

Pour les entités importantes :

• Amendes administratives jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel
• Contrôles ex post (déclenchés sur signalement ou incident)

Responsabilité personnelle des dirigeants :

C'est l'aspect le plus inédit de NIS2 dans le paysage réglementaire européen. En cas de manquement grave aux obligations de gouvernance, les autorités compétentes peuvent prononcer une suspension temporaire des fonctions dirigeantes. Cette mesure n'est pas symbolique : elle vise à changer la culture de la cybersécurité au niveau des instances de direction.

Au-delà des amendes, il faut également prendre en compte les conséquences indirectes : perte de marchés publics, rupture de contrats avec des donneurs d'ordres soumis à NIS2, atteinte à la réputation, et coûts liés à la remédiation post-incident.

Comment se préparer dès maintenant ?

Aujourd'hui, il reste environ 185 jours avant le 17 octobre 2026. Ce délai peut paraître confortable — il ne l'est pas. Une mise en conformité NIS2 sérieuse demande entre 6 et 18 mois selon la maturité initiale de l'organisation. Les entreprises qui attendent le dernier trimestre 2026 pour commencer prendront des risques majeurs.

La première étape — et la plus urgente — est l'audit de périmètre : savoir avec certitude si vous êtes concerné, et dans quelle catégorie. C'est une démarche qui prend quelques jours et qui conditionne l'intégralité de votre roadmap de conformité.

Chez Addict AI Technology, nous accompagnons les entreprises corses et françaises sur l'ensemble du cycle de conformité NIS2 :

• Audit de périmètre NIS2 : détermination précise de votre statut et de vos obligations
• Audit de sécurité IT : évaluation de votre posture cyber actuelle et identification des écarts
• Conseil en conformité : feuille de route priorisée, documentation réglementaire, accompagnement ANSSI
• Infrastructure sécurisée : mise en place des outils de supervision, segmentation réseau, pare-feu nouvelle génération
• Formation : sensibilisation des équipes et des dirigeants aux exigences NIS2

Nous proposons un audit NIS2 initial gratuit pour vous permettre d'évaluer votre situation sans engagement. C'est la meilleure façon de commencer — concrètement, rapidement, sans jargon inutile.

Contactez-nous : addictai.tech/contact

Conclusion

NIS2 n'est pas une contrainte administrative de plus. C'est un changement structurel dans la façon dont les entreprises françaises doivent appréhender la cybersécurité — avec une responsabilité qui remonte jusqu'aux dirigeants, des délais de notification stricts, et des sanctions financières significatives.

Les PME ont tout intérêt à agir maintenant plutôt qu'à subir une mise en conformité précipitée en 2026. L'audit de périmètre est la première brique : simple, rapide, et décisif.

Si cet article vous a été utile, partagez-le à votre directeur IT, responsable conformité ou dirigeant concerné. La mise en conformité NIS2 commence par la prise de conscience — et souvent, par une bonne lecture au bon moment.