NIS2 : ce que les dirigeants de PME doivent vraiment retenir

Le contexte : pourquoi NIS2 change tout

La première directive NIS (2016) ne concernait qu'environ 500 opérateurs d'infrastructures critiques en France : énergie, transport, hôpitaux. Depuis, les cyberattaques ont explosé — 48 % des victimes de rançongiciels en 2025 étaient des PME, TPE et ETI. L'Europe a décidé de muscler le dispositif.

Résultat : NIS2, adoptée en décembre 2022, passe de 500 à plus de 15 000 entités concernées en France, dont des entreprises de taille moyenne, des sous-traitants et des prestataires de services numériques. Le périmètre couvre désormais 18 secteurs (énergie, transport, santé, alimentation, services numériques, fabrication, services postaux, gestion des déchets…).

15 000+

entités concernées en France (vs 500 sous NIS1)

secteurs d'activité couverts

10 M€

de sanctions possibles (ou 2 % du CA mondial)

Êtes-vous concerné ? (même si vous pensez que non)

Pour être directement soumis à NIS2, il faut réunir deux critères :

Appartenir à l'un des 18 secteurs listés par la directive
Dépasser un seuil de taille : 50 salariés, 10 M€ de chiffre d'affaires ou 43 M€ de bilan

Mais voici le point le plus sous-estimé : même si votre PME est en dessous des seuils, vous pouvez être concerné par ricochet. La directive impose aux entités régulées de sécuriser leur chaîne d'approvisionnement. Concrètement, vos clients grands comptes ou ETI vont vous demander des garanties sur votre niveau de cybersécurité — questionnaires de conformité, audits, clauses contractuelles renforcées.

Ne pas s'y préparer, c'est se fermer des portes commerciales. C'est exactement la même logique que celle des cyber-assureurs qui durcissent leurs conditions : pas de preuve de maturité cyber, pas de couverture.

Les 18 secteurs concernés par NIS2

La directive couvre 18 secteurs répartis en deux catégories :

11 secteurs « hautement critiques » (Annexe I)

Énergie (électricité, pétrole, gaz, hydrogène)
Transports (aérien, ferroviaire, maritime, routier)
Banque
Infrastructures des marchés financiers
Santé
Eau potable
Eaux usées
Infrastructure numérique (DNS, cloud, data centers, CDN, télécom)
Services TIC interentreprises (MSP/MSSPManaged Service Provider / Managed Security Service Provider — Prestataires de services informatiques et de sécurité managés — comme TIPTOP.) — c'est nous
Administration publique
Espace

7 secteurs « critiques » (Annexe II)

Services postaux et d'expédition
Gestion des déchets
Fabrication, production et distribution de produits chimiques
Production, transformation et distribution de denrées alimentaires
Fabrication (dispositifs médicaux, informatique, électronique, optique, machines, véhicules…)
Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
Recherche

À noter : vos clients dans la restauration, la santé (dentaire, ophtalmo) ou l'immobilier peuvent être touchés directement ou indirectement — par la chaîne d'approvisionnement de leurs donneurs d'ordres.

Les 5 obligations que vous devez connaître

L'article 21 de la directive liste 10 mesures de cybersécurité obligatoires. Voici les 5 qui impactent le plus directement une PME multisite :

Politique de sécurité documentée — votre approche des risques IT doit être écrite, connue et mise à jour. Plus de « on fait au feeling ».
Gestion des incidents — détection, réponse et notification. Délais stricts : alerte 24h à l'ANSSIAgence Nationale de la Sécurité des Systèmes d'Information — L'autorité française de référence en cybersécurité., notification complète sous 72h, rapport final sous 1 mois.
Plan de continuité d'activité (PCA/PRAPlan de Continuité d'Activité / Plan de Reprise d'Activité — Les dispositifs qui garantissent la poursuite ou la reprise de votre activité après un incident.) — en cas de cyberattaque, comment reprenez-vous l'activité ? Ce plan doit exister et être testé.
Sécurité de la chaîne d'approvisionnement — évaluer le niveau de sécurité de vos fournisseurs et prestataires IT critiques.
Formation des dirigeants — NIS2 impose que les membres des organes de direction soient formés aux enjeux cyber. Ce n'est plus un sujet réservé au DSI.

Les sanctions : ce qui a changé

NIS2 muscle considérablement les sanctions par rapport à NIS1 :

Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles
Jusqu'à 7 millions d'euros ou 1,4 % du CA mondial pour les entités importantes
Responsabilité personnelle des dirigeants — y compris interdiction temporaire d'exercer en cas de négligence avérée (absence de MFAMulti-Factor Authentication — Authentification à plusieurs facteurs : deux ou plus parmi mot de passe, code PIN, SMS, e-mail, empreinte digitale, Face ID, clé FIDO, notification push mobile, montre connectée… Plus il y en a, plus c'est sûr., pas de plan de continuité, pas de politique documentée)
Publication des manquements — votre réputation est en jeu autant que votre trésorerie

Ce n'est plus « on verra quand ça arrivera ». C'est « on nous demandera de prouver qu'on avait prévu ».

Le calendrier en France : où en est-on ?

Décembre 2022 — adoption de la directive NIS2 au niveau européen
Octobre 2024 — date limite de transposition (la France est en retard)
Mars 2025 — adoption au Sénat du projet de loi Résilience
Novembre 2025 — ouverture de MonEspaceNIS2Plateforme officielle de l'ANSSI — Permet aux entités concernées de se pré-enregistrer et de suivre leur mise en conformité NIS2. Accéder à MonEspaceNIS2 → (plateforme ANSSI de pré-enregistrement)
Mars 2026 — publication du ReCyFRéférentiel Cyber France — Référentiel de cybersécurité publié par l'ANSSI, listant 152 mesures sur 20 objectifs pour atteindre la conformité NIS2. Consulter le ReCyF → (Référentiel Cyber France) par l'ANSSI : 152 mesures sur 20 objectifs de sécurité
Été 2026 (prévu) — vote en hémicycle et promulgation de la loi
Octobre 2026 — date butoir de conformité

L'ANSSI appelle l'ensemble des entités à ne pas attendre la promulgation pour commencer. Le ReCyF, bien que non obligatoire à ce stade, constitue une base concrète pour structurer sa démarche. Les entités qui choisissent de l'appliquer pourront s'en prévaloir en cas de contrôle.

Le coût réel pour une PME

Soyons concrets. Pour une PME de 50 postes partant de zéro, la mise en conformité coûte entre 15 000 et 40 000 € la première année (audit, mise en œuvre, formation), puis 5 000 à 15 000 € par an pour le maintien.

C'est un investissement significatif — mais inférieur au coût moyen d'un incident de cybersécurité (466 000 €), et incomparablement inférieur aux sanctions NIS2. Sans parler du fait qu'une PME sur deux ferme dans les 18 mois suivant une cyberattaque majeure non assurée.

Votre conformité NIS2, clé en main.

La bonne nouvelle ? Vous n'avez pas besoin de devenir expert en cybersécurité. Vous avez besoin d'un architecte qui le soit à votre place. C'est exactement ce que fait TIPTOP depuis 20 ans.

Comment TIPTOP vous met en conformité NIS2 :

CyberDIAG gratuit — en 30 minutes, on cartographie votre situation et on identifie vos 3 priorités. C'est votre audit de départ, sans engagement.
Politique de sécurité documentée — on la rédige, on la structure, on la met à jour. C'est inclus dans notre offre de Gouvernance SI (vDSI).
Gestion des incidents + notification ANSSI — notre SOCSecurity Operations Center — Centre de surveillance cyber qui détecte et traite les incidents en continu. surveille, détecte et intervient. En cas d'incident significatif, on gère la notification dans les délais (24h / 72h / 1 mois).
PCA / PRA — on construit votre plan de continuité et de reprise d'activité, on le teste, on le maintient. Sauvegarde + reprise incluses dans TOTALPro CyberSérénité.
Sécurité de la chaîne d'approvisionnement — on évalue et sécurise vos prestataires IT critiques. Et comme opérateur télécom ARCEP, on est nous-mêmes dans la chaîne — et conformes.
Formation dirigeants — on sensibilise votre CODIRComité de Direction — L'instance de pilotage stratégique de votre entreprise. aux enjeux cyber, concrètement, sans jargon.
Alignement ANSSI / ReCyF — nos offres Business et Premium intègrent un audit de conformité ANSSI et un plan d'action priorisé.

En résumé : selon votre offre TOTALPro, tout ou partie des obligations NIS2 sont déjà couvertes par votre abonnement. La conformité dépend de votre plan — contactez-nous pour savoir ce qui est inclus dans le vôtre.

Et pour les dirigeants à exposition publique qui exigent un cadre de confidentialité absolue : TOTALPro VIP, sur invitation.

NIS2 arrive. Les cybermenaces n'attendent pas. Mais avec le bon partenaire, votre mise en conformité est dans la poche — et votre CyberSérénité aussi.

Prêt à faire le point sur votre conformité NIS2 ?

Réserver mon CyberDIAG gratuit →

30 minutes · sans engagement · 3 priorités concrètes

Sources et références

Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (NIS2) — Journal officiel de l'UE
ANSSI — Référentiel Cyber France (ReCyF), publié le 17 mars 2026 — messervices.cyber.gouv.fr
ANSSI — Plateforme MonEspaceNIS2 (pré-enregistrement) — club.ssi.gouv.fr
CERT-FRCentre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques — Équipe nationale de réponse aux cybermenaces, rattachée à l'ANSSI. / ANSSI — Panorama de la cybermenace 2025 (48 % des victimes de rançongiciels = PME/TPE/ETI)
Numeum — « Directive NIS2 : comprendre le nouveau cadre européen » — numeum.fr
Coût moyen d'un incident cyber pour une PME française : 466 000 € — source sectorielle, 2025
CESIN — Panorama 2025 : durée moyenne d'interruption = 21 jours
Projet de loi Résilience — adopté au Sénat le 12 mars 2025, examen Assemblée nationale sept. 2025, vote hémicycle prévu été 2026

Publié sur : tiptop.eu.com
URL de cet article : tiptop.eu.com/blog/2026-06-01_CYBERSECURITE_NIS2-directive-pme-juin-2026.html