NIS2 : ce que les PME doivent concrètement préparer en 2026

NIS2 va faire passer le nombre d'entreprises concernées par la réglementation cyber de quelques centaines à plus de quinze mille en France. Beaucoup de PME découvrent qu'elles sont dans le périmètre. Pourtant, le vrai piège n'est pas la complexité des obligations : c'est d'attendre une date qui n'existe pas encore pour commencer. Voici ce qu'il faut préparer, concrètement.
NIS2, un changement d'échelle
La directive européenne NIS2 (texte UE 2022/2555) succède à une première version de 2016 au périmètre étroit. Là où NIS1 ne visait en France qu'environ 300 à 500 opérateurs critiques, NIS2 élargit drastiquement le champ : selon l'ANSSI, 10 000 à 15 000 entreprises seront concernées, réparties sur 18 secteurs d'activité (contre 7 dans la version initiale au niveau européen).
L'objectif est de hisser le niveau de cybersécurité de tout un tissu économique, pas seulement des infrastructures vitales. Conséquence directe : de nombreuses PME et ETI qui passaient « sous le radar » se retrouvent désormais assujetties. C'est le premier réflexe à avoir : ne pas supposer qu'on est hors champ parce qu'on est une petite structure.
Êtes-vous concerné ? Les seuils et l'effet chaîne
NIS2 ne raisonne plus seulement par secteur, mais par taille et criticité. Deux catégories coexistent :
- Les entités essentielles (EE) : grandes structures des secteurs hautement critiques (énergie, santé, transports, banque, eau, infrastructures numériques…), à partir de 250 salariés OU 50 M€ de chiffre d'affaires. Elles subiront une supervision proactive (audits, inspections).
- Les entités importantes (EI) : secteurs critiques (agroalimentaire, chimie, fabrication, gestion des déchets, services postaux, fournisseurs numériques…), entre 50 et 249 salariés OU 10 à 50 M€ de chiffre d'affaires. Contrôle a posteriori, surtout en cas d'incident.
Mais le point le plus sous-estimé est ailleurs. Même une PME de moins de 50 salariés peut être concernée par ricochet, via la chaîne d'approvisionnement. La directive impose aux entités régulées de sécuriser leurs fournisseurs (article 21). Concrètement, si l'un de vos clients est assujetti, il vous demandera des garanties : questionnaires de sécurité, clauses contractuelles, parfois un audit. Beaucoup de petites structures se mettent à niveau parce que leurs clients l'exigent, pas parce que la loi les vise directement. L'ANSSI met à disposition un outil d'auto-évaluation sur la plateforme MonEspaceNIS2 pour vérifier sa situation.
Le piège du calendrier : il n'y a pas (encore) de date
C'est le point à comprendre absolument, et celui sur lequel circulent le plus d'informations erronées. À la mi-2026, NIS2 n'est pas encore applicable en droit français. La directive aurait dû être transposée avant le 17 octobre 2024, échéance que la France n'a pas respectée, ce qui lui a valu une procédure d'infraction européenne.
La transposition passe par la loi Résilience (qui transpose aussi DORA et REC). Adoptée en première lecture au Sénat le 12 mars 2025, puis votée en commission spéciale à l'Assemblée nationale, elle n'est, à l'été 2026, toujours pas promulguée. Méfiez-vous donc des dates précises qui circulent (« applicable depuis janvier 2026 » et autres) : elles ne sont pas officielles.
Faut-il pour autant attendre ? C'est exactement l'erreur à éviter, et l'ANSSI le martèle. Trois raisons à cela : la mise en conformité sérieuse prend de 12 à 24 mois, les assureurs et les grands donneurs d'ordre renforcent déjà leurs exigences, et le risque cyber, lui, n'attend pas le calendrier législatif. Pour aider les entreprises à avancer dès maintenant, l'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), une feuille de route opérationnelle structurée en 20 objectifs de sécurité pour les EE et 15 pour les EI. À ce stade, c'est un document de recommandation, mais il deviendra la base contraignante : l'utiliser dès aujourd'hui comme grille d'auto-évaluation revient à prendre de l'avance gratuitement.
Les obligations concrètes à préparer
L'article 21 de la directive énumère un tronc commun de dix mesures minimales de gestion des risques, à appliquer de façon proportionnée à sa taille. En pratique, les chantiers prioritaires que toute PME devrait engager :
- Authentification multifacteur (MFA) sur les accès sensibles, et politique de contrôle d'accès rigoureuse.
- Sécurité de la chaîne d'approvisionnement : évaluer et encadrer ses propres fournisseurs et prestataires.
- Gestion et réponse aux incidents : disposer de procédures de détection, de confinement et de remédiation.
- Continuité d'activité : sauvegardes testées (et pas seulement réalisées), plan de reprise.
- Hygiène de base : gestion des correctifs (patch management), chiffrement, EDR, inventaire à jour du système d'information.
À cela s'ajoute une obligation de déclaration des incidents en trois temps (article 23), qu'il faut connaître précisément :
- une alerte précoce sous 24 heures après la prise de connaissance de l'incident,
- une notification formelle sous 72 heures avec une première évaluation,
- un rapport final sous un mois.
Enfin, NIS2 fait remonter la cybersécurité au niveau de la gouvernance. La responsabilité des dirigeants peut être directement engagée, et ils doivent suivre une formation régulière obligatoire pour comprendre et superviser les risques. Ce n'est plus un sujet que l'on délègue entièrement au service informatique : le dirigeant doit pouvoir justifier la posture de sécurité de son entreprise.
Par où commencer : cinq actions sans attendre
Pour transformer tout cela en plan d'action réaliste :
- Vérifier son assujettissement avec l'outil de l'ANSSI sur MonEspaceNIS2, en comparant son secteur et ses seuils, sans oublier l'effet chaîne d'approvisionnement.
- Se pré-enregistrer sur la plateforme : le pré-enregistrement, ouvert depuis fin 2025, donne accès à des guidances et positionne favorablement la démarche.
- Réaliser un auto-diagnostic en confrontant l'existant au ReCyF, pour identifier les écarts et les prioriser.
- Engager les quick wins techniques : MFA, sauvegardes testées, correctifs à jour, EDR. Une PME déjà sérieuse sur ces bases avance beaucoup plus vite.
- Former la direction et sensibiliser les équipes, puisque l'humain reste le premier vecteur d'intrusion et que la formation devient une obligation.
Le coût, et pourquoi il vaut mieux s'y mettre tôt
Soyons honnêtes : la conformité a un prix. L'ANSSI et le SGDSN estiment le coût initial entre 100 000 et 200 000 € pour une entité importante, et bien davantage pour une entité essentielle. C'est un investissement réel, à mettre en regard du coût d'une cyberattaque, souvent supérieur pour une PME victime d'un ransomware (interruption d'activité comprise).
Une nuance rassurante toutefois : dans la première année qui suivra l'entrée en vigueur des textes, les autorités privilégieront vraisemblablement l'accompagnement et l'injonction de mise en conformité plutôt que les amendes maximales. Les sanctions (jusqu'à 10 M€ ou 2 % du CA mondial pour les EE, 7 M€ ou 1,4 % pour les EI) monteront en puissance ensuite, pour crédibiliser la directive. Jouer la montre n'est donc pas une stratégie tenable.
NIS2, un accélérateur pour les compétences cyber
Au-delà de la contrainte, NIS2 crée un appel d'air massif. Avec 15 000 entités à mettre en conformité, la demande de compétences en cybersécurité (analyse de risques, réponse à incident, gouvernance, conformité) va mécaniquement s'intensifier, alors que la France compte déjà plus de 15 000 postes cyber non pourvus. Pour les entreprises, c'est un défi ; pour qui veut se former, c'est une opportunité durable.
Chez KLE Formations, notre parcours en cybersécurité prépare à ces métiers en tension, avec une dimension à la fois technique et gouvernance (GRC), précisément ce que NIS2 vient stimuler. Intensif et orienté pratique, il vise un titre RNCP de niveau 7 et reste finançable (CPF, France Travail, OPCO, Transitions Pro, POEI). Pour comprendre l'impact emploi de cette réglementation, lisez notre article sur NIS2 et l'emploi en cybersécurité, et pour situer les débouchés, notre guide des métiers de la cybersécurité.
NIS2 n'est pas un projet à démarrer « quand la loi sera votée ». C'est un chantier à engager maintenant, et une raison de plus de monter en compétence sur la cybersécurité.
Sources : ANSSI / cyber.gouv.fr (ReCyF, MonEspaceNIS2, calendrier), directive (UE) 2022/2555 (articles 21 et 23) ; suivi de la loi Résilience (Sénat, Assemblée nationale) ; analyses Orange Cyberdefense, Numeum, Docusign, NIS2-Pro et guides PME spécialisés. Statut et chiffres à jour à la mi-2026 ; le calendrier de transposition française reste susceptible d'évoluer, vérifier les dates officielles avant tout affichage réglementaire.
