Directive NIS2 : ma PME est-elle concernée ?

• Depuis octobre 2024, la directive NIS2 (Directive (UE) 2022/2555) est techniquement en vigueur dans l’Union européenne. En France, la transposition avance par la voie de la Loi Résilience. Des milliers de PME vont basculer dans un nouveau régime de cybersécurité obligatoire – parfois sans le savoir. Ce dossier vous donne les clés pour savoir si vous êtes concerné, et quoi faire si vous l’êtes.
• Exigences applicables à NIS 2:
  • Télécharger les exigences – pdf
  • Télécharger le suivi des modifications- pdf

Pourquoi les PME doivent se poser la question de NIS2 maintenant

La directive NIS2 a été publiée en décembre 2022. La France regroupe NIS2, CER et DORA dans la Loi Résilience. L’ANSSI estime que 15 000 à 18 000 entités françaises entrent dans le périmètre (contre 500 sous NIS1). Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF).

Calendrier prévisionnel :

• Promulgation Loi Résilience : courant 2026
• Décrets ANSSI : T2 2026
• Enregistrement MonEspaceNIS2 : T3 2026
• Premières obligations : 1er octobre 2026

Les 18 secteurs concernés par cette directive NIS2

Annexe I — 11 secteurs hautement critiques

1. Énergie : électricité, pétrole, gaz, hydrogène
2. Transports : aérien, ferroviaire, maritime, routier
3. Secteur bancaire
4. Marchés financiers
5. Santé : soins, labos, pharma, dispositifs médicaux
6. Eau potable
7. Eaux usées
8. Infrastructure numérique : DNS, cloud, datacenters, CDN
9. Services TIC (B2B) : MSP et MSSP
10. Administration publique
11. Espace

Annexe II — 7 autres secteurs critiques

1. Services postaux
2. Déchets
3. Chimie
4. Alimentaire
5. Fabrication : dispositifs médicaux, informatique, machines, automobiles
6. Fournisseurs numériques : marketplaces, moteurs, réseaux sociaux
7. Recherche

Critères de taille : qui est dans le périmètre ?

Criteres de taille : qui est dans le perimetre ?

• Grande entreprise (250 salaries ou plus, CA superieur a 50M euros ou bilan superieur a 43M euros) : classee Entite Essentielle (si secteur Annexe I) ou Entite Importante

• Moyenne entreprise (50 a 249 salaries, CA entre 10M et 50M euros) : classee Entite Importante

• Petite ou micro-entreprise (moins de 50 salaries, CA inferieur a 10M euros) : hors perimetre, sauf exceptions (fournisseurs DNS, registres de noms de domaine, prestataires de confiance, ou impact systemique)

Nouveauté janvier 2026 : la catégorie « small mid-cap »

• La Commission européenne propose une nouvelle catégorie d’entreprises, les “small mid-caps” (moins de 750 salariés et jusqu’à 150 millions d’euros de chiffre d’affaires), afin d’adapter les obligations réglementaires à ces structures intermédiaires.
• Cette définition s’inscrit dans une proposition de simplification réglementaire en cours d’adoption.

Le cas des fournisseurs : même petit, vos clients NIS2 vont vous demander des comptes

NIS2 impose aux entités de sécuriser leur chaîne d’approvisionnement. Conséquence pour les PME fournisseurs :

• Questionnaires de sécurité dès 2026
• Clauses contractuelles de cybersécurité
• Perte de contrats si maturité cyber insuffisante
• Audits potentiels de vos systèmes

Checklist en 10 points : la directive NIS2 me concerne-t-elle ?

Critères sectoriels et de taille

1. Mon entreprise emploie 50 salariés ou plus ET opère dans un des 18 secteurs NIS2
2. Mon CA dépasse 10 millions d’euros dans un secteur couvert
3. Mon entreprise compte 250 salariés ou plus dans un secteur hautement critique
4. Je fournis des services gérés (MSP) ou de sécurité (MSSP)
5. Je suis prestataire de services de confiance

Critères chaîne d’approvisionnement

6. Mes clients principaux opèrent dans un secteur NIS2
7. J’ai reçu ou j’attends des questionnaires de sécurité de mes clients

Cas spécifiques (quelle que soit la taille)

8. Je fournis des services DNS
9. Je gère un registre de noms de domaine
10. Mon activité a un impact systémique ou transfrontalier

Un seul « oui » mérite investigation.

Les 5 premières actions si vous êtes concerné

1. Auto-évaluation sur MonEspaceNIS2
2. Identifier votre code NACE et le croiser avec les annexes NIS2
3. Désigner un référent cybersécurité et impliquer la direction
4. Lancer un audit via le diagnostic MonAideCyber gratuit. Consultez aussi nos 10 gestes cybersécurité
5. Construire un plan de sécurisation documenté : audit + feuille de route 2-3 ans. Priorité : gestion des mots de passe et protection endpoint

Sanctions : ce que risquent les entités non conformes

• Entités Essentielles : jusqu’à 10 millions d’euros ou 2 % du CA mondial
• Entités Importantes : jusqu’à 7 millions d’euros ou 1,4 % du CA mondial
• Injonctions, mises en demeure, publication des sanctions
• Responsabilité personnelle du dirigeant

Passez à l’action

• Auto-évaluation officielle : MonEspaceNIS2
• Diagnostic cyber gratuit : MonAideCyber
• Accompagnement personnalisé : contactez Eur’Net

Le 0909 — le dossier numérique du jeudi

• Un dossier de fond chaque jeudi à 09h09
• Des explications concrètes pour les dirigeants de PME
• Un ton accessible, des conseils actionnables
• Parce que la cybersécurité, c’est aussi simple que du bon sens

Sources : ANSSI | MonEspaceNIS2 | Commission européenne, janvier 2026

Une URL à retenir le jeudi: le0909

• À propos
• Articles récents

Infos ↓

Frédéric MENSE

CTO engagé pour les PME | Aidant cyber accrédité ANSSI chez Eur'Net

Fondateur et directeur technique d'Eur'Net depuis 1997 - née en Normandie, le siège a posé ses valises en Auvergne face au Sancy il y a plus de 15 ans. J'accompagne les TPE et PME sur la cybersécurité et la transition numérique depuis 28 ans - de l'Auvergne jusqu'à Kourou et Bora-Bora. Règle numéro 1 : si je ping, j'ai du réseau. Règle numéro 2 : voir règle numéro 1.

Aidant cyber accrédité ANSSI, ambassadeur innovation ANSSI, activateur France Num. Mon credo : un sinistre cyber, ce n'est plus "si" mais "quand". La question c'est : vous regardez le tsunami arriver depuis la plage, ou vous apprenez à surfer et vous préparez vos plans A, B, C ?
Entre deux diagnostics, j'élève aussi des IA bio au grand air.

Infos ↓

Les derniers articles par Frédéric MENSE (tout voir)

• #Le0909-03 – Directive NIS2 : ma PME est-elle concernée ? La checklist complète - 9 avril 2026
• LeLab – Cybersécurité PME : articles, dossiers et guides - 7 avril 2026
• #Le1313-42 – Marc a reçu la facture. 47 000 €. Son assurance cyber a dit non. - 7 avril 2026