Conformité NIS2 complète pour les PME & Collectivités — 20 objectifs ANSSI couverts (à partir de 49,99 € HT/mois)

100% made in France & hébergé en France

Anticipez NIS2 2026 : évitez les coûts cachés et réduisez vos primes cyber !

NIS2FACILE
NIS2Mars 2026·7 min de lecture

Guide pratique NIS2 pour les PME : checklist complète 2026

La directive NIS2 (UE 2022/2555) est transposée en France depuis début 2026. Ce guide pratique vous explique en détail si votre PME est concernée, quelles sont vos obligations, et comment vous mettre en conformité étape par étape.

1. NIS2 en 2026 : où en est-on en France ?

La directive NIS2 (UE 2022/2555) est entrée en vigueur en 2023, mais sa transposition complète en France (via la Loi Résilience / textes d'application) s'est achevée début 2026.

Depuis mars 2026 :

  • L'ANSSI supervise les entités essentielles et importantes.
  • Inscription obligatoire sur la plateforme Mon Espace NIS2.
  • Gestion des incidents : alerte précoce 24h + notification détaillée 72h.
  • Responsabilité accrue de la direction (formation obligatoire, rapport COMEX).
  • Pénalités jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles.

Environ 15 000 entités sont concernées en France (contre ~500 sous NIS1). Beaucoup de TPE/PME dans les secteurs Annexe II (fournisseurs IT, MSP, fabrication, services postaux, etc.) sont désormais classées « importantes ».

2. Êtes-vous concerné ? Les seuils pour les PME

Critères cumulatifs (taille + secteur) :

  • Entité importante : ≥ 50 salariés OU CA annuel > 10 M€ OU bilan > 10 M€
  • Entité essentielle : ≥ 250 salariés OU CA > 50 M€ OU bilan > 43 M€
  • Secteurs : 18 secteurs étendus (Annexes I & II NIS2) — énergie, transport, santé, finance, eau, numérique (cloud, data centers, MSP, fournisseurs IT…), gestion des déchets, fabrication de produits critiques, services postaux, espace…

Exception : les micro-entreprises (<10 salariés ET CA <2 M€) sont généralement exemptées, sauf si « prestataire exclusif » ou « désigné critique » par l'ANSSI.

Action immédiate : testez votre éligibilité en 2 minutes avec notre simulateur gratuit.

3. Les 10 obligations principales pour une PME (Art. 21 NIS2)

  1. 1

    Gouvernance & responsabilité de la direction

    La direction doit approuver, superviser et suivre une formation cybersécurité.

  2. 2

    Analyse & gestion des risques

    Identifier, évaluer et traiter les risques cyber (approche proportionnée).

  3. 3

    Sécurité de la chaîne d'approvisionnement

    Évaluer et contractualiser la sécurité des fournisseurs.

  4. 4

    Gestion des incidents

    Détecter, qualifier, notifier (24h/72h), et réaliser un RETEX.

  5. 5

    Continuité d'activité

    Sauvegardes, plans de réponse, tests réguliers.

  6. 6

    Sécurité des systèmes

    Politiques d'accès, MFA, chiffrement, gestion des correctifs.

  7. 7

    Hygiène cyber de base

    Antivirus, formation anti-phishing, segmentation réseau.

  8. 8

    Cryptographie & authentification forte

    Obligatoire quand pertinent.

  9. 9

    Formation & sensibilisation

    Personnel + direction.

  10. 10

    Audits & preuves

    Tenir un registre, pouvoir démontrer la conformité (preuves documentées).

4. Checklist complète en 8 étapes

Étape 1 – Scoping & Inscription

  • Auto-évaluer si entité essentielle / importante (secteur + taille)
  • Vérifier l'inscription sur Mon Espace NIS2 / ANSSI (obligatoire 2026)
  • Nommer un référent NIS2 interne

Étape 2 – Gouvernance

  • Direction formée (au moins 1 session 2026)
  • Risques cyber présentés en COMEX / direction
  • Politique cybersécurité signée par la direction

Étape 3 – Analyse des risques

  • Cartographier le SI critique
  • Identifier les menaces / vulnérabilités principales
  • Prioriser 5 à 10 risques majeurs

Étape 4 – Mesures techniques de base (20 objectifs ANSSI)

  • MFA sur tous les accès distants / email / admin
  • Antivirus sur postes & serveurs
  • Sauvegardes testées (règle 3-2-1)
  • Correctifs appliqués < 1 mois pour les critiques
  • Segmentation réseau (OT/IT si applicable)

Étape 5 – Gestion des incidents

  • Procédure écrite de détection / qualification / notification
  • Testé au moins 1 scénario (phishing, ransomware…)
  • Registre des incidents tenu à jour

Étape 6 – Chaîne d'approvisionnement

  • Liste des fournisseurs critiques établie
  • Clauses cybersécurité dans les contrats
  • Audit / questionnaire annuel fournisseurs

Étape 7 – Formation & sensibilisation

  • Formation anti-phishing annuelle pour tous les collaborateurs
  • Sensibilisation de la direction (responsabilité personnelle)
  • Campagne interne de sensibilisation

Étape 8 – Preuves & amélioration continue

  • Registre risques + incidents + actions correctives
  • RETEX après chaque incident significatif
  • Revue annuelle par la direction

5. Délais et sanctions en 2026

  • Dès maintenant : auto-évaluation + premières mesures (gouvernance, MFA, incidents).
  • Mi-2026 : inscription complète + notification incidents effective.
  • Fin 2026 : audits renforcés pour entités essentielles (supervision ex-ante).
  • Jusqu'à 7 M€ ou 1,4 % du CA pour les entités importantes.
  • Jusqu'à 10 M€ ou 2 % du CA pour les entités essentielles.
  • Responsabilité personnelle de la direction (amendes, interdiction d'exercer).

6. Ressources officielles

  • Site ANSSI : ssi.gouv.fr/nis2
  • Portail Mon Espace NIS2 (inscription obligatoire)
  • Guide ENISA NIS2 Technical Implementation

Ce guide est fourni à titre informatif — consultez toujours les textes officiels ANSSI et un conseil juridique pour votre situation spécifique.

Prêt à structurer votre conformité NIS2 ?

20 objectifs ANSSI couverts · Rapport exportable · Hébergé en France

Tester mon éligibilité gratuitementVoir les tarifs