NIS2 en France : votre PME tech est-elle concernée ? (et que faire avant 2026)
NIS2 couvre 18 secteurs et concerne des milliers d'entreprises françaises qui n'ont jamais entendu parler de NIS1. Si vous êtes PME tech, opérateur cloud, ou prestataire IT, lisez ce qui suit.
1. Test : votre entreprise est-elle concernée par NIS2 ?
- Avez-vous plus de 50 salariés ET plus de 10M€ de CA ?
→ Si oui, vous êtes potentiellement une entité importante - Exercez-vous dans un des 18 secteurs NIS2 (dont "infrastructures numériques", "services cloud", "services ICT") ?
→ Si oui, vous êtes très probablement concerné - Êtes-vous fournisseur IT, opérateur DNS, hébergeur, ou prestataire de services numériques ?
→ Si oui, vous êtes concerné indépendamment de votre taille
2. Entités essentielles vs importantes : les seuils en France
| Catégorie | Salariés | CA | Bilan | Exemples |
|---|---|---|---|---|
| Entité essentielle | > 250 | > 50M€ | > 43M€ | Grands opérateurs télécom, hôpitaux, énergie |
| Entité importante | 50-250 | 10-50M€ | 10-43M€ | PME cloud, hébergeurs, IT services |
| Toute taille (secteurs critiques) | — | — | — | DNS, TLD, cloud, réseaux, marchés financiers |
3. Les 18 secteurs couverts par NIS2
- Énergie
- Transport
- Secteur bancaire
- Infrastructures des marchés financiers
- Santé
- Eau potable
- Eaux usées
- Infrastructure numérique
- Gestion des services TIC
- Administration publique
- Espace
- Services postaux
- Gestion des déchets
- Fabrication chimique
- Alimentation
- Industrie manufacturière
- Recherche
- Fournisseurs numériques
4. Les obligations concrètes de sécurité
- □ Politique de sécurité des systèmes d'information documentée
- □ Analyse de risques cyber réalisée et mise à jour
- □ Gestion des incidents : procédure de détection, réponse, notification
- □ Continuité d'activité et plan de reprise après sinistre
- □ Sécurité de la chaîne d'approvisionnement (audit fournisseurs IT)
- □ Politique de chiffrement des données sensibles
- □ Formation et sensibilisation cyber pour les équipes
5. Notification d'incidents : le délai de 24h/72h
Les entités concernées doivent notifier à l'ANSSI tout incident significatif sous 24h (alerte précoce), puis transmettre un rapport d'incident complet sous 72h. Le non-respect de ces délais expose à des sanctions lourdes.
6. FAQ
Qu'est-ce que la directive NIS2 et en quoi diffère-t-elle de NIS1 ?
NIS2 (Directive UE 2022/2555) élargit considérablement le périmètre de NIS1. Elle couvre désormais 18 secteurs (contre 7 pour NIS1), abaisse les seuils pour les "entités importantes", et renforce les obligations de sécurité et de notification d'incidents. La France l'a transposée via la loi n°2023-703 du 1er août 2023.
Quels sont les seuils NIS2 en France ?
Entités essentielles : > 250 salariés OU > 50M€ CA ET > 43M€ bilan. Entités importantes : 50-250 salariés OU 10-50M€ CA ET 10-43M€ bilan. Exception : les entités de certains secteurs critiques (DNS, TLD, services cloud, réseaux de communication) sont concernées quelle que soit leur taille.
Quelles sont les obligations concrètes NIS2 ?
Les entités concernées doivent mettre en place : des mesures de gestion des risques cyber (analyse de risques, politique de sécurité, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, chiffrement), et notifier les incidents significatifs à l'ANSSI sous 24h (alerte précoce) puis 72h (rapport d'incident).
Quelles sont les sanctions NIS2 ?
Pour les entités essentielles : jusqu'à 10M€ ou 2% du CA mondial annuel. Pour les entités importantes : jusqu'à 7M€ ou 1,4% du CA mondial. Les dirigeants peuvent être tenus personnellement responsables du respect des obligations.