nis2 pme france 2026

La directive NIS2 (UE 2022/2555) est une réglementation européenne adoptée en décembre 2022 qui oblige plus de 15 000 entreprises françaises à renforcer leur cybersécurité. Elle concerne toute entreprise de plus de 50 salariés ou 10 M€ de CA opérant dans 18 secteurs critiques.

Vous en avez peut-être entendu parler, sans savoir exactement ce que cela signifie pour vous. La directive NIS2 va toucher plus de 15 000 entreprises françaises dont beaucoup de PME qui ne le savent pas encore. Amendes jusqu’à 10 millions d’euros, responsabilité personnelle des dirigeants, obligations techniques concrètes : voici ce que vous devez comprendre et faire maintenant.

Temps de lecture
8 min de lecture
Mai 2026
Par Copwell
Réglementation Cybersécurité

1. NIS2 qu’est ce que c’est ?

En décembre 2022, l’Union européenne a adopté la directive NIS2 (Network and Information Security 2). Son objectif est de « forcer » les entreprises à prendre la cybersécurité au sérieux, avant qu’il ne soit trop tard.

La première version, NIS1, ne concernait qu’environ 500 entités en France, essentiellement les opérateurs d’infrastructures critiques (énergie, transport, hôpitaux). Mais entre temps, les cyberattaques ont littéralement explosé. En 2025, 48 % des victimes de rançongiciels en France étaient des PME, TPE et ETI (source : Panorama de la cybermenace 2025, CERT-FR / ANSSI). Les petites structures sont devenues des cibles de choix, précisément parce qu’elles sont moins protégées.

500 entités concernées sous NIS1 en France15 000+ entités concernées sous NIS2, soit ×3018 secteurs d’activité couverts (vs 7 sous NIS1)
CERTFR-2026-CTI-002Télécharger

NIS2 élargit massivement le périmètre des entreprises concernées. Elle couvre désormais 18 secteurs d’activité dont la fabrication industrielle, les services numériques, la gestion des déchets, l’agroalimentaire, la chimie, les services postaux (…) et concerne toutes les entreprises de taille significative qui y opèrent, ainsi que leurs sous-traitants.

L’erreur la plus fréquente ? Croire que NIS2 ne concerne que les « grands groupes » ou les secteurs critiques comme l’énergie et la santé. En réalité, si vous êtes sous-traitant ou fournisseur d’une entreprise soumise à NIS2, vous êtes probablement concerné vous aussi ; même si vous êtes une PME.

2. Mon entreprise est-elle concernée par NIS2 ?

Si votre entreprise entre dans ces deux catégories, vous êtes vraisemblablement soumis à NIS2 2.

CatégorieTailleSecteursSanction maximum
Entité Essentielle (EE)+250 salariés OU +50 M€ de CAÉnergie, transport, santé, eau, infrastructure numérique, banque, marchés financiers, administration10 M€ ou 2 % du CA mondial
Entité Importante (EI)+50 salariés OU +10 M€ de CAServices postaux, gestion des déchets, chimie, agroalimentaire, fabrication industrielle, services numériques7 M€ ou 1,4 % du CA mondial

Et si vous êtes sous-traitant ?

C’est le point que beaucoup de dirigeants négligent. NIS2 impose aux entités essentielles et importantes de sécuriser leur chaîne d’approvisionnement. Concrètement ? Vos clients vont vous demander des garanties sur votre niveau de cybersécurité. Si vous ne pouvez pas les fournir, vous risquez de perdre des marchés avant même que la loi vous impose une amende.Pour vérifier si vous êtes concerné : rendez-vous sur messervices.cyber.gouv.fr/nis2, le site officiel de l’ANSSI. Vous pouvez également profiter d’un premier diagnostic cyber gratuit offert par Copwell , labellisé Expert Cyber 2026, pour obtenir les premières recommandations à mettre en place pour améliorer la cybersécurité de votre organisation.

3. Où en est la France ? Le calendrier NIS2

La date limite européenne de transposition était le 17 octobre 2024. La France a marqué un temps de retard, voici les nouvelles échéances :

  • Décembre 2022 : Adoption de la directive NIS2 par l’UE. Entrée en vigueur le 16 janvier 2023.
  • 17 octobre 2024 : Date limite de transposition. Dépassée par la France.
  • 12 mars 2025 : Adoption au Sénat du projet de loi Résilience.
  • 10 septembre 2025 : Vote à l’unanimité en commission spéciale à l’Assemblée nationale.
  • Novembre 2025 : Ouverture de MonEspaceNIS2, plateforme officielle ANSSI pour le pré-enregistrement.
  • 17 mars 2026 : Publication du ReCyF v2.5 par l’ANSSI : 152 mesures sur 20 objectifs de sécurité.
  • Été 2026 (prévu) : Vote en hémicycle et promulgation de la loi Résilience. Les décrets techniques suivront.
Attention : Ne confondez pas retard de transposition et absence d’obligation. La directive NIS2 est déjà applicable en droit européen. Les assureurs renforcent leurs exigences, vos grands clients demandent des garanties, et les contrôles débuteront dès la promulgation; sans délai prévu pour les retardataires.

4. Ce que NIS2 vous oblige à faire concrètement

L’article 21 de la directive NIS2 liste 10 mesures de cybersécurité obligatoires. Voici ce qu’elles signifient en pratique :

  1. Politique de sécurité documentée : Votre approche des risques IT doit être écrite, connue et mise à jour.
  2. Gestion des incidents : Détection, réponse et notification. Délais : alerte 24h, notification 72h, rapport final 1 mois.
  3. Plan de continuité d’activité (PCA / PRA) : En cas de cyberattaque, comment reprenez-vous l’activité ? Ce plan doit exister et être testé.
  4. Sécurité de la chaîne d’approvisionnement : Évaluer le niveau de sécurité de vos fournisseurs et prestataires IT critiques.
  5. Sécurité des achats IT : Vos appels d’offres pour du matériel ou des logiciels doivent intégrer des critères de sécurité.
  6. Évaluation de l’efficacité des mesures : Audits réguliers pour vérifier que vos protections fonctionnent réellement.
  7. Formation cybersécurité des équipes : Tous vos collaborateurs doivent recevoir une sensibilisation régulière (phishing, mots de passe…).
  8. Chiffrement des données sensibles : Les données critiques doivent être chiffrées en transit et au repos.
  9. Gestion des accès et des identités : Politique claire sur qui accède à quoi, avec révocation immédiate lors des départs.
  10. Authentification multi-facteur (MFA) obligatoire sur tous les accès sensibles : messagerie, VPN, applications métier, administration IT.
Bonne nouvelle : Si vous avez déjà un contrat d’infogérance avec supervision proactive comme ceux proposés par Copwell prestataire d’infogérance certifié ExpertCyber par Cybermalveillance.gouv.fr, basé à Paris et Île-de-France, MFA déployé, sauvegardes externalisées et plan de reprise d’activité, vous avez probablement couvert 60 à 70 % des obligations NIS2. Le reste est essentiellement documentaire et organisationnel.

5. Les sanctions : des chiffres réels

10 M€ ou 2 % du CA mondial (Entité Essentielle)7 M€ ou 1,4 % du CA mondial (Entité Importante)~70 k€ amende max. pour une PME de 5 M€ de CA (EI)

Au-delà des amendes, vous recevez des injonctions de mise en conformité, suspension de certifications, interdiction temporaire d’exercer pour les dirigeants responsables d’un manquement grave.

6. La responsabilité personnelle du dirigeant

C’est le point le plus important et le moins connu. NIS2 introduit une disposition qui indique clairement que les membres des organes de direction peuvent être tenus personnellement responsables du non-respect des obligations.

Cela signifie que si votre entreprise subit une cyberattaque majeure à cause d’une négligence avérée (absence de MFA, pas de plan de continuité, pas de politique documentée), c’est vous, en tant que dirigeant, qui pouvez faire l’objet d’une sanction individuelle y compris une interdiction d’exercer.

Point clé dirigeant : NIS2 impose explicitement que les dirigeants suivent des formations en cybersécurité et supervisent activement la mise en conformité. Ce n’est plus seulement l’entreprise qui risque une sanction, c’est aussi le dirigeant à titre individuel.

7. Par où commencer ? La feuille de route NIS2

  1. Vérifiez si vous êtes concerné : Consultez la liste des 18 secteurs NIS2 et vos seuils (50 salariés ou 10 M€ de CA pour une EI).
  2. Pré-enregistrez-vous sur MonEspaceNIS2 : Plateforme ANSSI ouverte depuis novembre 2025.
  3. Réalisez un audit de cybersécurité : Cartographiez vos actifs, identifiez les vulnérabilités et équipements en fin de vie.
  4. Déployez les mesures prioritaires : MFA, sauvegardes testées, mises à jour systématiques, segmentation réseau.
  5. Documentez votre politique de sécurité : Qui fait quoi en cas d’incident ? Quelles données sont sensibles ? Qui accède à quoi ?
  6. Formez vos équipes : Sensibilisation phishing, bonnes pratiques. NIS2 exige une formation régulière des collaborateurs ET des dirigeants.
  7. Définissez votre Plan de Reprise d’Activité : Que se passe-t-il si votre serveur est chiffré un lundi matin ? Objectif : reprendre en moins de 24h.
  8. Évaluez vos sous-traitants IT : Demandez à votre prestataire informatique ses certifications et son niveau de conformité NIS2.
Ressource officielle : L’ANSSI a publié en mars 2026 le ReCyF v2.5 (Référentiel Cyber France), un cadre de 152 mesures concrètes sur 20 objectifs de sécurité. Disponible sur cyber.gouv.fr, c’est la feuille de route opérationnelle de référence pour anticiper NIS2.

8. Comment Copwell vous aide à vous mettre en conformité

Copwell, certifié ExpertCyber par Cybermalveillance.gouv.fr et présent aux côtés des PME franciliennes depuis plus de 25 ans, intègre les obligations NIS2 dans ses offres d’infogérance :

  • Audit de cybersécurité gratuit : Cartographie de votre SI, identification des failles, rapport priorisé
  • Déploiement du MFA : Sur toutes vos applications et accès distants
  • Supervision proactive : Détection et traitement des incidents avant qu’ils ne deviennent des crises
  • Sauvegardes externalisées testées et Plan de Reprise d’Activité (PRA) opérationnel
  • Sensibilisation de vos équipes au phishing et aux bonnes pratiques
  • Documentation de votre politique de sécurité conforme NIS2 et RGPD
  • Accompagnement au pré-enregistrement ANSSI et suivi de conformité dans le temps

Nos offres all-inclusive intègrent une brique cybersécurité complète à partir de 54 € HT/mois par utilisateur ; un coût négligeable par rapport à un incident non géré, estimé à plus de 50 000 € pour une PME française (source : CPME / Hiscox).

Votre entreprise mérite
un partenaire fiable,
réactif et engagé.

Contactez-nous
Recevez votre diagnostic gratuit en 24h