La directive européenne NIS2 (Network and Information Security 2) entre en application le 17 octobre 2026 dans tous les États membres. En France, la transposition législative est en cours via l'ANSSI. Si votre TPE ou PME n'est pas directement dans le périmètre NIS2, il y a de fortes chances qu'elle le soit indirectement — en tant que sous-traitant ou fournisseur d'une entité régulée. 80 % des PME françaises sont concernées d'une façon ou d'une autre.
NIS2 : ce que la directive change par rapport à NIS1
NIS1 (2016) concernait un périmètre étroit : opérateurs de services essentiels et fournisseurs de services numériques. NIS2 élargit considérablement le champ : 18 secteurs couverts (vs 7), un seuil abaissé (entreprises de plus de 50 salariés ou 10 M€ de CA), et surtout une obligation de sécuriser toute la chaîne d'approvisionnement. C'est ce dernier point qui impacte les TPE : si vous fournissez une entité régulée NIS2, vos propres pratiques de sécurité devront être justifiables.
Qui est directement concerné en France ?
Les entités «importantes» (50 à 250 salariés, 10 à 50 M€ de CA) et «essentielles» (>250 salariés ou >50 M€) dans les secteurs clés : énergie, transport, santé, eau, infrastructure numérique, services financiers, administrations, gestion des déchets, industrie alimentaire, chimie, fabrication, services postaux, spatial. Les sous-traitants et fournisseurs de ces entités entrent dans le périmètre indirect par l'obligation d'audit de la chaîne d'approvisionnement.
Les sanctions prévues et leur calendrier
NIS2 prévoit des sanctions administratives pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 M€ ou 1,4 % pour les entités importantes. En France, l'ANSSI disposera de pouvoirs d'audit et d'injonction. Le calendrier d'application graduelle court de fin 2026 à 2028 selon les secteurs, mais les premières obligations de déclaration entrent en vigueur dès octobre 2026.
5 mesures prioritaires
Cartographier vos actifs informatiques critiques
Avant toute démarche NIS2, il faut savoir ce qu'on protège : liste des serveurs, postes, applications métiers, données sensibles et interconnexions. Sans inventaire, pas de plan de sécurité crédible.
Réaliser une analyse de risques documentée
NIS2 exige une gestion des risques formalisée. Un audit IT structuré (généralement 2 à 4 jours pour une PME) permet d'identifier les risques prioritaires et de prioriser les investissements de sécurité.
Mettre en place la gestion des incidents et la notification
NIS2 impose de notifier l'ANSSI dans les 24h suivant la découverte d'un incident significatif. Il faut donc un processus de détection (SIEM ou EDR), une procédure d'escalade et des contacts identifiés.
Sécuriser la chaîne d’approvisionnement et les tiers
Auditer vos fournisseurs IT critiques (MSP, éditeurs, cloud), inclure des clauses de sécurité dans vos contrats et documenter les accès tiers à vos systèmes. C'est souvent le chantier le plus sous-estimé.
Former la direction et désigner un responsable sécurité
NIS2 engage explicitement la responsabilité des dirigeants. La directive exige une formation des instances de direction et la désignation d'un responsable (RSSI interne ou externalisé) identifiable par l'autorité de régulation.
NIS2 n'est pas une contrainte de plus à gérer dans l'urgence en octobre 2026. C'est une opportunité de structurer votre sécurité informatique de façon durable. Les entreprises qui anticipent dès maintenant transforment une obligation réglementaire en avantage concurrentiel : elles rassurent leurs clients et donneurs d'ordre sur leur niveau de maturité cyber. Si vous ne savez pas où vous en êtes, un audit gratuit de 30 minutes vous donnera une première lecture de votre position vis-à-vis de NIS2.