Conformité NIS2 complète pour les PME & Collectivités — 20 objectifs ANSSI couverts (à partir de 49,99 € HT/mois)

100% made in France & hébergé en France

Anticipez NIS2 2026 : évitez les coûts cachés et réduisez vos primes cyber !

NIS2FACILE
NIS2Mars 2026·7 min de lecture

Guide pratique NIS2 pour les PME : checklist complète 2026

En mars 2026, la transposition de la directive NIS2 (UE 2022/2555) en France est encore en cours. Le cadre opérationnel se précise progressivement via le référentiel ReCyF v2.5 (ANSSI, 17 mars 2026). Ce guide pratique vous explique si votre PME est concernée, quelles sont vos obligations, et comment vous préparer dès maintenant.

1. NIS2 en 2026 : où en est-on en France ?

La directive NIS2 (UE 2022/2555) est entrée en vigueur le 16 janvier 2023. Les États membres devaient adopter leurs mesures de transposition au plus tard le 17 octobre 2024, pour une application à compter du 18 octobre 2024. En France, la transposition passe par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, toujours en cours au mois de mars 2026.

Sans attendre le texte définitif, l'ANSSI structure le cadre opérationnel : le référentiel ReCyF v2.5 (version de travail, publiée le 17 mars 2026) définit 152 mesures applicables et contrôlables sur 20 objectifs de sécurité. Les entreprises ont intérêt à se préparer dès maintenant - gouvernance, gestion des risques, sécurité des accès, continuité d'activité, gestion des incidents et maîtrise des fournisseurs constituent déjà le socle attendu.

Environ 15 000 entités sont concernées en France (contre ~500 sous NIS1). Beaucoup de TPE/PME dans les secteurs Annexe II (fournisseurs IT, MSP, fabrication, services postaux, etc.) sont désormais classées « importantes ».

2. Êtes-vous concerné ? Les seuils pour les PME

Critères cumulatifs (taille + secteur) :

  • Entité importante : ≥ 50 salariés OU CA annuel > 10 M€ OU bilan > 10 M€
  • Entité essentielle : ≥ 250 salariés OU CA > 50 M€ OU bilan > 43 M€
  • Secteurs : 18 secteurs étendus (Annexes I & II NIS2) — énergie, transport, santé, finance, eau, numérique (cloud, data centers, MSP, fournisseurs IT…), gestion des déchets, fabrication de produits critiques, services postaux, espace…

Exception : les micro-entreprises (<10 salariés ET CA <2 M€) sont généralement exemptées, sauf si « prestataire exclusif » ou « désigné critique » par l'ANSSI.

Action immédiate : testez votre éligibilité en 2 minutes avec notre simulateur gratuit.

3. Les 10 obligations principales pour une PME (Art. 21 NIS2)

  1. 1

    Gouvernance & responsabilité de la direction

    La direction doit approuver, superviser et suivre une formation cybersécurité.

  2. 2

    Analyse & gestion des risques

    Identifier, évaluer et traiter les risques cyber (approche proportionnée).

  3. 3

    Sécurité de la chaîne d'approvisionnement

    Évaluer et contractualiser la sécurité des fournisseurs.

  4. 4

    Gestion des incidents

    Détecter, qualifier, notifier (24h/72h), et réaliser un RETEX.

  5. 5

    Continuité d'activité

    Sauvegardes, plans de réponse, tests réguliers.

  6. 6

    Sécurité des systèmes

    Politiques d'accès, MFA, chiffrement, gestion des correctifs.

  7. 7

    Hygiène cyber de base

    Antivirus, formation anti-phishing, segmentation réseau.

  8. 8

    Cryptographie & authentification forte

    Obligatoire quand pertinent.

  9. 9

    Formation & sensibilisation

    Personnel + direction.

  10. 10

    Audits & preuves

    Tenir un registre, pouvoir démontrer la conformité (preuves documentées).

4. Checklist complète en 8 étapes

Étape 1 – Scoping & Inscription

  • Auto-évaluer si entité essentielle / importante (secteur + taille)
  • Vérifier l'inscription sur Mon Espace NIS2 / ANSSI (obligatoire 2026)
  • Nommer un référent NIS2 interne

Étape 2 – Gouvernance

  • Direction formée (au moins 1 session 2026)
  • Risques cyber présentés en COMEX / direction
  • Politique cybersécurité signée par la direction

Étape 3 – Analyse des risques

  • Cartographier le SI critique
  • Identifier les menaces / vulnérabilités principales
  • Prioriser 5 à 10 risques majeurs

Étape 4 – Mesures techniques de base (20 objectifs ANSSI)

  • MFA sur tous les accès distants / email / admin
  • Antivirus sur postes & serveurs
  • Sauvegardes testées (règle 3-2-1)
  • Correctifs appliqués < 1 mois pour les critiques
  • Segmentation réseau (OT/IT si applicable)

Étape 5 – Gestion des incidents

  • Procédure écrite de détection / qualification / notification
  • Testé au moins 1 scénario (phishing, ransomware…)
  • Registre des incidents tenu à jour

Étape 6 – Chaîne d'approvisionnement

  • Liste des fournisseurs critiques établie
  • Clauses cybersécurité dans les contrats
  • Audit / questionnaire annuel fournisseurs

Étape 7 – Formation & sensibilisation

  • Formation anti-phishing annuelle pour tous les collaborateurs
  • Sensibilisation de la direction (responsabilité personnelle)
  • Campagne interne de sensibilisation

Étape 8 – Preuves & amélioration continue

  • Registre risques + incidents + actions correctives
  • RETEX après chaque incident significatif
  • Revue annuelle par la direction

5. Délais et sanctions en 2026

  • Dès maintenant : auto-évaluation + premières mesures (gouvernance, MFA, incidents).
  • Mi-2026 : inscription complète + notification incidents effective.
  • Fin 2026 : audits renforcés pour entités essentielles (supervision ex-ante).
  • Jusqu'à 7 M€ ou 1,4 % du CA pour les entités importantes.
  • Jusqu'à 10 M€ ou 2 % du CA pour les entités essentielles.
  • Responsabilité personnelle de la direction (amendes, interdiction d'exercer).

6. Ressources officielles

  • Site ANSSI : ssi.gouv.fr/nis2
  • Portail Mon Espace NIS2 (inscription obligatoire)
  • Guide ENISA NIS2 Technical Implementation

Ce guide est fourni à titre informatif — consultez toujours les textes officiels ANSSI et un conseil juridique pour votre situation spécifique.

Prêt à structurer votre conformité NIS2 ?

20 objectifs ANSSI couverts · Rapport exportable · Hébergé en France

Tester mon éligibilité gratuitementVoir les tarifs