NIS2 PME 2026 : qui est concerné, obligations, sanctions

Réponse rapide. La directive (UE) 2022/2555, dite NIS2, devait être transposée en droit français au 17 octobre 2024. Le projet de loi résilience a été adopté par le Sénat le 12 mars 2025 et en commission spéciale à l'Assemblée nationale en septembre 2025 ; son examen en séance publique est attendu pour l'été 2026. Le périmètre français porte sur 15 000 à 18 000 entités réparties en entités essentielles (EE) et entités importantes (EI), avec des sanctions plafonnées à 10 M€ ou 2 % du chiffre d'affaires mondial pour les EE et 7 M€ ou 1,4 % pour les EI.

NIS2 n'est plus un dossier purement informatique. En mai 2026, la quasi-totalité des PME et ETI françaises a déjà reçu, dans les douze derniers mois, soit un questionnaire cyber de la part d'un client grand compte, soit une demande d'attestation de la part d'un assureur, soit une mise en cause après une tentative d'hameçonnage ciblé. La directive (UE) 2022/2555 du 14 décembre 2022, publiée au JOUE le 27 décembre 2022, a en effet considérablement élargi le périmètre par rapport à NIS1 : on passe d'environ 500 opérateurs critiques à plus de 15 000 entités, selon l'estimation reprise par le Sénat dans son dossier législatif.

L'enjeu, pour les dirigeants, n'est plus de savoir si la cybersécurité est utile, mais d'arbitrer entre trois questions concrètes : sommes-nous dans le champ direct de NIS2 ? Devons-nous néanmoins prouver une maturité minimale parce que nos donneurs d'ordre le réclament ? Et comment financer ce chantier sans grever la trésorerie 2026-2027 ?

Chez Hayot Expertise, nous accompagnons en 2026 plusieurs PME parisiennes confrontées à des chaînes contractuelles complexes : une scale-up SaaS éditrice d'un outil utilisé par une banque s'est ainsi vu demander un audit cyber en moins de huit semaines, alors qu'elle n'est pas elle-même assujettie. Ce type de situation rend la connaissance de NIS2 indispensable même hors champ direct. Cet audit de conformité 2026 : méthode et livrables et notre article sur le cabinet d'audit organisationnel : à quoi sert-il sont des points d'entrée utiles à lire en parallèle.

La directive NIS2 imposait aux États membres une transposition pour le 17 octobre 2024. La France a déposé le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité — dit "projet de loi résilience" — devant le Sénat en octobre 2024. Le texte transpose simultanément trois textes européens : NIS2, le règlement DORA (résilience numérique du secteur financier) et la directive REC (résilience des entités critiques).

En parallèle, l'ANSSI a publié le Référentiel Cyber France (ReCyF) depuis le 17 mars 2026. Ce document n'est pas obligatoire par défaut, mais il anticipe les mesures qui seront probablement exigées des futurs assujettis. La FAQ MonEspaceNIS2 et le simulateur d'éligibilité en ligne permettent dès aujourd'hui de vérifier sa situation.

À noter. Une mise en demeure formelle est intervenue de la part de la Commission européenne contre la France pour défaut de transposition. Les PME qui parient sur un report indéfini prennent un risque d'agenda compressé : si le texte est voté à l'été 2026, les premières obligations pourraient s'appliquer dès l'automne 2026 ou début 2027 selon les décrets d'application.

NIS2 classe les entités assujetties en deux catégories selon la criticité du secteur et la taille de l'organisation. La directive énumère les secteurs aux annexes I (secteurs hautement critiques) et II (autres secteurs critiques).

Secteurs hautement critiques (annexe I)#

Énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (cloud, datacenters, DNS, registre TLD), gestion des services TIC, administration publique, espace.

Autres secteurs critiques (annexe II)#

Services postaux et de courrier, gestion des déchets, fabrication, production et distribution de produits chimiques, production et distribution alimentaire, fabrication de dispositifs médicaux, fabrication informatique/électronique/optique, fabrication d'équipements électriques, fabrication de véhicules, fournisseurs numériques (places de marché, moteurs de recherche, plateformes de réseaux sociaux), recherche.

Seuils de taille (règle générale)#

Une entité d'un secteur hautement critique dépassant les seuils EE relève automatiquement de la catégorie EE. Une entité d'un secteur critique dans les seuils EI relève de la catégorie EI. Les seuils s'apprécient au niveau de l'entité, voire du groupe, selon l'organisation économique réelle. Des cas particuliers existent (fournisseurs uniques d'un service, opérateurs identifiés par les autorités, administrations publiques) : la lecture sectorielle est indispensable. Le simulateur MonEspaceNIS2 reste la première étape de tri.

La directive impose des obligations de gouvernance et des mesures techniques minimales, énumérées notamment à l'article 21 de NIS2. Les exigences sont proportionnées : plus stricte pour les EE, plus légère pour les EI, mais les fondamentaux sont communs.

Gouvernance et responsabilité du dirigeant#

Les organes de direction (au sens du Code de commerce : président, directeur général, gérant, conseil d'administration) approuvent les mesures de gestion des risques cyber, en supervisent la mise en œuvre et peuvent être tenus pour responsables en cas de violation. Une formation cyber est exigée pour les dirigeants et recommandée pour le personnel. C'est une rupture forte par rapport à NIS1 : la cybersécurité quitte l'unique périmètre de la DSI.

Mesures techniques et organisationnelles minimales#

L'article 21 de la directive impose au minimum :

1. Une politique d'analyse des risques et de sécurité des systèmes d'information.
2. La gestion des incidents (détection, qualification, traitement, retour d'expérience).
3. La continuité d'activité, incluant la gestion des sauvegardes et la reprise après sinistre.
4. La sécurité de la chaîne d'approvisionnement, y compris les fournisseurs et prestataires critiques.
5. La sécurité de l'acquisition, du développement et de la maintenance des systèmes (gestion des vulnérabilités, divulgation responsable).
6. Des politiques d'évaluation de l'efficacité des mesures de cybersécurité.
7. Des pratiques de base d'hygiène cyber et de formation à la cybersécurité.
8. Des politiques relatives à l'usage de la cryptographie et, le cas échéant, du chiffrement.
9. La sécurité des ressources humaines, des accès et la gestion des actifs.
10. L'utilisation de l'authentification multifacteur (MFA) ou continue, des communications sécurisées et des systèmes de communication d'urgence.

Notification des incidents : la règle 24h / 72h / 1 mois#

L'article 23 de la directive impose un signalement gradué au CSIRT national (en France, le CERT-FR rattaché à l'ANSSI) :

Un incident est qualifié d'"important" lorsqu'il a causé ou est susceptible de causer une perturbation opérationnelle grave ou des pertes financières pour l'entité concernée, ou lorsqu'il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales (clients, partenaires).

NIS2 prévoit un régime de sanctions inspiré du RGPD, à des montants plafonds plus élevés et avec une responsabilité personnelle du dirigeant. La transposition française peut renforcer ces seuils sans pouvoir les abaisser.

L'autorité de contrôle nationale est l'ANSSI, qui dispose de pouvoirs d'inspection, d'audit et de mise en demeure. La gravité du manquement, la coopération de l'entité, l'ampleur du préjudice et les circonstances atténuantes pèsent dans la décision. La publication nominative d'une sanction reste, en pratique, le risque réputationnel le plus redouté par les directions générales.

Une PME peut survivre quelques heures sans site marketing. Elle survit beaucoup moins bien sans paie, banque, facturation, ERP, caisse, fichiers clients ou accès aux justificatifs comptables. La cybersécurité est donc, autant qu'un sujet DSI, un sujet de direction financière et de continuité d'exploitation.

La question utile n'est pas "où sont les serveurs ?" mais "combien de jours l'entreprise tient-elle sans facturer, payer, déclarer ?". Cette approche par les flux de trésorerie rejoint les principes du pilotage financier PME 2026 : tableaux de bord et KPI et le passage à la facturation électronique 2026 : guide PME, qui démultiplie la dépendance aux systèmes informatiques.

NIS2 prévoit des cas où l'assujettissement s'applique indépendamment de la taille :

• Fournisseurs uniques d'un service essentiel dans un État membre.
• Prestataires dont l'interruption du service aurait un impact significatif sur la sûreté publique, la sécurité ou la santé.
• Fournisseurs identifiés par les autorités nationales comme étant d'importance critique.
• Administrations publiques de niveau central et régional (loi Résilience étend en France à environ 1 500 collectivités territoriales et organismes sous tutelle).
• Fournisseurs de services DNS, registres de noms de domaine de premier niveau, prestataires de services de confiance qualifiés.

Surtout, des milliers de PME hors champ direct seront sollicitées par leurs donneurs d'ordre. Une banque, un hôpital, un opérateur de transports ou une administration assujettie devra s'assurer que ses sous-traitants critiques respectent un socle cyber minimum. Les exigences seront généralement formalisées dans les conditions générales d'achat, les questionnaires fournisseurs et les clauses contractuelles. C'est cette transmission "en cascade" qui rendra le sujet incontournable en 2026-2027 pour de nombreuses PME indirectement concernées.

Les PME éditrices de logiciels SaaS sont les plus exposées : nous renvoyons à notre lecture sectorielle startups tech, qui détaille les attentes des grands comptes en matière de sécurité applicative et d'hébergement.

Le sujet NIS2 peut paraître écrasant en première lecture. En pratique, une PME bien organisée peut sécuriser l'essentiel en six mois, sur un budget compris entre 15 000 € et 80 000 € selon la taille et la maturité initiale. Voici la trame que nous appliquons chez Hayot Expertise pour nos clients PME et ETI.

1. Mois 1 — Diagnostic et qualification. Test d'éligibilité MonEspaceNIS2, cartographie des actifs critiques (applications, données, prestataires), revue des contrats clients en cours pour repérer les exigences cyber contractuelles. Livrable : note de cadrage validée par la direction.
2. Mois 2 — Gouvernance. Désignation d'un responsable cyber (interne ou externe), formation des dirigeants, mise à jour de la délégation de pouvoirs, intégration du risque cyber au comité de direction. Livrable : charte cyber et compte rendu de comité.
3. Mois 3 — Quick wins techniques. MFA généralisée (banque, messagerie, paie, comptabilité, ERP), revue des comptes administrateurs, segmentation réseau de base, plan d'antivirus/EDR. Livrable : registre des accès et plan de remédiation.
4. Mois 4 — Sauvegardes et continuité. Inventaire des sauvegardes, test effectif de restauration, plan de continuité d'activité (PCA) ciblé sur paie, facturation et banque. Livrable : procès-verbal de test de restauration.
5. Mois 5 — Sous-traitance et fournisseurs. Cartographie des prestataires critiques, mise à jour des clauses contractuelles (réversibilité, sécurité, notification d'incident), questionnaires fournisseurs. Livrable : registre fournisseurs avec niveau de criticité.
6. Mois 6 — Plan d'incident et exercice. Procédure d'incident (qui appeler, quoi couper, quoi déclarer), exercice de simulation type "ransomware un vendredi soir", revue d'assurance cyber, présentation au comité d'audit. Livrable : plan d'incident testé et compte rendu d'exercice.

Cette feuille de route mobilise notre offre de transformation digitale de la fonction finance PME, notre service DAF externalisé startup et PME à Paris et l'expertise comptable Paris 8. Pour les sujets connexes, nous orientons vers nos articles DPO obligatoire : analyse 2026, AI Act PME 2026 : obligations et conformité et cyber-assurance PME : cadrage comptable et fiscal 2026. Un tableau de bord Power BI pour le suivi cyber permet d'industrialiser le pilotage (accès, incidents, plans d'action).

• Ne pas confondre NIS1 (abrogée le 18 octobre 2024) et NIS2 : la base juridique a changé.
• Ne pas attendre la promulgation du projet de loi résilience pour commencer : l'agenda 2026-2027 sera serré.
• Vérifier les clauses d'assurance cyber : les contrats récents excluent souvent les ransomwares non déclarés à l'ANSSI ou les défauts de MFA.
• Les sauvegardes non testées donnent une fausse sécurité ; seul un test de restauration documenté vaut preuve.
• La fraude au président et la fraude au virement restent les premiers vecteurs d'impact financier — souvent hors champ NIS2 stricto sensu mais critiques pour le DAF.
• Documenter même la conclusion "hors champ" : un courrier de qualification daté et signé du dirigeant constitue une protection en cas de contrôle ou de demande client.

Conseil Hayot Expertise. Ne traitez pas NIS2 comme un sujet ponctuel de conformité. Construisez d'abord une gouvernance cyber crédible (responsable nommé, comité régulier, formation des dirigeants), puis itérez sur les mesures techniques. La majorité des sanctions infligées en Europe depuis l'entrée en vigueur de NIS2 portent sur des défauts de gouvernance plus que sur des défaillances techniques isolées. Documentez tout : c'est la documentation qui protège, autant que les outils déployés.

• NIS2 (directive UE 2022/2555) élargit le périmètre cyber à 15 000-18 000 entités françaises.
• Deux catégories : entités essentielles (EE, secteurs hautement critiques, > 250 salariés ou > 50 M€) et entités importantes (EI, 50-250 salariés ou 10-50 M€).
• Notification d'incident obligatoire à l'ANSSI/CERT-FR sous 24h (alerte), 72h (notification) et 1 mois (rapport final).
• Sanctions plafonnées à 10 M€ ou 2 % du CA mondial pour les EE, 7 M€ ou 1,4 % pour les EI, avec responsabilité personnelle du dirigeant.
• Le projet de loi résilience devrait être adopté à l'été 2026, avec premières obligations applicables fin 2026 / début 2027.
• Même hors champ direct, de nombreuses PME devront prouver une maturité cyber minimale à leurs donneurs d'ordre.