NIS2 et PME : êtes-vous concerné, et par où
commencer ?
Seuils de taille, entités essentielles vs importantes, effet ruissellement via la sous-traitance, calendrier France 2026 : le guide honnête pour savoir si NIS2 concerne votre PME, et les premières étapes concrètes pour s'y mettre.
Maxime Jérôme··8 min de lecture
Vous dirigez une PME, vous faites de l'agroalimentaire, de la logistique, de l'édition de logiciels ou vous bricolez du M365 pour des clients, et un beau matin un donneur d'ordre vous envoie un questionnaire de 80 lignes intitulé « exigences de cybersécurité NIS2 ». Réaction la plus fréquente : « Attendez, je suis concerné, moi ? ». Spoiler : peut-être directement, peut-être par ricochet, et dans les deux cas il vaut mieux le savoir avant que le client ne décide pour vous.
Cet article décortique la directive NIS2 sous l'angle qui vous intéresse vraiment : celui de la PME et de l'ETI. Qui est concerné, comment lire les seuils, la différence entre entités essentielles et entités importantes, le fameux effet « ruissellement » par la chaîne de sous-traitance, le calendrier de la transposition française, et surtout par où commencer sans paniquer. Disclaimer d'usage : on est pentesters, pas avocats. Ceci n'est pas un conseil juridique, le droit évolue, et le texte qui fait foi reste la directive elle-même.
NIS2 en deux minutes, version PME
La directive (UE) 2022/2555, dite NIS2, est le nouveau cadre européen de cybersécurité. Elle remplace NIS1 et élargit énormément le périmètre : là où NIS1 visait environ 500 entités en France, NIS2 en concernerait plusieurs milliers selon les estimations de l'ANSSI. Beaucoup d'organisations qui se croyaient hors-radar vont découvrir qu'elles sont dans le viseur.
L'idée de fond : la directive ne s'applique pas « à toutes les entreprises ». Elle vise des secteurs jugés critiques (énergie, santé, transports, banque, infrastructures numériques, eau, agroalimentaire, fabrication, services postaux, gestion des déchets, fournisseurs de services numériques, etc.), et au sein de ces secteurs, des entités qui dépassent certains seuils de taille. Si vous n'êtes ni dans un secteur listé, ni au-dessus des seuils, vous n'êtes en principe pas directement assujetti. Le mot « directement » est important, on y revient (l'effet de ruissellement, c'est le twist du film).
Suis-je concerné ? La règle des deux portes
Pour savoir si NIS2 s'applique directement à vous, il faut franchir deux portes : la porte secteur et la porte taille. Les deux doivent être ouvertes en même temps.
+------------------------------------------+
| Mon secteur est-il dans les annexes ? |
| (energie, sante, transport, numerique, |
| agro, fabrication, dechets, postal...) |
+---------------------+--------------------+
| NON | OUI
v v
+------------------+ +----------------------------+
| Pas assujetti | | Je depasse les seuils ? |
| DIRECTEMENT | | (>= 50 salaries OU |
| (mais voir la | | >= 10 M EUR de CA/bilan) |
| sous-traitance) | +------+---------------+-----+
+------------------+ | NON | OUI
v v
+-----------------+ +----------------------+
| Hors seuil = | | ASSUJETTI |
| a priori non | | Essentielle (grande) |
| (sauf cas | | ou Importante |
| particuliers) | | (moyenne) |
+-----------------+ +----------------------+Pour les seuils, NIS2 reprend les catégories de taille de la recommandation européenne 2003/361 (la définition officielle des PME). En première approche :
- Microentreprise (moins de 10 salariés et moins de 2 M€) : en général hors périmètre direct.
- Petite et moyenne entreprise (à partir de 50 salariés, ou 10 M€ de chiffre d'affaires ou de bilan) : dans le périmètre si le secteur est listé, typiquement en entité importante.
- Grande entreprise (250 salariés et plus, ou 50 M€ de CA, ou 43 M€ de bilan) : typiquement en entité essentielle sur les secteurs hautement critiques.
Les seuils ont des exceptions
Essentielle ou importante : quelle différence concrète ?
NIS2 range les entités assujetties en deux familles. Les entités essentielles (EE) sont surtout les grandes entreprises des secteurs hautement critiques. Les entités importantes (EI) regroupent les structures plus modestes, ou des secteurs critiques de second rang. Bonne nouvelle pour les PME : vous tomberez le plus souvent dans la case « importante », au régime un peu plus souple. Les obligations de sécurité de fond (l'article 21) restent toutefois largement comparables : la différence se joue surtout sur la supervision et sur le plafond des sanctions.
| Critère | Entité essentielle (EE) | Entité importante (EI) |
|---|---|---|
| Profil type | Grande entreprise, secteur hautement critique | PME / ETI, secteur critique |
| Supervision | Proactive (contrôles ex ante) | A posteriori (sur incident ou signalement) |
| Mesures de sécurité (art. 21) | Obligatoires | Obligatoires (même socle) |
| Notification d'incident | Oui (alerte précoce 24 h) | Oui (alerte précoce 24 h) |
| Plafond de sanction | Jusqu'à 10 M€ / 2 % du CA mondial | Jusqu'à 7 M€ / 1,4 % du CA mondial |
Les montants exacts et les modalités de supervision seront précisés par la loi française de transposition : prenez ces chiffres comme l'ordre de grandeur fixé par la directive, pas comme une grille tarifaire gravée dans le marbre.
L'effet ruissellement : concerné sans être concerné
Voici le passage que beaucoup de dirigeants ratent. Même si votre PME ne franchit ni la porte secteur, ni la porte taille, vous pouvez quand même vous retrouver à appliquer des exigences NIS2. Pourquoi ? À cause de l'article 21(2)(d), qui impose aux entités assujetties de sécuriser leur chaîne d'approvisionnement, « y compris les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ».
Traduction : vos clients grands comptes, eux, sont assujettis. Pour rester conformes, ils doivent évaluer la cybersécurité de leurs fournisseurs… donc la vôtre. Concrètement, ça arrive sous la forme de clauses contractuelles, de questionnaires sécurité, d'audits, voire d'exigences de certification. Vous n'êtes pas régulé par l'État, mais vous êtes régulé par votre carnet de commandes. Et ça, ça pique tout autant.
+-------------------------+
| Grand compte (EE/EI) | <- assujetti NIS2
| art. 21(2)(d) chaine |
+-----------+-------------+
| exige des garanties cyber
v
+-------------------------+
| Votre PME (fournisseur)| <- pas assujettie directement...
| questionnaires, clauses| ...mais contrainte par contrat
+-----------+-------------+
| repercute a son tour
v
+-------------------------+
| Vos sous-traitants | <- la cascade continue
+-------------------------+Le bon réflexe commercial
Calendrier France : où on en est en 2026
Côté agenda, soyons honnêtes : la France a pris du retard sur la date limite européenne. La transposition passe par la loi dite « Résilience », dont l'adoption définitive est attendue courant 2026. En attendant le texte final, l'ANSSI a déjà publié des outils opérationnels :
- le portail MonEspaceNIS2, avec un simulateur pour tester votre assujettissement et, à terme, vous enregistrer ;
- le Référentiel Cyber France (ReCyF), qui détaille les mesures de sécurité recommandées pour atteindre les objectifs de NIS2.
Autrement dit : le cadre opérationnel existe déjà, même si le texte de loi se fait attendre. Inutile de jouer la montre : les exigences de fond ne vont pas se ramollir, et vos clients, eux, n'attendent pas le Journal officiel pour vous envoyer leurs questionnaires.
Par où commencer concrètement (sans cabinet à 50 k€)
Pas besoin d'une armée de consultants pour démarrer. Voici une trajectoire raisonnable pour une PME qui part de zéro :
- Déterminez votre statut. Passez par le simulateur MonEspaceNIS2 et interrogez vos donneurs d'ordre. Assujetti direct, ou contraint par ruissellement ? La réponse oriente tout le reste.
- Cartographiez ce que vous exposez. On ne sécurise pas ce qu'on ne voit pas. Inventoriez vos actifs exposés sur Internet : domaines, sous-domaines, serveurs, applis, API, services SaaS oubliés. C'est le socle de l'article 21.
- Traquez le shadow IT. Le serveur de staging de 2021, le bucket d'un ancien prestataire, le sous-domaine d'une vieille campagne : ces actifs fantômes sont exactement là où les attaquants s'installent.
- Posez les bases organisationnelles. Politique d'accès, gestion des mots de passe, sauvegardes testées, MFA, plan de réponse à incident écrit (même minimal). Le pragmatique bat le parfait.
- Validez par le test. Une fois la surface connue, faites-la éprouver par un test d'intrusion ciblé pour distinguer le risque réel du bruit théorique.
- Documentez tout. En cas de contrôle ou d'audit client, un processus tracé vaut mille promesses orales.
Les étapes 2 et 3 sont précisément ce que couvre l'EASM (gestion de la surface d'attaque externe). On a creusé le lien entre EASM et NIS2 dans l'article pilier EASM et conformité NIS2 : la cartographie des actifs exposés n'est pas un gadget, c'est le prérequis opérationnel de l'article 21. Et si le sujet du shadow IT vous travaille, on lui a consacré un article entier : le shadow IT.
Et own2pwn là-dedans ?
On ne va pas faire semblant : notre métier, c'est exactement ça. La plateforme EASM d'own2pwn découvre automatiquement votre surface d'attaque externe, traque les actifs inconnus et corrèle les vulnérabilités en continu : la brique « surface exposée » de NIS2, prête à documenter. Hébergée en France, pour ceux que la souveraineté concerne (et avec NIS2, ça vous concerne).
Quand il faut prouver qu'une faille est réellement exploitable plutôt que de l'estimer, nos services de pentest web blackbox prennent le relais : on attaque votre périmètre comme le ferait un vrai adversaire, et on vous remet un rapport actionnable. C'est l'étape 5 de la liste ci-dessus, version professionnelle.
À retenir
- NIS2 s'applique si secteur listé ET seuil de taille franchi (en général ≥ 50 salariés ou ≥ 10 M€). Certaines entités sont concernées quelle que soit leur taille.
- Les PME tombent souvent en entité importante (supervision a posteriori, sanctions plafonnées plus bas), mais le socle de sécurité de l'article 21 reste le même.
- Effet ruissellement : même non assujettie, votre PME peut être contrainte par ses clients via l'article 21(2)(d) sur la chaîne d'approvisionnement.
- Calendrier France : loi « Résilience » attendue en 2026, mais le ReCyF et MonEspaceNIS2 sont déjà disponibles. N'attendez pas.
- Premières étapes : vérifier son statut, cartographier sa surface exposée, traquer le shadow IT, poser les bases organisationnelles, tester, documenter.
La conformité NIS2 n'est pas une montagne réservée aux multinationales. Pour une PME, c'est surtout l'occasion de regarder enfin ce qu'on expose, de mettre de l'ordre, et au passage de rassurer ses clients. Le plus tôt sera le mieux : avant que quelqu'un d'autre ne découvre votre surface d'attaque à votre place.
Articles liés
appsec
EASM et conformité NIS2 : cartographier sa surface d'attaque externe
On ne protège pas ce qu'on ne voit pas. Entre l'EASM (External Attack Surface Management) et l'article 21 NIS2, voici comment cartographier votre surface d'attaque externe, traquer le shadow IT et corréler les CVE avant l'attaquant.
appsec
Pentest, scan de vulnérabilité ou EASM : quelles différences ?
« On a fait un scan, on est bon. » Spoiler : non. Test d'intrusion, scanner de vulnérabilités et EASM répondent à trois questions différentes. On démêle tout : automatisé vs humain, faux positifs, exploitabilité, et lequel choisir.
appsec
SAST, DAST, IAST : comparatif et ce que l'IA change en 2026
SAST, DAST, IAST : trois familles d'outils, trois manières de chasser les failles applicatives. Définitions, forces, limites, faux positifs, et ce que le SAST IA et le DAST IA changent vraiment en 2026 (sans le bullshit marketing).