Directive NIS2 : quelles obligations pour les PMEs et ETIs ?

4 août 2025

La directive NIS2 (UE 2022/2555), officiellement publiée au Journal Officiel de l’UE le 27 décembre 2022, est entrée en vigueur dans l’ensemble des pays de l’Union Européenne le 18 octobre 2024, à la date limite prévue pour la transposition dans les Etats membres.

En France, le projet de loi relatif à la résilience des infrastructures critiques est en cours d’examen, avec une promulgation peu probable avant la fin 2025.

NIS2 représente une révision ambitieuse de la NIS1 publiée en 2016, et marque un tournant décisif dans la gestion de la cybersécurité en Europe : de moins de 300 entités régulées sous NIS1, la France passe à plus de 10 000 à 15 000 entités concernées.

Directive NIS2 et cybersécurité : quelles obligations pour les PMEs et ETIs ? Ce guide s’adresse aux dirigeants (DG, DAF, directeurs juridiques), désireux de comprendre :

  • si leur entreprise est concernée par NIS2, selon leur secteur, taille ou rôle de fournisseur/sous‑traitant ;
  • quelles obligations ils doivent respecter ;
  • quel est le calendrier d’application, y compris le début des sanctions ;
  • comment NIS2 interagit avec d’autres réglementations comme le RGPD, DORA ou l’ISO 27001 ;
  • comment se préparer efficacement ;
  • et d’avoir une checklist pratique pour action immédiate.
NIS2: quelles sont mes obligations ?

Êtes-vous concerné ?


Critères de secteur et taille

La directive vise 18 secteurs stratégiques (listés aux Annexes I & II de la directive), allant des infrastructures numériques, énergie, transports, santé, services financiers à la gestion des déchets et de l’eau. Une entité est concernée :

  • si elle appartient à un secteur listé et est une grande entreprise (> 250 salariés et > 50 M€ CA)
  • ou si elle appartient à un secteur listé et dépasse un seuil de taille de moyenne entreprise (≥ 50 salariés et CA ≥ 10 M€ ou bilan ≥ 10 M€) .


Prestataires et effets en chaîne

Même une PME non visée directement peut être concernée si elle fournit des services à un client soumis à NIS2 (ex. : hébergeurs, intégrateurs, prestataires cloud, infogérance). NIS2 renforce la résilience de la chaîne d’approvisionnement, exigeant que les sous‑traitants respectent les normes de cybersécurité


Entités essentielles vs entités importantes

NIS2 supprime la catégorie OSE (opérateur de services essentiels) instituée par NIS1, et introduit deux nouvelles classes d’entités concernées par la directive:

  • Entités essentielles (EE) : les grandes entreprises des 11 secteurs « hautement critiques » (Annexe I) ; les entreprises nominativement désignées comme essentielles par l’État ; les entités de l’administration publique nationale ; et les fournisseurs de services de communication électroniques, de confiance numérique ou de noms de domaine.
  • Entités importantes (EI) : les entreprises moyennes des secteurs hautement critiques (Annexe I), et toutes les entités non essentielles des 7 secteurs « critiques » (Annexe II) .

Les obligations, contrôles et sanctions diffèrent selon que l’on est une entité essentielle ou importante.


Exemples pour dirigeants PME/ETI

  • PME industrielle de plus de 50 salariés fournissant des fabricants d’équipements : entité importante.
  • PME infogérant des données pour une collectivité locale : concernée via la chaîne d’approvisionnement.
  • Start-up IT de moins de 50 salariés fournissant des services cloud pour un secteur critique : potentiellement EI, voire EE selon l’identité de ses clients.


Vos obligations concrètes en matière de cybersécurité


Mesures techniques et organisationnelles

Les entités concernées doivent adopter un ensemble de mesures proportionnées inspirées des normes ISO 27001 ou NIST :

  • Analyse régulière des risques ;
  • Gestion des accès, authentification multifacteur (MFA), chiffrement des données, journalisation des événements ;
  • Surveillance des vulnérabilités, plans de mise à jour des S.I. ;
  • Formation du personnel, gouvernance interne, réponse à incident.


Obligations de notification des incidents

Toute entité concernée a obligation de notifier tout incident significatif :

  • alerte initiale dans les 24 h,
  • rapport détaillé dans les 72 h,
  • rapport final dans le mois suivant.


Responsabilité des dirigeants au titre de NSI2


La directive NIS2 contraint les dirigeants à s’impliquer : formation, supervision, gouvernance transparente. Leur responsabilité personnelle peut être engagée en cas de non‑conformité grave ou répétée.


Supply chain & continuité d’activité


Il est impératif de superviser les fournisseurs, sous‑traitants et prestataires critiques. Un plan de continuité d’activité et reprise d’activité (PCA/PRA) et des garanties contractuelles doivent être en place pour limiter les risques de défaillance ou d’attaque propagée.


Calendrier d’application de NSI2 et sanctions


Dates clés

  • 27 décembre 2022 : publication au JOUE,
  • 18 octobre 2024 : entrée en vigueur au niveau UE,
  • 2025‑2027 : période de transition. Notification d’incident déjà obligatoire depuis début 2025.
  • fin 2027: conformité totale exigée.


Sanctions financières et pénales

  • Entités essentielles : jusqu’à 10 M€ d’amende ou 2 % du chiffre d’affaires mondial ;
  • Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA mondial.
  • La publication des manquements, des audits obligatoires, et la suspension de fonctions dirigeantes sont possibles en cas de manquement grave.


NIS2 et autres réglementations : comment s’y retrouver ?


NIS2 vs RGPD


Le RGPD vise la protection des données personnelles, tandis que la NIS2 cible la résilience des systèmes informatiques et la continuité des services critiques. Les deux peuvent se compléter notamment dans les domaines incidents et gouvernance de sécurité.


NIS2 et DORA (secteur financier)


Pour les entités financières, DORA impose une gouvernance numérique et une gestion de risques similaires. NIS2 complète DORA en étendant les obligations à tous les aspects de cybersécurité et de notification des incidents au niveau UE.


Alignement avec les normes ISO 27001 et 22301


Adopter des référentiels éprouvés améliore la conformité à NIS2 et facilite les audits. Les normes ISO 27001 (gestion de la sécurité de l’information) et ISO 22301 (management de la continuité d’activité) offrent un cadre pragmatique et reconnu.


Comment bien se préparer ?


Évaluation de conformité initiale

  • Faites le test sur le site de l’ANSSI pour vérifier si votre entité est concernée :
  • Réalisez une cartographie de vos actifs critiques et de vos risques et une analyse de conformité en faisant appel à un auditeur externe spécialisé. Eurolaw France Cyber peut vous orienter.


Gouvernance et formation

  • Désignez un Responsable de la sécurité des systèmes d’information (RSSI) ; Il peut être externalisé.
  • Établissez une politique de sécurité du système d’information et assurez-vous qu’elle soit officiellement validée par vous en tant que dirigeant.
  • Assurez la formation continue de l’équipe de direction et la sensibilisation des équipes aux menaces et aux procédures.


Protection et réponse aux incidents

  • Vous devez adopter une politique de sécurité des données et de gestion des identités pour assurer une protection de vos données et de votre système d’information.
  • Il vous faut mettre en place un processus de notification des incidents significatifs aux autorités compétentes (ANSSI)
  • Vous devez définir un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA).
  • Vous pouvez déléguer tout ou partie à un prestataire de services de cybersécurité et à des éditeurs de solutions de cybersécurité.
  • Tous ces prestataires doivent à leur tour être conformes à NIS2 et assurer la bonne mise en œuvres des exigences vous concernant (notification des incidents, PCA etc.)


Financements et accompagnement

  • Des programmes publics comme Cybermalveillance.gouv.fr peuvent permettre un accompagnement à moindre coût, de même que des mécanismes de subventions régionales ou nationales.
  • Faites-vous accompagner par un conseil spécialisé pour piloter votre mise en conformité et prioriser en tenant compte de vos impératifs business et de vos contraintes budgétaires. Eurolaw France Cyber peut vous orienter.


Checklist NIS2 pour dirigeants PME/ETI

  • ✅Suis-je dans un secteur visé par les Annexes I ou II de la directive ?
  • ✅ Ma structure dépasse-t-elle les seuils de taille/CA définis ?
  • ✅ Mes fournisseurs ou sous-traitants sont-ils soumis à NIS2 ?
  • ✅ Ai-je identifié les actifs et risques critiques de mon SI ?
  • ✅ Ai-je mis en place les 10 mesures minimales imposées (authentification multi-facteurs, chiffrement…) ?
  • ✅ Puis-je notifier un incident dans les délais de 24h / 72h ?
  • ✅ Mon COMEX et mon RSSI sont-ils formés et engagés ?
  • ✅ Mes contrats fournisseurs intègrent-ils les exigences cybersécurité ?
  • ✅ Ma gouvernance est-elle alignée avec le RGPD, avec l’ISO 27001/22301, ou avec DORA si je suis dans le secteur financier ?
  • ✅ Ai-je évalué les risques financiers et juridiques en cas de non‑conformité ?


Conclusion

La directive NIS2 représente un tournant crucial pour la cybersécurité des PME et ETI. Elle s’applique à un grand nombre d’entre elles (selon le secteur d’activité) et impose des obligations strictes, une surveillance de la chaîne d’approvisionnement, et une responsabilité directe des dirigeants.

Il n’est pas trop tard pour agir : réalisez un diagnostic complet, formez vos équipes, élaborez une gouvernance solide, et anticipez les audits ou notifications d’incident. Une préparation bien menée peut transformer cette contrainte réglementaire en opportunité stratégique : renforcer votre résilience, conforter votre relation avec vos clients et minimiser les risques juridiques ou financiers.

Source officielle

Consultez le texte de la directive NIS2 en Français sur le site officiel EUR-Lex.


FAQ – Vos questions fréquentes sur la directive NIS2


Quels sont les délais de mise en conformité ?


La directive NIS2 est entrée en vigueur automatiquement le 18 octobre 2024 faute d’avoir été transposée avant cette date. Les entités sont censées être opérationnellement conformes depuis début 2025, notamment pour la notification des incidents. Toutefois, la mise en œuvre complète des mesures techniques, de gouvernance et d’audit est attendue d’ici fin 2027.


Dois-je m’aligner si je risque de dépasser le seuil de 50 salariés prochainement ?


Oui, il est fortement recommandé de se préparer en amont si votre entreprise est en croissance ou en phase de structuration. Une entreprise proche du seuil (ex. : 45‑49 salariés) dans un secteur critique peut être qualifiée d’entité importante dès que les seuils sont franchis. De plus, l’anticipation vous évite des efforts correctifs en urgence.


Qui porte la responsabilité juridique en cas d’attaque ?


La directive engage la responsabilité des organes de direction, y compris le DG, le directeur juridique et le DSI, selon les cas. En cas de non‑conformité grave (absence de mesures minimales, non‑notification d’un incident, gouvernance défaillante), la responsabilité individuelle du dirigeant mandataire social peut être engagée, notamment par des sanctions administratives, pécuniaires ou professionnelles.


Que faire si mon prestataire n’est pas conforme ?

En tant qu’entreprise concernée par NIS2, vous avez l’obligation de vous assurer que vos fournisseurs et sous-traitants respectent les exigences de sécurité. Si un prestataire n’est pas conforme :

  • Documentez les risques qu’il génère dans votre cartographie ;
  • Renforcez les clauses contractuelles sur la sécurité (PRA, notification d’incident, auditabilité) ;
  • Envisagez de changer de fournisseur si le risque reste élevé.

NIS2 impose une supervision renforcée de la chaîne d’approvisionnement – un prestataire défaillant peut compromettre votre propre conformité.