Votre PME est-elle concernée par NIS2 ? Un courtier vous aide à y voir clair, gratuitement.
Qu’est-ce que la directive NIS2 ?
NIS2 est la directive européenne qui renforce et étend les obligations de cybersécurité des organisations. Elle remplace la directive NIS de 2016 en élargissant fortement le périmètre des entités soumises à des règles de sécurité et de signalement d’incidents.
L’objectif est simple : relever le niveau de cybersécurité de l’ensemble de l’économie européenne, en imposant des mesures à des milliers d’entreprises qui n’étaient jusqu’ici soumises à aucune obligation.
NIS signifie Network and Information Security. La directive NIS2 (2022) impose gestion des risques, notification des incidents et supervision par l’ANSSI.
Quelles entreprises sont concernées
NIS2 distingue deux catégories selon la criticité de l’activité et la taille de l’entreprise : les entités essentielles et les entités importantes. Au total, 15 000 à 18 000 organisations seront concernées en France, contre quelques centaines sous l’ancien cadre.
Dix-huit secteurs sont visés, parmi lesquels l’énergie, la santé, les transports, l’eau, le numérique, l’industrie, l’agroalimentaire ou encore l’administration. De nombreuses PME et ETI, fournisseurs ou sous-traitants de ces secteurs, basculent ainsi dans le champ de la directive.
| Catégorie | Profil type | Sanction maximale |
|---|---|---|
| Entité essentielle (EE) | Grande entreprise d’un secteur très critique | 10 M€ ou 2 % du CA mondial |
| Entité importante (EI) | Moyenne entreprise d’un secteur critique | 7 M€ ou 1,4 % du CA mondial |
Source : ANSSI, 2025.
Le calendrier en France
La France n’a pas respecté la date limite de transposition fixée au 17 octobre 2024. Le projet de loi sur la résilience et la cybersécurité a été adopté par le Sénat en mars 2025 et examiné à l’Assemblée nationale à l’automne 2025. La mise en conformité s’étalera donc sur 2026.
Le retard de transposition ne suspend pas le risque cyber. Les attaques, elles, n’attendent pas le calendrier législatif. Anticiper protège votre activité et facilite la conformité à venir.
Vos obligations concrètes
NIS2 impose une responsabilisation des dirigeants. Concrètement, les entités concernées doivent mettre en place une gouvernance de la cybersécurité, analyser leurs risques, sécuriser leur chaîne d’approvisionnement et notifier rapidement les incidents significatifs à l’ANSSI.
- Gouvernance et responsabilité de la direction
- Gestion des risques et mesures techniques
- Sécurité de la chaîne d’approvisionnement
- Notification des incidents à l’ANSSI
- Formation et sensibilisation des équipes
Beaucoup de ces mesures recoupent les prérequis d’une assurance cyber. Faire les deux en même temps fait gagner du temps. Découvrez notre accompagnement cyber à Rennes.
Besoin d’aide pour cadrer votre conformité NIS2 et votre couverture cyber ? On vous accompagne gratuitement.
Les sanctions encourues
Les sanctions sont dissuasives. Une entité essentielle s’expose à une amende pouvant atteindre 10 millions d’euros ou 2 % de son chiffre d’affaires mondial. Pour une entité importante, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires. La responsabilité personnelle des dirigeants peut être engagée.
Comment se mettre en conformité
La démarche se construit par étapes : déterminer si vous êtes concerné, cartographier vos risques, combler les écarts, puis organiser la détection et la notification des incidents. Depuis mars 2026, l’ANSSI met à disposition le Référentiel Cyber France (ReCyF) qui liste les mesures recommandées.
« NIS2 fait de la cybersécurité une responsabilité de gouvernance, pas seulement un sujet technique. »
— Synthèse des orientations de l’ANSSI, 2026.
L’assurance cyber complète ce dispositif : elle finance la réponse à incident et les pertes, là où la conformité réduit la probabilité de l’attaque. Voir comment nous comparons l’assurance cyber pour votre entreprise.
Questions fréquentes
Ma PME est-elle concernée par NIS2 ?
Si vous opérez dans l’un des 18 secteurs visés, ou si vous êtes fournisseur d’une entité concernée, c’est probable. La taille et la criticité de l’activité déterminent votre catégorie.
NIS2 est-elle déjà applicable en France ?
La transposition est en cours. La loi française était toujours en discussion fin 2025, pour une application qui s’étale sur 2026.
Quelles sont les sanctions ?
Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour une entité essentielle, 7 millions ou 1,4 % pour une entité importante.
L’assurance cyber est-elle obligatoire avec NIS2 ?
Non, NIS2 n’impose pas d’assurance. Mais elle finance la réponse à incident et les pertes que la conformité seule ne couvre pas.
Par où commencer ?
Déterminez votre éligibilité, cartographiez vos risques, puis sécurisez et organisez la notification. Un courtier peut cadrer le volet assurance en parallèle.
Qui contrôle l’application de NIS2 ?
L’ANSSI assure la supervision réglementaire et publie les référentiels, dont le ReCyF.
Sécurisez votre entreprise face au cyber. Étude gratuite, sans engagement, par un courtier indépendant à Rennes.
Expert en assurance cyber et RC Pro
Courtier spécialisé en cyber-risques et RC Pro, Nicolas accompagne les dirigeants, indépendants et PME de Rennes dans la protection de leur activité face aux menaces numériques.