NIS2 concerne déjà 15 000 entreprises françaises : êtes-vous dans la liste ?

La directive NIS2 est entrée en vigueur en octobre 2024. Depuis juin 2025, les premières notifications officielles ont atterri dans les boîtes mail des dirigeants concernés, avec un délai de mise en conformité de 16 mois. Le calendrier s’accélère, qu’on l’ait anticipé ou non.
Le périmètre dépasse largement les attentes. Numeum et le projet de loi Résilience chiffrent l’impact à plus de 15 000 entités françaises, réparties sur 18 secteurs : énergie, transports, santé, eau, infrastructures numériques, administrations publiques et d’autres encore. Orange Cyberdefense pose les critères simplement : plus de 50 salariés ET plus de 10 millions d’euros de chiffre d’affaires. Si vous ne franchissez pas ces deux seuils simultanément, vous n’êtes pas directement visé. Sauf que la chaîne d’approvisionnement change la donne – nous revenons sur ce point crucial en section 6.
NIS2 distingue deux catégories d’entités. Benoit Grunemwald d’ESET l’explique ainsi : « La directive NIS2 crée un nouveau cadre visant à renforcer le niveau de cybersécurité à travers l’Union européenne. » Ce cadre impose des obligations différentes selon le poids critique de chaque entité.
Sur le front législatif français, la loi transposant NIS2 a été adoptée le 30 mars 2025. Le vote en hémicycle de la loi Résilience doit survenir en juillet 2026. La directive NIS2 construit son socle réglementaire étape par étape.
| Critère | Entités essentielles | Entités importantes |
|---|---|---|
| Secteurs typiques | Énergie, santé, eau, infrastructures numériques critiques | Services postaux, gestion des déchets, industrie, alimentation |
| Seuil de taille | 250+ salariés ou 50M€+ de CA | 50+ salariés ET 10M€+ de CA |
| Sanctions maximales | 10 millions€ ou 2% du CA mondial | 7 millions€ ou 1,4% du CA mondial |
| Délai notification incidents | 24h / 72h / 1 mois | 24h / 72h / 1 mois |
Les PME françaises sont la cible numéro un des cyberattaquants, les chiffres le prouvent
48% des victimes de rançongiciels traitées par l’ANSSI sont des PME, TPE et ETI selon le panorama ANSSI 2026. Ce n’est pas une estimation : presque une victime sur deux est une petite ou moyenne entreprise.
Les attaques suivent des chemins prévisibles. Phishing adressé à des collaborateurs mal informés. VPN ou équipements jamais mise à jour. Fournisseur compromis qui sert de porte d’entrée. L’ENISA 2025 épingle ce dernier point : 70% des incidents cyber impliquent un élément humain ou un prestataire tiers. Ce n’est pas un détail. C’est le cœur du problème.
Les chiffres qui parlent :
À découvrir aussi : IA agentique : qui décide vraiment dans vos finances en 2026 ?.
- 43% des demandes d’assistance sur Cybermalveillance.gouv.fr proviennent d’entreprises de moins de 250 salariés (2025)
- 30% d’attaques supplémentaires visant les TPE et PME entre 2024 et 2025, selon les assureurs professionnels
- 38% de progression des cyberattaques contre les organisations françaises en un an selon l’ANSSI
- 41% des PME françaises ont subi au moins une cyberattaque en 2024 selon le baromètre CESIN 2025
- L’ANSSI a traité 4 386 événements de sécurité en 2024, soit +15% par rapport à 2023
Voici ce que cela signifie dans les faits. Une PME de distribution du Nord a été frappée par un ransomware en janvier 2025. Cinq semaines pour retrouver un fonctionnement normal. Cinq semaines de commandes perdues, de clients en colère, de stocks à reconstituer manuellement. Le Cesin parle d’une moyenne de 21 jours d’interruption. En réalité, 21 jours peuvent détruire une petite entreprise.
Et pourtant, seulement 18% des PME disposent d’une couverture cyber dédiée selon l’ANSSI 2025. Les assurances ne suivent pas la menace.
Ignorer NIS2 coûte bien plus cher que se mettre en conformité : les sanctions sont réelles

Les montants sont gravés dans la loi. Entités essentielles : jusqu’à 10 millions€ ou 2% du chiffre d’affaires mondial. Entités importantes : jusqu’à 7 millions€ ou 1,4% du CA mondial. Ces plafonds ne sont pas symboliques. Ils sont calibrés pour que la sanction dépasse toujours le coût de la conformité.
Orange Cyberdefense expose une couche supplémentaire : la responsabilité personnelle du dirigeant en cas de manquement grave. Ce n’est plus seulement la société qui paie. C’est le PDG, le DG, le DSI. Pour les entités essentielles, une suspension d’autorisation d’exercice reste possible.
La conformité elle-même coûte combien ? Sicollab (avril 2026) l’estime pour une PME de 50 postes à 15 000 à 40 000 euros la première année. C’est le prix d’un recrutement partiel ou d’un audit externalisé avec plan d’action. Pas trivial pour une petite structure, mais comparer à ce qu’une assurance professionnelle représente sur cinq ans met les choses en perspective.
- Coût d’un incident cyber pour une PME : entre 50 000 et 500 000€ (Clusif / MonScoreSecurite 2026)
- Durée moyenne d’interruption après ransomware : 21 jours (Cesin 2025)
- Conformité NIS2, première année pour 50 postes : 15 000 à 40 000€ (Sicollab, avril 2026)
- Sanction maximale entité essentielle : 10 millions€ ou 2% du CA mondial
- Sanction maximale entité importante : 7 millions€ ou 1,4% du CA mondial
Orange Cyberdefense résume : « La conformité à la directive NIS 2 est vitale pour les entreprises opérant dans les secteurs sensibles. » Mais c’est aussi vrai pour ceux qui les servent en tant que prestataires.
Moins de 15% des PME ont commencé leur mise en conformité NIS2 : il reste du temps, mais peu
My Trust Partner (2026) l’observe : moins de 15% des PME françaises concernées par NIS2 ont lancé leur conformité. Or SFR Business fixe la date limite à fin 2027. Résultat : plus de 85% des entreprises visées doivent construire leur dispositif en moins de dix-huit mois.
NIS2 repose sur plusieurs piliers concrets :
À lire aussi : Révolution digitale : enjeux pour le secteur financier.
- Politique de gestion des risques – cartographier les actifs critiques, évaluer les vulnérabilités, documenter la protection mise en place
- Sécurité de la chaîne d’approvisionnement – vérifier et formaliser les exigences cyber chez les fournisseurs et sous-traitants
- Continuité d’activité – avoir un plan de reprise testé, pas simplement rédigé
- Notification obligatoire des incidents – 24h pour avertir l’ANSSI, 72h pour le rapport préliminaire, 1 mois pour le rapport complet
L’ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), conçu pour démarrer sans partir de zéro. Vous pouvez vous pré-enregistrer volontairement auprès de l’ANSSI sans engagement – c’est le premier pas à coût zéro. Pour l’implémentation technique, l’ENISA recommande ISO 27001 et le NIST.
Les PME qui ont anticipé NIS2 récupèrent 60% plus vite après une attaque : la conformité paie
MonScoreSecurite (2026) a mesuré un écart radical. Les PME qui avaient anticipé NIS2 ont réduit de 60% leur temps de récupération après incident. Pas une marge, un bond. La conformité n’est plus un sujet administratif. C’est une question de survie opérationnelle.
Les gains sont tangibles. Une cartographie des risques identifie les actifs réellement critiques – ceux qui paralysent l’activité s’ils s’arrêtent – et les protège en priorité, avant la crise. La sélection rigoureuse des fournisseurs, imposée par NIS2, adresse directement les 70% d’incidents qui passent par un tiers selon l’ENISA. Et la conformité devient un argument commercial : les appels d’offres intègrent de plus en plus de clauses cyber et les grands comptes les demandent.
Mais au-delà des contrats. Une PME qui a travaillé sa continuité d’activité sait quoi faire le jour J. Sauvegardes testées. Équipes formées. Prestataires de réaction identifiés. Elle n’improvise pas dans la panique.
L’ANSSI met à disposition des guides téléchargeables et le ReCyF gratuitement. Les ressources existent. Il faut juste décider de commencer.
PME et NIS2 : les 3 questions que tout dirigeant se pose avant de se lancer
Mon entreprise est-elle vraiment concernée si elle fait moins de 10 millions d’euros de chiffre d’affaires ?
En dessous du seuil cumulatif – moins de 50 salariés ET moins de 10 millions d’euros de CA – vous n’êtes pas directement visé. Mais « directement » est le mot qui change tout. Si vous êtes sous-traitant ou prestataire d’une entité essentielle ou importante, NIS2 impose à ce client de sécuriser sa chaîne d’approvisionnement. Concrètement, il vous demandera des justificatifs de votre niveau de cybersécurité. Vous ne pouvez pas répondre, vous perdez le contrat. C’est aussi simple que cela.
Par où commencer concrètement si mon budget est limité ?
Trois actions gratuites : inscrivez-vous volontairement auprès de l’ANSSI en pré-enregistrement. Vous êtes officiel et sans frais cachés. Ensuite, téléchargez le ReCyF publié le 17 mars 2026 et faites l’auto-évaluation de vos risques. Enfin, formez vos équipes au phishing. L’ENISA montre que 70% des incidents impliquent un humain et sensibiliser les collaborateurs coûte moins cher qu’un audit externe.
Sur le même sujet : L’impact du digital sur la finance moderne.
Que risque-t-on vraiment si on ne respecte pas les délais de notification de 24h/72h/1 mois ?
D’abord des sanctions administratives. Mais aussi l’engagement de la responsabilité personnelle du dirigeant, selon Orange Cyberdefense (2026). Pour les entités essentielles, la suspension d’autorisation d’exercice est possible. Au-delà de ces pénalités formelles, ne pas notifier dans les délais expose l’entreprise à des poursuites des clients ou partenaires endommagés. Le risque pour la réputation s’ajoute au coût financier.
NIS2 est une chance pour les PME françaises de ne pas rater le train de la cyber-résilience
Soyons honnête. NIS2 est inconfortable. Elle arrive avec des obligations inédites, des délais serrés, un vocabulaire technique que peu de PDG de PME ont appris. Et moins de 15% des concernées ont bougé, pendant que fin 2027 se rapproche tous les jours.
Regardons les faits bruts. 48% des victimes de ransomware traitées par l’ANSSI sont des PME et TPE. Les attaques contre ces structures ont explosé de 30% en un an. Et 70% des incidents passent par un prestataire – ce qui veut dire qu’une entreprise techniquement prudente se fait compromettre par son comptable, son hébergeur ou son gestionnaire RH.
Attendre n’est pas neutre. C’est le choix le plus risqué qui soit.
Les 15 000 à 40 000 euros de conformité la première année, c’est lourd pour une PME de 50 salariés. C’est un fait. Mais face à 21 jours d’arrêt d’activité et jusqu’à 500 000 euros de perte après un incident, l’arbitrage saute aux yeux. Sans oublier les 60% de réduction du temps de récupération chez ceux qui ont anticipé.
NIS2 c’est aussi une ouverture commerciale concrète. La conformité devient un critère dans les appels d’offres, une marque de sérieux pour les gros clients, un filtre que vos concurrents laxistes ne franchiront pas.
Le vrai danger n’est pas la directive. C’est croire qu’on peut encore s’en passer.
