Aller au contenu principal
PRAVIO
Retour au blog
NIS2 Conformité14 min de lecture7 avril 2026

NIS2 et PME : guide pratique pour se mettre en conformité avant 2027

Guide complet NIS2 pour les PME françaises. Obligations, sanctions (7 M EUR), calendrier, et plan d'action en 6 étapes pour le RSSI ou DSI solo.

NIS2 : pourquoi les PME sont concernées cette fois

La directive NIS1 ne concernait qu'environ 300 opérateurs en France. NIS2 change la donne radicalement : entre 10 000 et 15 000 entités françaises sont désormais concernées. C'est une multiplication par 50.

Parmi elles, des milliers de PME et ETI qui n'avaient aucune obligation de cybersécurité réglementaire jusqu'ici.

Le calendrier :

  • Loi Résilience (transposition française) : attendue T1 2026
  • Inscriptions auprès de l'ANSSI : S2 2026
  • Conformité totale attendue : fin 2027

Les 5 obligations clés de NIS2 pour une PME

L'article 21 de NIS2 impose 10 mesures de gestion des risques. Pour une PME, 5 sont prioritaires :

1. Analyse de risques et politique de sécurité

Identifier vos risques cyber, évaluer leur probabilité et impact, mettre en place des mesures proportionnées. Pas besoin d'un EBIOS RM complet — une analyse pragmatique suffit pour une PME.

2. Continuité d'activité et gestion de crise

C'est là que le PRA entre en jeu. NIS2 exige explicitement des plans de continuité testés et à jour. Pas un document Word qui dort dans SharePoint — un plan opérationnel.

L'article 21.2c de NIS2 impose explicitement des mesures de continuité d'activité testées et à jour.

3. Sécurité de la chaîne d'approvisionnement

Évaluer les risques liés à vos fournisseurs et prestataires IT. Vos SLA incluent-ils des engagements de sécurité ? Vos prestataires ont-ils eux-mêmes un PRA ?

4. Gestion des incidents

Notification obligatoire à l'ANSSI dans les 24h suivant un incident significatif. Votre organisation a-t-elle une procédure de détection et notification en place ?

5. Gouvernance et responsabilité des dirigeants

Les dirigeants doivent être formés aux enjeux de cybersécurité et superviser la mise en œuvre. NIS2 engage la responsabilité personnelle des dirigeants — ce n'est plus un sujet purement IT.

Sanctions : ce que vous risquez

Type d'entitéAmende maximaleAutres sanctions
Entité importante (PME/ETI)7 M EUR ou 1,4 % du CA mondialSuspension temporaire, injonctions
Entité essentielle (grande entreprise)10 M EUR ou 2 % du CA mondialIdem + sanctions personnelles dirigeants

La responsabilité personnelle des dirigeants est une nouveauté majeure de NIS2. Les dirigeants doivent prouver qu'ils ont pris les mesures nécessaires.

Votre PME est-elle concernée ?

Lire aussi : NIS2 : votre PME est-elle concernée ? Critères et seuils

Critères généraux :

  • 50+ salariés OU 10 M EUR+ de CA
  • ET activité dans l'un des 18 secteurs couverts

Secteurs où les PME sont souvent présentes :

  • Services numériques (hébergement, cloud, SaaS)
  • Santé (cliniques, labos, medtech)
  • Industrie manufacturière
  • BTP et gestion des déchets
  • Agroalimentaire
  • Services postaux et courrier
  • Administration publique

Attention : certaines PME peuvent être désignées comme "entités essentielles" quelle que soit leur taille si elles opèrent dans un secteur critique.

Plan d'action en 6 étapes

Étape 1 — Vérifier votre éligibilité (1 semaine)

Déterminez si votre organisation tombe dans le périmètre NIS2. En cas de doute, consultez la liste des secteurs dans l'annexe de la directive.

Étape 2 — Nommer un responsable (1 semaine)

Désignez un référent NIS2 dans votre organisation. En PME, c'est souvent le DSI, le RSSI ou le dirigeant lui-même.

Étape 3 — Réaliser une analyse de risques (1-2 mois)

Cartographiez vos risques cyber : ransomware, phishing, panne infrastructure, fuite de données. Évaluez la probabilité et l'impact. Priorisez les mesures.

Étape 4 — Rédiger votre PRA (quelques heures à quelques jours)

C'est l'obligation la plus structurante de NIS2. Un PRA conforme ISO 22301 couvre la majeure partie des exigences de continuité.

PRAVIO génère votre PRA conforme en quelques heures — rejoignez la liste d'attente.

Étape 5 — Mettre en place la gestion des incidents (1 mois)

Procédure de détection, escalade, notification à l'ANSSI dans les 24h. Testez la procédure au moins une fois.

Étape 6 — Former les dirigeants et documenter (continu)

Les dirigeants doivent être informés et impliqués. Documentez toutes vos actions pour prouver votre conformité en cas de contrôle.

Le programme France 2030 : financement disponible

L'État a prévu plus de 100 M EUR via France 2030 pour financer les plans de sécurité des PME/ETI. Renseignez-vous auprès de votre CCI ou de BPI France sur les aides disponibles pour votre démarche de conformité.

Conclusion

NIS2 n'est pas une menace — c'est une opportunité de structurer votre sécurité. Les PME qui s'y préparent maintenant auront un avantage concurrentiel : elles pourront répondre aux appels d'offres, rassurer leurs clients et leur assureur, et surtout, être préparées si un sinistre survient.

La fenêtre pour se préparer : maintenant à fin 2027. Ne la laissez pas passer.

Rejoignez la liste d'attente PRAVIO pour créer votre PRA conforme avant l'échéance NIS2.

Creez votre PRA conforme ISO 22301 en quelques heures

Thomas, votre consultant expert, vous guide de A a Z. Sans jargon, sans expertise requise. Rejoignez la liste d'attente pour un acces anticipe gratuit.

Rejoindre la liste d'attente

Articles similaires

NIS2 Conformité

NIS2 : votre PME est-elle concernée ? Critères et seuils d'application

8 min