Demander une démo
AccueilBlogNIS2 : votre PME est-elle concernée ?
Conformité

NIS2 : votre PME est-elle concernée ?

La directive européenne élargit massivement le périmètre de la cybersécurité réglementée. Beaucoup de PME et d'ETI sont concernées sans le savoir.

À retenir

  • NIS2 élargit la cybersécurité réglementée à 15 000-18 000 entités en France.
  • Classement essentielle/importante selon secteur, taille et chiffre d'affaires.
  • Formation de tout le personnel obligatoire ; sanctions jusqu'à 10 M€ ou 2 % du CA.

NIS2 (directive UE 2022/2555) est entrée en vigueur le 16 janvier 2023. Là où NIS1 ne visait qu'environ 500 opérateurs en France, NIS2 fait passer ce nombre à plusieurs milliers — selon les estimations publiques, de l'ordre de 15 000 à 18 000 entités.

Êtes-vous concerné ?

NIS2 raisonne par secteur (18 secteurs, des plus critiques aux « importants ») et par taille (effectif et chiffre d'affaires). Les entités sont classées « essentielles » (EE) ou « importantes » (EI), avec des obligations graduées. Certaines activités sont concernées quelle que soit leur taille.

Où en est la France

La transposition passe par le projet de loi relatif à la résilience (« loi Résilience »), adopté au Sénat en mars 2025 et examiné à l'Assemblée nationale, avec des décrets d'application attendus en 2026. Les entités peuvent déjà se pré-enregistrer sur la plateforme MonEspaceNIS2 de l'ANSSI, ouverte depuis novembre 2025. Le calendrier précis se finalise — mais le sens de l'histoire est clair.

Ce que la directive exige (et que beaucoup oublient)

Au-delà de la technique, NIS2 reconnaît explicitement que la grande majorité des attaques réussies exploitent l'erreur humaine. L'article 20 impose une formation régulière de l'ensemble du personnel. La conformité n'est pas qu'une affaire d'outils : c'est aussi du risque humain.

Les sanctions

Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Au Luxembourg, on estime entre 6 000 et 8 000 organisations concernées.

Notre rôle

On cartographie votre exposition (Révéler), on forme vos équipes (Former) et on verrouille les vecteurs (Protéger) — avec les preuves prêtes pour un contrôle.

Sources : Directive (UE) 2022/2555 ; ANSSI / MonEspaceNIS2 ; travaux parlementaires sur la loi Résilience (2024-2026).

Notre page NIS2 → · Évaluer mon exposition →

Questions fréquentes

Ma PME est-elle concernée par NIS2 ?

Cela dépend de votre secteur (18 secteurs) et de votre taille / chiffre d'affaires. Le simulateur MonEspaceNIS2 de l'ANSSI donne une première indication ; une analyse juridique reste recommandée.

Quand NIS2 s'applique-t-elle en France ?

La transposition (loi Résilience) se finalise, avec des décrets attendus en 2026. Le pré-enregistrement sur MonEspaceNIS2 est ouvert depuis novembre 2025.

Quelles sanctions en cas de non-conformité ?

Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

Passez à l'action

Voyez ce qu'un attaquant voit.

Le plus concret pour commencer : un scan de votre exposition réelle.

Lancer mon scan →Réserver une démo