Loi Résilience attendue été 2026 : votre PME est-elle concernée par NIS2 ? Scope, seuils, sanctions, checklist conformité actionnable en 8 étapes.
La directive européenne NIS2 (UE 2022/2555) devait être transposée en droit français au plus tard le 17 octobre 2024. La France a manqué l'échéance. La Commission européenne a adressé un avis motivé le 7 mai 2025, étape qui précède un renvoi devant la Cour de justice de l'Union européenne. Le projet de loi dit Résilience, qui transpose NIS2 ainsi que DORA et la directive REC, a été adopté au Sénat les 11 et 12 mars 2025 puis en commission spéciale de l'Assemblée nationale en septembre 2025. La séance publique à l'Assemblée est attendue en juillet 2026 dans le cadre de la session extraordinaire, avec une promulgation probable au cours de l'été ou de l'automne 2026.
Au 2 juin 2026, NIS2 n'a donc pas d'effet juridique contraignant en droit français. Pour autant, attendre serait une erreur stratégique. L'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui décline 20 objectifs de sécurité pour les entités essentielles et 15 pour les entités importantes. La plateforme MonEspaceNIS2 est déjà ouverte en version bêta pour l'auto-évaluation. Les PME concernées disposent de quelques mois, pas davantage, pour structurer leur conformité avant que les contrôles ne deviennent effectifs.
Selon l'ANSSI, le périmètre français passera d'environ 500 entités sous NIS1 à près de 15 000 entités sous NIS2. La majorité de ces nouvelles structures sont des PME et ETI qui n'ont jamais eu d'obligation réglementaire en matière de cybersécurité.
NIS2 s'applique à 18 secteurs répartis en deux annexes. L'annexe I couvre 11 secteurs hautement critiques : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (DNS, TLD, IXP, data centers, communications électroniques, services de confiance), gestion des services TIC interentreprises (MSP et MSSP), administration publique, espace. L'annexe II couvre 7 secteurs autres critiques : services postaux et de messagerie, gestion des déchets, produits chimiques, denrées alimentaires, fabrication (dispositifs médicaux, produits informatiques, électroniques et optiques, équipements électriques, machines, véhicules, autres matériels de transport), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.
Si votre activité principale relève de l'un de ces 18 secteurs, vous passez à l'étape suivante : le test de taille. À noter que pour certaines activités (DNS, TLD, registrars, services de confiance qualifiés, télécoms, administration), la taille n'a pas d'importance, l'entité est concernée quelle que soit sa dimension.
La classification s'appuie sur la recommandation européenne 2003/361/CE. L'effectif est le critère principal : une entreprise reste dans sa catégorie tant que son effectif n'a pas franchi le seuil supérieur. Elle bascule dans la catégorie au-dessus si son effectif dépasse le seuil, OU si à la fois son chiffre d'affaires ET son bilan dépassent leurs seuils respectifs.
| Catégorie | Effectifs | CA annuel | Bilan annuel | Statut NIS2 |
|---|---|---|---|---|
| Microentreprise | moins de 10 | au plus 2 M€ | au plus 2 M€ | Hors scope par défaut |
| Petite entreprise | moins de 50 | au plus 10 M€ | au plus 10 M€ | Hors scope par défaut |
| Moyenne entreprise | 50 à 249 | 10 à 50 M€ | 10 à 43 M€ | Entité importante |
| Grande entreprise | 250 et plus | plus de 50 M€ | plus de 43 M€ | Entité essentielle si annexe I, sinon importante |
Attention au piège de la consolidation : le calcul intègre les entreprises liées (groupe, holding, filiales majoritaires) au sens de la recommandation 2003/361/CE. Une PME de 40 salariés et 8 M€ de CA détenue à 60 % par une ETI de 300 salariés sera évaluée sur l'effectif consolidé du groupe. Vérifiez ce point en priorité auprès de votre direction financière ou de notre audit de conformité réglementaire.
NIS2 n'est pas une simple mise à jour. C'est un changement de paradigme pour les directions générales et les responsables informatiques.
| Critère | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Périmètre France | environ 500 OSE et FSN | environ 15 000 entités |
| Nombre de secteurs | 7 (12 en France après extension nationale) | 18 |
| Désignation | Notification individuelle ANSSI | Auto-identification obligatoire |
| Plafond d'amende | 75 000 € à 125 000 € selon les manquements | 10 M€ ou 2 % du CA mondial |
| Responsabilité dirigeants | Non explicite | Responsabilité personnelle, formation obligatoire |
| Chaîne d'approvisionnement | Non couverte | Sécurité fournisseurs et sous-traitants obligatoire |
| Déclaration d'incident | Délai national variable | Cadre harmonisé 24h, 72h, 1 mois |
Le changement le plus structurant pour les PME est l'auto-identification. Personne ne viendra vous notifier que vous êtes concerné. Si l'ANSSI constate après un incident que vous releviez du périmètre sans vous être enregistré, vous cumulez le manquement de fond et le manquement déclaratif. Les concurrents qui le découvriront en cours de contrôle paieront cher.
Les amendes administratives sont calibrées sur le modèle RGPD : suffisamment élevées pour être dissuasives, calculées sur le chiffre d'affaires mondial du groupe.
Pour une PME industrielle de 80 salariés réalisant 25 M€ de chiffre d'affaires, classée entité importante, l'exposition théorique atteint 350 000 € (1,4 % de 25 M€) ou 7 M€ si l'on retient le plafond fixe. Le montant retenu par le régulateur tiendra compte de la gravité, de la durée, de la coopération et des mesures préventives mises en place.
NIS2 impose aux organes de direction d'approuver formellement les mesures de gestion des risques cyber et de superviser leur mise en œuvre. Les dirigeants doivent suivre une formation cybersécurité obligatoire et veiller à ce que leurs équipes en bénéficient également. En cas de faute caractérisée ou de négligence grave, leur responsabilité personnelle peut être engagée. Pour les entités essentielles, l'autorité de contrôle peut aller jusqu'à interdire temporairement à un dirigeant d'exercer ses fonctions. Aucune délégation, aucune externalisation ne décharge le comité de direction de cette responsabilité.
L'article 21 paragraphe 2 énumère dix domaines obligatoires de gestion des risques. Le ReCyF de l'ANSSI les décline en objectifs concrets, avec un principe de proportionnalité à la maturité de l'entité.
Notre équipe d'experts cybersécurité accompagne les PME sur ces dix volets avec une approche pragmatique : ce qui est nécessaire, ce qui est suffisant, ce qui peut attendre.
| Échéance | Étape |
|---|---|
| 17 octobre 2024 | Deadline UE transposition (manquée par la France) |
| 12 mars 2025 | Adoption au Sénat en première lecture |
| 7 mai 2025 | Avis motivé de la Commission européenne |
| Septembre 2025 | Adoption en commission spéciale de l'Assemblée nationale |
| 17 mars 2026 | Publication du ReCyF par l'ANSSI |
| Juillet 2026 | Séance publique attendue à l'Assemblée nationale |
| Été et automne 2026 | Promulgation de la loi Résilience, décrets et arrêtés |
| Fin 2026 à 2027 | Enregistrement obligatoire sur MonEspaceNIS2 (délai à confirmer par décret) |
| 2027-2028 | Montée en puissance des contrôles ANSSI |
Les délais exacts de mise en conformité technique seront fixés par les arrêtés sectoriels. À ce jour, les versions du projet de loi évoquent des paliers gradués selon la nature des mesures (mesures de gouvernance immédiates, mesures techniques sur 12 à 24 mois). Tout dirigeant raisonnable doit considérer que la fenêtre utile pour structurer la conformité court jusqu'à fin 2027 au plus tard.
Voici la checklist opérationnelle que nous utilisons en audit d'écart chez nos clients. Cochez en interne, identifiez les manques, priorisez par le risque.
| Étape | Action | Statut cible |
|---|---|---|
| 1. Scope | Vérifier l'appartenance à l'un des 18 secteurs et calculer les seuils consolidés (effectifs, CA, bilan). | Décision documentée par la direction |
| 2. Gouvernance | Désigner un responsable NIS2 (RSSI, DSI ou référent), former les dirigeants, inscrire la cyber à l'ordre du jour du COMEX. | Formation suivie, mandat écrit |
| 3. Cartographie | Inventaire des actifs SI, des données sensibles, des flux, des fournisseurs critiques. | Document maintenu à jour |
| 4. Analyse de risques | EBIOS Risk Manager ou méthode équivalente, plan de traitement validé par la direction. | Rapport annuel |
| 5. Mesures techniques | MFA généralisée, EDR managé, sauvegardes 3-2-1 testées, segmentation réseau, gestion des vulnérabilités. | Mesures déployées et auditées |
| 6. Continuité | PCA, PRA, exercices de crise, plan de communication d'incident. | Exercice annuel réussi |
| 7. Chaîne d'approvisionnement | Clauses cyber dans les contrats fournisseurs critiques, évaluation initiale et récurrente. | Matrice fournisseurs à jour |
| 8. Déclaration d'incident | Procédure 24h, 72h, 1 mois opérationnelle, contacts ANSSI et CSIRT pré-établis. | Procédure testée |
La déclaration d'incident mérite un focus particulier. L'article 23 de NIS2 impose trois échéances cumulatives à partir de la prise de connaissance d'un incident significatif : alerte précoce sous 24 heures au CSIRT compétent, notification d'incident sous 72 heures avec évaluation initiale, et rapport final sous 1 mois. Une procédure documentée, testée et connue des équipes opérationnelles est la condition non négociable.
Cartographie des actifs, entretiens avec les responsables métiers, revue documentaire (PSSI, contrats fournisseurs, procédures), tests techniques ciblés (MFA, sauvegardes, journalisation). Livrable : matrice d'écarts par rapport au ReCyF et plan de remédiation priorisé.
Mise en œuvre des mesures à fort impact et faible coût d'abord : généralisation MFA, durcissement des sauvegardes, déploiement EDR managé, sensibilisation phishing, mise à jour des contrats fournisseurs critiques. Les chantiers structurants (segmentation réseau, refonte des accès, PRA) s'étalent sur 6 à 18 mois selon la maturité initiale.
Comité cyber trimestriel, indicateurs de conformité au ReCyF, exercices de crise annuels, mise à jour de l'analyse de risques. C'est précisément le périmètre de notre infogérance nationale avec supervision 24/7 et accompagnement RSSI à la demande.
Sur la base de nos retours d'expérience PME industrielles et services :
Ces fourchettes recouvrent le besoin réel observé sur le terrain. La comparaison entre internalisation, freelance et MSP joue beaucoup sur le coût total de possession à 3 ans.
Même si votre PME n'entre pas directement dans le scope NIS2, vos clients régulés vont vous demander des garanties contractuelles : politique de sécurité, certifications, déclaration d'incident, audit. C'est l'effet de ruissellement de l'article 21 paragraphe 2 alinéa d sur la sécurité de la chaîne d'approvisionnement. Concrètement, attendez-vous dans les 12 prochains mois à recevoir des questionnaires fournisseurs détaillés et des clauses cyber renforcées dans vos contrats. Mieux vaut anticiper cette demande commerciale avec une posture documentée plutôt que la subir au moment d'un renouvellement de marché.
Ces outils sont gratuits et conçus pour les PME. Ils ne remplacent pas un audit d'écart par un professionnel, mais ils constituent une excellente première étape de cadrage interne.
La conformité NIS2 n'est pas qu'une obligation administrative à venir. C'est un cadre structurant qui aligne la cybersécurité sur les standards européens, protège votre PME contre des incidents qui coûtent en moyenne 3 à 5 fois plus cher qu'une démarche de conformité bien menée, et devient progressivement un prérequis commercial dans les chaînes d'approvisionnement régulées. Les entreprises qui attendront la publication des derniers décrets pour s'y mettre paieront leur retard en urgences, en coûts majorés et en pertes de marchés. Celles qui structurent dès le second semestre 2026 transformeront la contrainte en levier de différenciation, particulièrement face à des clients grands comptes ou ETI soumis directement à NIS2.
Pour faire le point sur votre exposition réelle et obtenir une matrice d'écart précise vis-à-vis du ReCyF, nos équipes proposent un audit NIS2 gratuit de 60 minutes. Présentes à Lyon, Paris et Marseille avec une couverture nationale, elles interviennent en français, en mode projet ou en infogérance continue, avec des engagements de résultat. Infranat accompagne déjà plus d'une centaine de PME et ETI françaises sur leur trajectoire de mise en conformité réglementaire.
En principe non, les petites entreprises et microentreprises sont hors scope. Exceptions importantes : DNS, TLD, registrars, services de confiance qualifiés, télécoms et administration restent concernés quelle que soit la taille.
La loi Résilience qui transpose NIS2 est attendue en séance publique à l'Assemblée nationale en juillet 2026, avec promulgation probable été ou automne 2026. Les décrets d'application suivront dans la foulée.
Les entités essentielles (grandes entreprises annexe I) risquent jusqu'à 10 M€ ou 2 % du CA mondial avec contrôles ex ante. Les entités importantes risquent 7 M€ ou 1,4 % du CA mondial avec contrôles ex post sur incident.
Oui. Les organes de direction doivent approuver les mesures cyber et suivre une formation obligatoire. Leur responsabilité personnelle peut être engagée en cas de faute, avec interdiction temporaire d'exercer pour les entités essentielles.
Trois échéances cumulatives : alerte précoce sous 24 heures au CSIRT, notification d'incident sous 72 heures avec évaluation initiale, rapport final sous 1 mois avec cause racine et mesures correctives.
Pour une PME de 80 salariés : audit d'écart 8 à 15 k€, remédiation an 1 entre 25 et 60 k€, exploitation 2,5 à 8 k€ par mois. Le coût varie selon la maturité initiale et le secteur d'activité.
Oui, l'auto-identification est obligatoire. Aucune notification préalable de l'ANSSI ne sera envoyée. L'enregistrement se fera sur la plateforme MonEspaceNIS2, déjà ouverte en bêta pour l'auto-évaluation.
Oui, en pratique. L'article 21 impose aux entités régulées de sécuriser leur chaîne d'approvisionnement. Vos clients vont contractualiser ces exigences. Une démarche anticipée protège vos marchés et accélère vos ventes.
Mots-clés
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit