Ce qu'est NIS2, en deux paragraphes
Adoptée en décembre 2022, NIS2 succède à la première directive NIS de 2016. Elle impose aux entités concernées des obligations cyber techniques (gestion des risques, MFA, sauvegardes, supervision, gestion des incidents) et organisationnelles (gouvernance, formation des dirigeants, notification d'incident sous 24 h). Elle introduit aussi des sanctions financières lourdes : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, jusqu'à 7 millions ou 1,4 % pour les entités importantes (Source : directive UE 2022/2555, articles 21 et 34).
La transposition française est en cours d'adoption. L'ANSSI est désignée comme autorité compétente en France. [À VÉRIFIER : la date exacte d'entrée en vigueur de la loi de transposition française.]
Qui est concerné directement
NIS2 distingue deux catégories d'entités :
- Entités essentielles : secteurs jugés vitaux (énergie, transports, banques, infrastructures financières, santé, eau potable, infrastructures numériques, gestion des services TIC, administrations publiques, espace).
- Entités importantes : secteurs hautement critiques (services postaux, gestion des déchets, fabrication chimique, agroalimentaire, fabrication de dispositifs médicaux, électronique, automobile, fournisseurs numériques).
Le critère de taille s'ajoute : à partir de 50 employés ou 10 millions € de chiffre d'affaires, dans les secteurs concernés. En dessous, on est généralement hors périmètre direct, sauf cas d'« importance systémique ».
Qui est concerné indirectement : la chaîne d'approvisionnement
C'est ici que la majorité des PME entrent en jeu. NIS2 impose explicitement aux entités concernées de gérer les risques liés à leur chaîne d'approvisionnement (article 21, paragraphe 2, point d). En clair, l'entité essentielle ou importante doit s'assurer que ses fournisseurs et prestataires ont eux-mêmes une cybersécurité acceptable.
Conséquence pratique en 2026-2027 : une PME française qui fournit un service à un acteur NIS2 reçoit progressivement des questionnaires de sécurité, des clauses contractuelles renforcées, voire des audits réalisés par le client. Si elle ne peut pas répondre, elle perd le contrat.
Quelques exemples concrets de PME concernées indirectement :
- Un cabinet d'expertise comptable qui sert un groupe NIS2.
- Une étude notariale qui traite les actes immobiliers d'une entreprise NIS2.
- Un prestataire informatique de proximité qui maintient les serveurs d'un hôpital ou d'une mairie.
- Un fournisseur logistique d'un industriel agroalimentaire.
- Un cabinet d'avocats spécialisé en droit des affaires.
Les obligations techniques minimales attendues
Que vous soyez en scope direct ou indirect, le socle technique attendu est le même. Il découle de l'article 21 de la directive et des recommandations ANSSI :
- Politique de sécurité documentée et communiquée aux équipes.
- MFA sur les accès sensibles (messagerie, VPN, AD, services métier critiques).
- Sauvegardes immuables et plan de reprise testé.
- Gestion des correctifs documentée. Voir notre article Importance des mises à jour.
- Détection et réponse aux incidents (typiquement un EDR et une procédure écrite).
- Notification des incidents à l'autorité (ANSSI) dans les 24 h pour alerte précoce, 72 h pour notification complète.
- Sécurité de la chaîne d'approvisionnement : vous devez aussi évaluer vos sous-traitants.
- Cryptographie appropriée pour les données sensibles (chiffrement disque, TLS 1.2 minimum).
- Formation et sensibilisation des équipes — y compris des dirigeants, qui sont personnellement responsables.
Le calendrier réaliste pour une PME indirectement concernée
Si vous travaillez avec un client NIS2, voici la séquence typique observée chez nos clients en 2026 :
- Réception d'un questionnaire de sécurité (généralement 30 à 80 questions sur la base de l'ANSSI ou ISO 27001).
- Délai de réponse : 30 à 90 jours, parfois moins.
- Si plusieurs réponses sont insuffisantes : plan d'amélioration sur 6 à 12 mois, avec preuves attendues à chaque jalon.
- Audit ponctuel du client, ou via un tiers de confiance, dans les 12 à 18 mois.
L'erreur classique est de répondre trop optimistement au questionnaire pour ne pas perdre le contrat, puis de ne pas pouvoir prouver les engagements lors de l'audit. Le réalisme paye toujours mieux.
Lien avec DORA pour les PME du secteur financier
DORA (UE 2022/2554) est l'équivalent de NIS2 pour le secteur financier, en application depuis janvier 2025. Si vous êtes prestataire d'une banque, d'un assureur ou d'une fintech, vous tombez probablement sous DORA — qui demande encore plus de preuves opérationnelles, et des tests de résilience plus poussés. Voir notre offre Conformité & Réglementation.
À retenir
Ce que Scryptoura fait pour vous
Notre Diagnostic Découverte évalue votre posture sur les huit obligations techniques NIS2 et vous donne un état des lieux exploitable face à un questionnaire client. Notre offre Conformité & Réglementation vous accompagne ensuite pour combler les écarts, à votre rythme et selon votre budget.