Directive NIS2 et PME : ce qui change en 2026

La directive NIS2 (Network and Information Security) est le texte européen qui redéfinit les obligations de cybersécurité pour les entreprises. Contrairement à NIS1 qui ne touchait que les grandes infrastructures, NIS2 concerne désormais les PME de nombreux secteurs. Voici ce que ça change concrètement.

🚨 Attention : La transposition en droit français est en cours. Les entreprises concernées doivent se préparer dès maintenant — les sanctions peuvent atteindre 10M€ ou 2% du CA mondial.

Qui est concerné par NIS2 ?

NIS2 classe les entreprises en deux catégories :

Catégorie	Critères	Sanctions max
Entités essentielles	250+ employés ou CA > 50M€	10M€ ou 2% CA
Entités importantes	50+ employés ou CA > 10M€	7M€ ou 1,4% CA

Les secteurs concernés

⚡

Énergie

🚄

Transports

🏦

Banque & Finance

🏥

Santé

💧

Eau potable

🌐

Infrastructure numérique

📡

Télécommunications

🏭

Industrie manufacturière

🍔

Agroalimentaire

🧪

Chimie

📦

Services postaux

🗑️

Gestion des déchets

💡 TPE < 50 salariés : Vous n'êtes pas directement soumis à NIS2. Mais si vous êtes sous-traitant d'une entité concernée, votre client peut exiger des garanties de cybersécurité. Et dans tous les cas, les bonnes pratiques protègent votre business.

Les 10 obligations clés de NIS2

Évaluation des risques — cartographier les menaces et vulnérabilités
Politique de sécurité — documenter et appliquer une PSSI
Gestion des incidents — détecter, répondre, notifier sous 24h (alerte) puis 72h (rapport)
Continuité d'activité — PCA/PRA, sauvegardes, plan de crise
Sécurité de la chaîne d'approvisionnement — exiger des garanties de vos fournisseurs
Gestion des vulnérabilités — patches, mises à jour, scans réguliers
Formation — sensibiliser tous les employés à la cybersécurité
Chiffrement — protéger les données sensibles en transit et au repos
Contrôle d'accès — MFA, principe du moindre privilège
Gouvernance — la direction est responsable (et sanctionnable personnellement)

Sanctions : ce que risquent les dirigeants

Nouveauté majeure de NIS2 : les dirigeants sont personnellement responsables. En cas de manquement :

💰 Amendes administratives (jusqu'à 10M€ ou 2% du CA)
🚫 Interdiction temporaire d'exercer des fonctions de direction
📢 Publication de la sanction
📋 Obligation de mise en conformité sous astreinte

Comment se mettre en conformité ?

Étape 1 : Évaluer votre situation

Êtes-vous une "entité essentielle" ou "importante" ? Vérifiez vos effectifs, votre CA, et votre secteur d'activité.

Étape 2 : Auditer votre sécurité actuelle

Identifiez les écarts entre votre niveau actuel et les exigences NIS2. Un audit automatisé comme SPOLIA Sentinel couvre les bases : SSL, headers, vulnérabilités connues, monitoring.

Étape 3 : Prioriser les actions

Commencez par le plus critique : gestion des incidents (notification 24h), sauvegardes, MFA, mises à jour.

Étape 4 : Documenter

NIS2 exige des preuves. Documentez votre PSSI, vos procédures d'incident, vos audits réguliers.

Étape 5 : Monitorer en continu

La conformité n'est pas un one-shot. Mettez en place un monitoring permanent de vos systèmes.

⏰ Conseil : Ne pas attendre la transposition définitive. Les entreprises qui se préparent maintenant auront 6-12 mois d'avance et éviteront la panique de dernière minute.

SPOLIA Sentinel : votre premier pas NIS2

Sentinel ne remplace pas un audit NIS2 complet, mais il couvre les fondamentaux techniques :

🛡️ Audit sécurité continu — headers, SSL, vulnérabilités
📊 Score de risque — suivi mensuel de votre posture
🔔 Alertes incidents — détection downtime en <1 min
📄 Rapports documentés — preuve d'audit pour les contrôles
🔗 Chaîne d'approvisionnement — monitorez aussi vos fournisseurs critiques

🛡️ Auditer ma sécurité — Gratuit