NIS2 fait passer le nombre d'entreprises françaises soumises à des obligations de cybersécurité de quelques centaines à plus de 15 000. Beaucoup de PME et ETI découvrent qu'elles sont concernées sans l'avoir anticipé. Ce guide répond précisément à deux questions : suis-je dans le périmètre ? et qu'est-ce que je dois concrètement mettre en place ?
*Des exceptions existent (ex. fournisseurs d'infrastructures numériques critiques concernés quelle que soit leur taille). En cas de doute, l'ANSSI fait foi. Seuils indicatifs selon la transposition en cours.
L'appartenance à l'Annexe I ou II oriente la catégorie (essentielle / importante), mais la taille entre aussi en compte. Liste indicative — référez-vous au texte officiel pour le détail des sous-secteurs.
L'éligibilité repose sur la combinaison secteur + taille.
Le critère secteur. NIS2 couvre 18 secteurs, répartis en deux annexes :
Le critère taille — la règle exacte. NIS2 s'appuie sur la définition européenne des entreprises (recommandation 2003/361/CE). Le point que tout le monde rate : on franchit un seuil dès qu'on dépasse UN seul des critères (c'est un « OU »), pas tous à la fois.
| Catégorie UE | Effectif | CA / Bilan | Statut NIS2 (secteur couvert) |
|---|---|---|---|
| Micro | < 10 | ≤ 2 M€ | Hors périmètre* |
| Petite | < 50 | ≤ 10 M€ | Hors périmètre* |
| Moyenne | < 250 | ≤ 50 M€ CA / ≤ 43 M€ bilan | Entité importante (en général) |
| Grande | ≥ 250 | OU > 50 M€ CA OU > 43 M€ bilan | Entité essentielle si Annexe I |
Seuil d'entrée concret : vous êtes dans le périmètre dès que vous atteignez ≥ 50 salariés OU > 10 M€ de CA OU > 10 M€ de bilan (et que votre secteur est couvert). Pas besoin de cumuler. Régime : l'entité essentielle subit un contrôle proactif (ex ante), l'entité importante un contrôle sur incident (ex post) — mais les deux ont les mêmes obligations de fond.
Trois pièges classiques :
L'effet ricochet. Même hors périmètre, si vous êtes sous-traitant ou fournisseur d'une entité NIS2, celle-ci vous imposera contractuellement des exigences de sécurité (au titre de sa propre obligation « chaîne d'approvisionnement »). Vous êtes alors embarqué indirectement, par le contrat — souvent avant même la loi. En cas de doute sur votre périmètre : l'ANSSI fait foi.
Tout le débat public tourne autour de la loi Résilience « pas encore votée ». C'est un faux confort. Le règlement d'exécution (UE) 2024/2690 du 17 octobre 2024 est un règlement, pas une directive : il est d'application directe dans tous les États membres, France comprise, sans aucune transposition nationale. Il est donc déjà opposable.
Ce règlement vise un périmètre précis d'acteurs du numérique et fixe pour eux des exigences techniques et méthodologiques détaillées, ainsi que les critères qui qualifient un incident d'« important » (donc à notifier). Les entités concernées :
Pourquoi ça vous concerne, vous, PME tech. Si vous êtes une ESN, un hébergeur, un éditeur SaaS opérant une infra cloud, un MSP/MSSP ou un infogéreur, vous tombez potentiellement dans ce périmètre. Et le projet de loi français le confirme : son article 14 renvoie explicitement au règlement 2024/2690 pour définir les mesures applicables à ces acteurs. Autrement dit, votre socle technique minimal est déjà fixé au niveau européen.
La directive liste dix familles de mesures « proportionnées au risque ». Le problème, c'est que la liste reste abstraite. Voici, pour chacune, ce que ça veut dire concrètement et la preuve qu'un contrôleur attendra.
| Mesure (art. 21) | Concrètement pour une PME | Preuve attendue |
|---|---|---|
| Analyse de risque & politique SSI | Cartographier actifs et menaces, politique signée par la direction | PSSI datée + analyse de risque révisée |
| Gestion des incidents | Procédure détection → qualification → notification, rôles désignés | Procédure IR + journal d'incidents |
| Continuité d'activité | Sauvegardes testées, PRA/PCA, gestion de crise | Comptes-rendus de tests de restauration |
| Sécurité chaîne d'appro. | Clauses cyber dans les contrats, évaluation des prestataires critiques | Clauses contractuelles + grille d'éval fournisseurs |
| Acquisition / dev / maintenance | Gestion des vulnérabilités et correctifs, divulgation coordonnée | Politique de patch + délais de remédiation |
| Évaluation de l'efficacité | Mesurer que les mesures marchent (audits, tests, indicateurs) | Rapports d'audit / tests d'intrusion |
| Hygiène cyber & formation | Sensibilisation régulière de tous les collaborateurs | Attestations de formation, taux de complétion |
| Cryptographie | Politique de chiffrement (données au repos / en transit) | Politique crypto + inventaire des usages |
| RH, contrôle d'accès, actifs | Arrivées/départs, moindre privilège, inventaire des actifs | Matrice d'habilitations + revue d'accès |
| MFA & comms sécurisées | MFA généralisée, communications d'urgence sécurisées | Couverture MFA + plan de comms de crise |
Le fil rouge que tout le monde sous-estime : la preuve. NIS2 ne demande pas seulement de faire, mais de démontrer qu'on fait. Passer de « on pense être conformes » à « on peut le prouver » est exactement le travail qui prend des mois — d'où l'intérêt de commencer tôt. Le ReCyF de l'ANSSI sert de grille pour structurer ces preuves.
Le calendrier de notification ne sert à rien si vous ne savez pas ce qui déclenche l'obligation. Un incident est significatif (donc à notifier) dès lors qu'il :
Pour les acteurs numériques visés par le règlement 2024/2690 (cloud, DNS, datacenters, MSP/MSSP…), ce seuil est précisé par des critères quantitatifs (durée d'indisponibilité, nombre d'utilisateurs touchés, étendue géographique). Pour ces acteurs, c'est chiffré — fini le flou.
Le calendrier européen s'applique alors, via les plateformes de l'ANSSI :
| Échéance | Contenu |
|---|---|
| 24 h — alerte précoce | Incident grave ? Soupçon d'origine malveillante ou transfrontière ? |
| 72 h — notification | Évaluation gravité / impact, indicateurs de compromission |
| Sur demande | Rapport(s) intermédiaire(s) si l'autorité le réclame |
| 1 mois — rapport final | Description détaillée, cause racine, mesures correctives |
Le réflexe à installer maintenant : un arbre de décision écrit (« cet événement est-il significatif ? oui → qui notifie, sur quelle plateforme, sous quel délai »), un contact ANSSI pré-établi, et un modèle de notification prêt à remplir. Une notification improvisée à H+20 sous le stress d'une crise est une notification ratée.
C'est la rupture culturelle de NIS2 : la cybersécurité n'est plus délégable au seul DSI. Au titre de l'article 20, les organes de direction doivent :
Selon la transposition, les autorités peuvent prononcer des sanctions visant les dirigeants et, pour les entités essentielles, aller jusqu'à des mesures de suspension temporaire de fonctions de direction dans les cas les plus graves. Le message est clair : un dirigeant qui ne peut pas démontrer qu'il a piloté le sujet s'expose personnellement.
Sanctions financières (selon la transposition) : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour une entité essentielle, jusqu'à 7 M€ ou 1,4 % pour une entité importante — le montant le plus élevé étant retenu.
| Date | Étape |
|---|---|
| 14 déc. 2022 | Adoption de la directive NIS2 (UE 2022/2555) |
| 16 janv. 2023 | Entrée en vigueur de la directive |
| 15 oct. 2024 | Présentation du projet de loi « Résilience » au Conseil des ministres |
| 17 oct. 2024 | Date limite de transposition UE — non respectée par la France |
| 17 oct. 2024 | Entrée en application du règlement d'exécution 2024/2690 (directement applicable) |
| 11–12 mars 2025 | Adoption du projet de loi au Sénat (1re lecture) |
| 7 mai 2025 | Avis motivé de la Commission européenne à la France |
| 10 sept. 2025 | Vote en commission spéciale à l'Assemblée nationale |
| 17 mars 2026 | Publication du Référentiel Cyber France (ReCyF) par l'ANSSI |
| Juillet 2026 | Examen en séance publique à l'Assemblée nationale (vote attendu) |
| 17 oct. 2026 | Date butoir de conformité — la fenêtre réelle est courte |
On mélange souvent NIS2 avec d'autres textes cyber européens. Repère rapide :
En clair : NIS2 = comment vous opérez votre cybersécurité ; CRA = sécurité des produits que vous vendez ; DORA = règle du secteur financier ; CER = résilience physique.
« On attend que la loi soit votée. » Faux confort. Le règlement 2024/2690 est déjà applicable pour les acteurs numériques, vos clients NIS2 vous imposent déjà des clauses, et la date butoir de conformité (17 oct. 2026) tombe quelques mois après le vote. Attendre = sprinter dans l'impossible.
« On est trop petits. » Pas forcément. Le seuil d'entrée est bas (≥ 50 salariés OU > 10 M€), le bilan compte, les groupes s'agrègent, et certains acteurs sont concernés quelle que soit leur taille.
« C'est un sujet purement DSI. » Non. L'article 20 met la direction en première ligne, avec formation obligatoire et responsabilité personnelle.
« Il suffit d'un antivirus et d'un firewall. » Non. NIS2 demande une démarche de gestion des risques documentée et prouvable : analyse de risque, MFA, sauvegardes testées, gestion des vulnérabilités, sécurité fournisseurs, réponse à incident — et la preuve que tout cela fonctionne.
« On verra à l'incident. » Trop tard. La notification à 24 h sous le stress d'une crise, sans procédure ni contact ANSSI pré-établi, est ingérable. La préparation se fait à froid.
La veille des vulnérabilités et la priorisation — au cœur de FactualRisk — couvrent déjà une partie du volet « gestion du risque » et « gestion des vulnérabilités » attendu. Pour la démarche complète (gap analysis, gouvernance, procédures, plan de réponse), c'est exactement le type d'accompagnement que je propose aux PME et ETI.
NIS2 raises the number of French companies subject to cybersecurity obligations from a few hundred to more than 15,000. Many SMEs and mid-caps are discovering they're in scope without having anticipated it. This guide answers two precise questions: am I in scope? and what must I concretely put in place?
*Des exceptions existent (ex. fournisseurs d'infrastructures numériques critiques concernés quelle que soit leur taille). En cas de doute, l'ANSSI fait foi. Seuils indicatifs selon la transposition en cours.
L'appartenance à l'Annexe I ou II oriente la catégorie (essentielle / importante), mais la taille entre aussi en compte. Liste indicative — référez-vous au texte officiel pour le détail des sous-secteurs.
Eligibility rests on the combination of sector + size.
The sector criterion. NIS2 covers 18 sectors, split across two annexes:
The size criterion — the exact rule. NIS2 relies on the EU definition of companies (Recommendation 2003/361/EC). The point everyone misses: you cross a threshold as soon as you exceed a SINGLE criterion (it's an « OR »), not all of them at once.
| EU category | Headcount | Turnover / Balance sheet | NIS2 status (covered sector) |
|---|---|---|---|
| Micro | < 10 | ≤ €2M | Out of scope* |
| Small | < 50 | ≤ €10M | Out of scope* |
| Medium | < 250 | ≤ €50M turnover / ≤ €43M balance sheet | Important entity (generally) |
| Large | ≥ 250 | OR > €50M turnover OR > €43M balance sheet | Essential entity if Annex I |
Concrete entry threshold: you're in scope as soon as you reach ≥ 50 employees OR > €10M turnover OR > €10M balance sheet (and your sector is covered). No need to cumulate. Regime: essential entities face proactive (ex ante) supervision, important entities incident-driven (ex post) supervision — but both carry the same substantive obligations.
Three classic traps:
The ripple effect. Even out of scope, if you're a subcontractor or supplier to a NIS2 entity, it will impose security requirements on you contractually (under its own « supply chain » obligation). You're then pulled in indirectly, by contract — often before the law itself. If in doubt about your scope: ANSSI is the authority.
The whole public debate revolves around the « not yet voted » Résilience law. That's false comfort. Implementing Regulation (EU) 2024/2690 of 17 October 2024 is a regulation, not a directive: it is directly applicable in every Member State, France included, without any national transposition. It is therefore already enforceable.
It targets a precise set of digital players and sets out detailed technical and methodological requirements for them, plus the criteria that qualify an incident as « significant » (and therefore reportable). The entities concerned:
Why this concerns you, the tech SME. If you're an IT services firm, a hosting provider, a SaaS vendor operating cloud infrastructure, an MSP/MSSP or a managed IT provider, you potentially fall within this scope. And the French bill confirms it: its Article 14 explicitly refers to Regulation 2024/2690 to define the measures applicable to these players. In other words, your minimum technical baseline is already set at EU level.
The directive lists ten families of measures « proportionate to risk ». The problem is that the list stays abstract. Here, for each one, is what it means concretely and the proof a supervisor will expect.
| Measure (Art. 21) | Concretely for an SME | Expected proof |
|---|---|---|
| Risk analysis & IS security policy | Map assets and threats, policy signed by management | Dated ISSP + reviewed risk analysis |
| Incident handling | Procedure detection → triage → notification, named roles | IR procedure + incident log |
| Business continuity | Tested backups, DR/BC plans, crisis management | Restoration test reports |
| Supply chain security | Cyber clauses in contracts, assessment of critical providers | Contractual clauses + supplier assessment grid |
| Acquisition / dev / maintenance | Vulnerability and patch management, coordinated disclosure | Patch policy + remediation timelines |
| Effectiveness assessment | Measure that the measures work (audits, tests, indicators) | Audit / penetration test reports |
| Cyber hygiene & training | Regular awareness for all staff | Training certificates, completion rates |
| Cryptography | Encryption policy (data at rest / in transit) | Crypto policy + inventory of uses |
| HR, access control, assets | Joiners/leavers, least privilege, asset inventory | Access matrix + access review |
| MFA & secure comms | MFA rolled out, secure emergency communications | MFA coverage + crisis comms plan |
The thread everyone underestimates: proof. NIS2 doesn't only require you to do, but to demonstrate that you do. Moving from « we think we're compliant » to « we can prove it » is exactly the work that takes months — hence the value of starting early. ANSSI's ReCyF serves as a grid to structure that evidence.
The notification timeline is useless if you don't know what triggers the obligation. An incident is significant (and therefore reportable) as soon as it:
For the digital players covered by Regulation 2024/2690 (cloud, DNS, datacenters, MSP/MSSP…), this threshold is specified by quantitative criteria (downtime duration, number of users affected, geographic spread). For them, it's quantified — no more guesswork.
The EU timeline then applies, via ANSSI's platforms:
| Deadline | Content |
|---|---|
| 24 h — early warning | Serious incident? Suspected malicious or cross-border origin? |
| 72 h — notification | Severity / impact assessment, indicators of compromise |
| On request | Interim report(s) if the authority asks |
| 1 month — final report | Detailed description, root cause, corrective measures |
The reflex to build now: a written decision tree (« is this event significant? yes → who notifies, on which platform, within what deadline »), a pre-established ANSSI contact, and a notification template ready to fill. A notification improvised at H+20 under crisis stress is a failed notification.
This is NIS2's cultural break: cybersecurity can no longer be delegated to the CIO alone. Under Article 20, management bodies must:
Depending on the transposition, authorities can impose sanctions targeting executives and, for essential entities, go as far as temporarily suspending management duties in the most serious cases. The message is clear: an executive who cannot demonstrate they steered the topic is personally exposed.
Financial penalties (depending on the transposition): up to €10M or 2% of global turnover for an essential entity, up to €7M or 1.4% for an important entity — whichever is higher.
| Date | Step |
|---|---|
| 14 Dec 2022 | Adoption of the NIS2 directive (EU 2022/2555) |
| 16 Jan 2023 | Directive enters into force |
| 15 Oct 2024 | « Résilience » bill presented to the Council of Ministers |
| 17 Oct 2024 | EU transposition deadline — missed by France |
| 17 Oct 2024 | Implementing Regulation 2024/2690 enters into application (directly applicable) |
| 11–12 Mar 2025 | Bill adopted by the Senate (first reading) |
| 7 May 2025 | Reasoned opinion from the European Commission to France |
| 10 Sep 2025 | Vote in the National Assembly's special committee |
| 17 Mar 2026 | ANSSI publishes the Référentiel Cyber France (ReCyF) |
| July 2026 | Floor debate in the National Assembly (vote expected) |
| 17 Oct 2026 | Compliance deadline — the real window is short |
NIS2 is often confused with other EU cyber texts. Quick reference:
In short: NIS2 = how you operate your cybersecurity; CRA = security of the products you sell; DORA = the financial sector rule; CER = physical resilience.
« We'll wait until the law is voted. » False comfort. Regulation 2024/2690 already applies to digital players, your NIS2 clients are already imposing clauses, and the compliance deadline (17 Oct 2026) falls just months after the vote. Waiting = sprinting the impossible.
« We're too small. » Not necessarily. The entry threshold is low (≥ 50 employees OR > €10M), the balance sheet counts, groups aggregate, and some players are in scope regardless of size.
« It's a pure IT-department topic. » No. Article 20 puts management on the front line, with mandatory training and personal liability.
« An antivirus and a firewall are enough. » No. NIS2 requires a documented and provable risk-management approach: risk analysis, MFA, tested backups, vulnerability management, supplier security, incident response — and proof that it all works.
« We'll deal with it at incident time. » Too late. Notifying within 24h under crisis stress, with no procedure or pre-established ANSSI contact, is unmanageable. Preparation happens cold.
Vulnerability monitoring and prioritization — at the heart of FactualRisk — already cover part of the expected « risk management » and « vulnerability management » scope. For the full approach (gap analysis, governance, procedures, response plan), that's exactly the kind of support I provide to SMEs and mid-caps.
La donnée est gratuite. Pour un avis sur l'impact réel sur votre parc et un plan de remédiation, on en parle.
Nous contacter →