La directive européenne NIS2 élargit considérablement les obligations de cybersécurité en France : 15 000 à 18 000 entités sont désormais concernées, contre 300 auparavant. La loi de transposition ("Loi Résilience") est attendue au T1 2026, avec un délai de mise en conformité de 3 ans. Même si votre PME n'est pas directement visée, vous pouvez être impactée en tant que fournisseur ou sous-traitant d'une entité régulée.
Qu'est-ce que la directive NIS2 ?
NIS2 (Network and Information Security 2) est la refonte de la directive européenne sur la sécurité des réseaux et des systèmes d'information. Adoptée en janvier 2023, elle remplace la directive NIS1 de 2016 et durcit significativement les exigences.
L'objectif : imposer un socle commun de cybersécurité à toutes les organisations qui jouent un rôle essentiel dans l'économie européenne.
En France, la transposition se fait via le projet de loi "Résilience", qui couvre trois directives : NIS2, REC (résilience des entités critiques) et DORA (résilience numérique bancaire). Le texte a été adopté par le Sénat en mars 2025 et est actuellement en discussion à l'Assemblée nationale (source : Vie-publique.fr).
Qui est concerné par NIS2 ?
Les critères de taille
NIS2 cible deux catégories d'organisations :
| Catégorie | Taille | Obligations |
|---|---|---|
| Entités essentielles | 250+ salariés ou CA > 50 M EUR | 20 objectifs de sécurité |
| Entités importantes | 50 à 249 salariés ou CA >= 10 M EUR | 15 objectifs de sécurité |
Les 18 secteurs concernés
11 secteurs hautement critiques : énergie, transports, santé, banque, eau potable, eaux usées, infrastructures numériques, services TIC (B2B), administrations publiques, espace, marchés financiers.
7 secteurs critiques : services postaux, gestion des déchets, fabrication industrielle, chimie, alimentation, fournisseurs numériques, recherche.
Et les PME de moins de 50 salariés ?
Les petites entreprises ne sont pas directement visées par NIS2. Mais attention : si vous êtes fournisseur ou sous-traitant d'une entité soumise à NIS2, celle-ci est tenue d'évaluer la sécurité de sa chaîne d'approvisionnement — y compris la vôtre (source : ANSSI - MonEspaceNIS2).
Concrètement, cela signifie que vos donneurs d'ordre pourraient vous demander :
- Une politique de sécurité formalisée
- Des sauvegardes régulières et testées
- Des clauses de sécurité contractuelles
- La capacité à notifier un incident dans les 24 heures
Pourquoi les chiffres de la cybermenace doivent-ils vous alerter ?
Les données les plus récentes confirment une menace croissante pour les PME :
| Chiffre | Source |
|---|---|
| 37% des victimes de rançongiciels connues de l'ANSSI sont des PME/TPE/ETI | ANSSI, Panorama de la cybermenace 2024 |
| 4 386 événements de sécurité traités par l'ANSSI en 2024 (+15% vs 2023) | ANSSI, rapport annuel 2024 |
| 80% des TPE-PME ne sont pas préparées aux cyberattaques | Cybermalveillance.gouv.fr, Baromètre 2025 |
| 43% des attaques sont liées au phishing | Cybermalveillance.gouv.fr, Baromètre 2025 |
| Budget cybersécurité < 2 000 EUR/an pour 75% des TPE-PME | Cybermalveillance.gouv.fr, Baromètre 2025 |
Le constat est clair : les PME sont à la fois les cibles privilégiées des cyberattaquants et les moins préparées à y faire face.
Quelles sont les 5 obligations concrètes de NIS2 ?
1. Formaliser une politique de sécurité (PSSI)
Documenter les règles de sécurité de votre système d'information : qui a accès à quoi, comment les mots de passe sont gérés, quelles sont les procédures en cas d'incident.
2. Mettre en place un plan de continuité et de reprise (PCA/PRA)
Que se passe-t-il si votre serveur tombe ? Si vos données sont chiffrées par un ransomware ? NIS2 exige un plan documenté et testé régulièrement pour assurer la continuité de votre activité.
3. Renforcer l'authentification et le contrôle des accès
L'authentification forte (MFA) devient un minimum. Chaque collaborateur doit avoir des accès strictement limités à ce dont il a besoin — pas plus.
4. Sauvegarder et chiffrer les données critiques
Les sauvegardes doivent être régulières, externalisées et testées. Le chiffrement des données sensibles (comptabilité, RH, clients) est désormais une exigence explicite.
5. Signaler les incidents dans les 24 heures
En cas d'incident significatif, vous devez alerter l'ANSSI dans les 24 heures, fournir une notification détaillée dans les 72 heures, puis un rapport final après résolution.
Quel lien avec votre ERP ?
Votre logiciel de gestion (ERP) est le cœur de votre système d'information. Il centralise vos données financières, commerciales, RH et logistiques. C'est donc le premier système impacté par les obligations NIS2.
Ce que NIS2 implique pour votre ERP
| Obligation NIS2 | Impact sur l'ERP |
|---|---|
| PSSI formalisée | Gestion des accès utilisateurs dans l'ERP |
| PCA/PRA | Sauvegarde et restauration des données ERP |
| Authentification forte | MFA pour l'accès à l'ERP (surtout en accès distant) |
| Chiffrement | Données ERP en transit et au repos |
| Notification 24h | Supervision et détection des incidents sur l'ERP |
Que votre ERP soit Sage, EBP, Odoo, Cegid ou un autre éditeur, les mêmes obligations s'appliquent. Le choix d'un ERP sécurisé et d'un intégrateur capable de vous accompagner sur la conformité devient un critère de sélection à part entière. Découvrez notre approche indépendante sur notre page solutions métier.
La question du cloud vs. on-premise
Un ERP hébergé dans le cloud bénéficie généralement des mesures de sécurité de l'hébergeur (sauvegardes, chiffrement, MFA intégré). En revanche, un ERP installé sur votre serveur local vous rend seul responsable de ces mesures. Quel que soit le mode de déploiement, c'est votre responsabilité de vérifier que les obligations NIS2 sont couvertes.
Quelles sanctions en cas de non-conformité NIS2 ?
NIS2 prévoit des sanctions dissuasives :
| Catégorie | Amende maximale |
|---|---|
| Entités essentielles | 10 M EUR ou 2% du CA mondial |
| Entités importantes | 7 M EUR ou 1,4% du CA mondial |
Au-delà des amendes :
- Responsabilité personnelle des dirigeants en cas de manquement grave
- Publication des sanctions (impact réputationnel)
- Possibilité d'interdiction d'exercer pour les dirigeants
Calendrier : que faire maintenant ?
| Étape | Échéance estimée | Action |
|---|---|---|
| Pré-enregistrement MonEspaceNIS2 | Déjà ouvert | S'inscrire sur monespacenis2.cyber.gouv.fr |
| Loi Résilience promulguée | T1 2026 | Suivre les publications au Journal Officiel |
| Décrets ANSSI (référentiel technique) | T2 2026 | Lire les spécifications détaillées |
| Mise en conformité complète | 3 ans après promulgation | Engager les travaux de sécurisation |
4 actions à lancer dès maintenant
- Vérifiez si vous êtes concerné : inscrivez-vous sur MonEspaceNIS2 pour un diagnostic en 5-10 minutes.
- Cartographiez votre SI : listez vos logiciels critiques (ERP, messagerie, comptabilité), vos accès distants, vos sauvegardes actuelles.
- Évaluez votre maturité cyber : antivirus à jour ? Sauvegardes testées ? MFA activé ? Politique de mots de passe ? La plupart des PME découvrent des lacunes à cette étape.
- Anticipez les demandes de vos donneurs d'ordre : si vos clients sont soumis à NIS2, ils vous demanderont des garanties de sécurité. Préparez-vous avant qu'on vous le demande.
Pour un accompagnement indépendant sur votre projet ERP ou infrastructure, contactez un conseiller ACLG.
Questions fréquentes sur la directive NIS2
NIS2 s'applique-t-elle aux PME de moins de 50 salariés ?
Pas directement. Mais si vous êtes fournisseur ou sous-traitant d'une entité régulée, vous serez indirectement concerné par les exigences de sécurité de la chaîne d'approvisionnement.
Quand NIS2 entre-t-elle en vigueur en France ?
La loi de transposition ("Loi Résilience") est attendue au T1 2026. Les entreprises auront ensuite 3 ans pour se mettre en conformité. L'ANSSI a déjà ouvert le pré-enregistrement sur MonEspaceNIS2.
Combien coûte la mise en conformité NIS2 ?
Les estimations ANSSI/SGDSN indiquent entre 100 000 et 200 000 EUR pour une entité importante, et entre 450 000 et 880 000 EUR pour une entité essentielle. Le coût réel dépend de votre maturité cyber actuelle. Une PME déjà équipée et sensibilisée aura un effort bien moindre.
Mon ERP est-il concerné par NIS2 ?
Oui. Que vous utilisiez Sage, EBP, Odoo, Cegid ou un autre éditeur, votre ERP centralise vos données critiques et doit être intégré dans votre démarche de conformité (sauvegardes, accès, chiffrement, PCA/PRA).
Que risque un dirigeant en cas de non-conformité ?
Les entités essentielles risquent jusqu'à 10 M EUR d'amende ou 2% du CA mondial. Les dirigeants peuvent être personnellement tenus responsables et, dans les cas graves, se voir interdire d'exercer.
Sources
- ANSSI — Panorama de la cybermenace 2024 (publié mars 2025)
- Cybermalveillance.gouv.fr — Baromètre maturité cyber TPE-PME 2025 (octobre 2025)
- Vie-publique.fr — Projet de loi Résilience
- ANSSI — MonEspaceNIS2 (pré-enregistrement)
- Directive (UE) 2022/2555 du 14 décembre 2022 (NIS2)
Cet article a pour vocation d'informer. Il ne constitue pas un conseil juridique. Pour un accompagnement personnalisé sur la sécurisation de votre système d'information, contactez un conseiller indépendant.