Pourquoi NIS2 concerne les PME
NIS2 (directive (UE) 2022/2555) remplace la directive NIS de 2016 et élargit fortement le périmètre : plus de 15 000 entités sont concernées en France, dont des entreprises de taille moyenne, des sous-traitants et des prestataires de services numériques de secteurs stratégiques. La transposition française fixe l’échéance au 17 octobre 2026, avec des sanctions pouvant atteindre 10 M€ ou 2 % du chiffre d’affaires mondial — et une responsabilité personnelle des dirigeants.
La bonne nouvelle : l’essentiel de ce qu’exige NIS2 est une gouvernance documentée, pas de la technologie coûteuse. Avec une méthode, une PME peut poser le socle en quelques semaines.
Les 10 étapes
1. Vérifiez votre périmètre
Vous êtes probablement concerné si vous dépassez 50 salariés ou 10 M€ de chiffre d’affaires et opérez dans un secteur stratégique (énergie, transport, santé, infrastructure numérique, administration, industrie, etc.). Une PME plus petite peut l’être indirectement : les entités essentielles et importantes doivent sécuriser leur chaîne d’approvisionnement, donc un sous-traitant fournissant un service numérique critique sera évalué selon des critères NIS2.
2. Désignez un responsable
NIS2 rend la direction responsable. Nommez une personne en charge du programme et faites-le approuver formellement par la direction — cette approbation est en soi une preuve.
3. Réalisez une analyse de risques
Identifiez vos actifs, les menaces et les mesures qui réduisent le risque. C’est le point de départ : NIS2 attend des mesures proportionnées à votre niveau de risque.
4. Rédigez votre politique de sécurité des SI (PSSI)
Le document de haut niveau qui fixe vos objectifs et votre engagement de sécurité. Il sert d’ancrage à toutes les autres politiques.
5. Mettez en place la gestion et la notification des incidents
NIS2 impose des délais stricts (alerte précoce sous 24 h, notification complète sous 72 h). Il vous faut un processus de réponse aux incidents documenté avant l’incident, pas pendant.
6. Préparez la continuité et la reprise
Documentez un plan de continuité (PCA) et un plan de reprise (PRA) — voir notre guide pour rédiger une politique de continuité d’activité. Testez la restauration.
7. Sécurisez votre chaîne d’approvisionnement
C’est l’un des grands changements de NIS2. Évaluez vos fournisseurs, ajoutez des clauses de sécurité aux contrats et tenez une politique de sécurité fournisseurs.
8. Couvrez le socle technique
Contrôle d’accès, authentification multifacteur, gestion des vulnérabilités, journalisation et chiffrement. Chacun doit faire l’objet d’une politique courte, approuvée et communiquée — pas d’un savoir implicite.
9. Formez vos équipes (et la direction)
NIS2 exige explicitement une formation à l’hygiène cyber et une sensibilisation de la direction. Documentez le programme et conservez les feuilles de présence.
10. Conservez les preuves
Pour chaque mesure, soyez prêt à démontrer approbation, communication et revue. Les auditeurs et régulateurs s’intéressent moins à la qualité rédactionnelle qu’à la preuve que la mesure est réelle, connue et maintenue.
Comment PolicyForge accélère NIS2
Le générateur de politiques NIS2 associe chaque document attendu — PSSI, gestion des risques, réponse aux incidents, continuité, fournisseurs, contrôle d’accès, vulnérabilités, sensibilisation — à un modèle structuré et bilingue, avec bloc d’approbation, notes de communication et date de revue. Vous générez le socle documentaire en une après-midi et vous présentez à votre évaluation avec les preuves déjà en place.