Vous avez vu passer le sigle. Dans un mail d'un client, une newsletter de votre fédération, peut-être une remarque de votre prestataire informatique. NIS2. Et la question qui vient juste après : est-ce que ça me concerne, moi, ma PME de quarante personnes qui usine des pièces depuis vingt-cinq ans ?
La réponse courte : probablement, oui. Pas pour les raisons que vous croyez.
NIS2 est une directive européenne qui oblige des milliers d'entreprises à mieux se protéger contre les cyberattaques, et à le prouver. Elle remplace une première version, NIS1, jugée trop molle et trop limitée. Cette fois, le champ est beaucoup plus large et les exigences ont des dents.
Voilà pour le résumé. Maintenant, le détail qui compte pour vous.
L'Europe a regardé les dernières années de cyberattaques et a tiré une conclusion simple. Les services essentiels, l'énergie, la santé, les transports, l'eau, l'industrie, tiennent sur des systèmes informatiques. Quand ces systèmes tombent, c'est tout un pan de l'économie qui se grippe. Un rançongiciel sur un hôpital, ce sont des opérations reportées. Une attaque sur un fournisseur automobile, c'est une chaîne de montage à l'arrêt chez le constructeur.
D'où la directive NIS2, adoptée en 2022 au niveau européen sous le doux nom de directive (UE) 2022/2555. Son but : relever le niveau de cybersécurité partout où une défaillance aurait des conséquences en cascade. Chaque pays membre devait la transcrire dans son droit national avant le 17 octobre 2024.
La France a raté cette échéance. On y revient plus bas, parce que ce retard change beaucoup de choses pour vous.
C'est là que la plupart des explications vous perdent. Elles déroulent des catégories juridiques. Faisons-le vite, puis passons à ce qui vous touche vraiment.
NIS2 trie les entreprises concernées en deux paniers.
Les entités essentielles : les plus grosses, dans les secteurs les plus critiques. Énergie, banque, santé, transport, eau potable, infrastructures numériques. Elles seront surveillées de près, contrôlées en amont, avec les sanctions les plus lourdes en cas de manquement.
Les entités importantes : un cran en dessous en taille ou en criticité, mais toujours dans le viseur. Contrôle plutôt a posteriori, c'est-à-dire après un incident ou un signalement. Sanctions réelles, simplement moins élevées.
Pour faire partie de l'un ou l'autre panier, il faut en général dépasser un seuil de taille, à partir d'une cinquantaine de salariés ou dix millions d'euros de chiffre d'affaires, et opérer dans un des secteurs listés. Beaucoup de PME industrielles passent juste sous ces seuils. Et c'est précisément le piège dans lequel il ne faut pas tomber, vous allez voir.
La liste des secteurs a doublé par rapport à NIS1. On y trouve maintenant l'industrie manufacturière, l'agroalimentaire, la gestion des déchets, la fabrication de produits chimiques, les services postaux, l'aérospatial. L'automobile, l'aéronautique, la logistique. Des activités très concrètes, très représentées dans le tissu industriel du Grand Est.
Si votre métier figure dans cette liste et que vous dépassez les seuils, vous êtes directement concerné, point. Mais la majorité des sous-traitants que nous croisons sont en dessous des seuils. Et ils sont quand même rattrapés. Par un autre chemin.
Lisez bien ce passage, c'est le cœur du sujet.
NIS2 ne se contente pas de demander aux grandes entreprises de se protéger elles-mêmes. Elle leur impose aussi de sécuriser leur chaîne d'approvisionnement. En clair : un donneur d'ordre soumis à la directive doit s'assurer que ses fournisseurs ne sont pas le maillon faible par lequel une attaque pourrait remonter jusqu'à lui.
Vous voyez où ça mène.
Le grand groupe est désigné par la loi. Vous, non. Mais le grand groupe a une obligation légale de surveiller ses fournisseurs, alors il vous la répercute. Par contrat, par questionnaire, par clause. Vous n'êtes nulle part dans le texte de la directive, et pourtant vous devez vous y conformer, parce que votre client l'exige pour garder le droit de travailler avec vous.
C'est ce qu'on appelle l'effet cascade, et c'est le vrai mécanisme par lequel NIS2 touche les PME. Nous l'avons détaillé dans un article entier sur l'effet cascade vers les sous-traitants, parce que c'est la situation dans laquelle se trouvent la quasi-totalité des entreprises que nous accompagnons.
Concrètement, ça commence souvent par un document. Un questionnaire sécurité envoyé par un client, une nouvelle clause dans le renouvellement de contrat, parfois juste un mail qui demande où vous en êtes de votre conformité. Ce jour-là, la directive vous a rattrapé. Pas par la loi française. Par votre carnet de commandes.
Le réflexe à avoir n'est donc pas de chercher votre nom dans la liste NIS2. C'est de regarder qui sont vos clients. Si vous fournissez un constructeur automobile, un grand acteur de l'aéronautique, un opérateur d'énergie ou un industriel de taille européenne, vous êtes dans la cascade. Que vous soyez vingt ou deux cents salariés n'y change rien.
Mettons de côté le vocabulaire réglementaire. Qu'est-ce qu'on attend vraiment d'une entreprise sous NIS2, ou sous la cascade de NIS2 ?
L'esprit du texte tient dans la gestion des risques. Il faut identifier ses risques cyber, mettre en place des mesures proportionnées, et savoir réagir quand un incident survient. La directive liste un socle de mesures, et ce socle ressemble à du bon sens organisé.
Rien d'inaccessible là-dedans. La difficulté, pour une PME sans personne dédiée à l'informatique, ce n'est pas de comprendre ces principes. C'est de les mettre en place, de les documenter, et de tenir le niveau dans la durée. Un client ne vous demandera pas seulement si vous faites des sauvegardes. Il vous demandera de le prouver.
Notez aussi un point que les dirigeants découvrent souvent tard : la directive engage personnellement la direction. La responsabilité de la cybersécurité n'est plus quelque chose qu'on délègue entièrement au prestataire informatique. Elle remonte au dirigeant. Là encore, factuellement, c'est dans le texte.
Voici l'information que beaucoup d'articles oublient de vous donner, et qui change votre calendrier.
À ce jour, en juin 2026, la France n'a toujours pas promulgué sa loi de transposition. Le texte, appelé loi Résilience, a été adopté en première lecture au Sénat en mars 2025, puis s'est enlisé. Le vote est maintenant évoqué pour juillet 2026. La Commission européenne a d'ailleurs adressé une mise en demeure à la France pour ce retard.
Pendant ce temps, l'ANSSI, l'agence nationale qui pilotera le dispositif, a avancé. Elle a rendu public son référentiel, rebaptisé ReCyF pour Référentiel Cyber France, en mars 2026. Elle a ouvert une pré-inscription des entités concernées via une plateforme dédiée dès fin 2025. Le calendrier qui se dessine prévoit une phase d'inscription et d'auto-évaluation, puis des premiers contrôles ciblés à partir de 2027, et des sanctions réellement appliquées plutôt vers 2028. L'agence a d'ailleurs annoncé privilégier l'accompagnement avant la répression.
Qu'est-ce que ça veut dire pour vous ? Deux choses en apparence contradictoires.
D'un côté, vous n'allez pas recevoir une amende la semaine prochaine. Le régulateur français n'est pas encore armé pour sanctionner, et il prévient qu'il commencera par accompagner. Pas de panique réglementaire.
De l'autre, vos clients, eux, n'attendent pas la loi. Les grands donneurs d'ordre se préparent depuis des mois, certains sont déjà soumis à des réglementations sectorielles, et ils répercutent leurs exigences maintenant. La pression que vous ressentez ne vient pas de Bercy. Elle vient de votre meilleur client. Et celle-là, elle est déjà là.
C'est exactement pour ça qu'attendre la promulgation pour s'y mettre est une mauvaise idée. Le jour où la loi tombera, ceux qui auront pris de l'avance répondront aux appels d'offres sans transpirer. Les autres courront derrière.
Soyons honnêtes sur le point de départ. Une PME industrielle de cinquante personnes n'a ni RSSI, ni DSI, ni le temps de déchiffrer un référentiel de l'ANSSI. Elle a un dirigeant qui porte déjà dix casquettes et un prestataire informatique qui gère le quotidien sans avoir été embauché pour ça.
La première marche n'est pas d'acheter un logiciel ou de tout chambouler. C'est de savoir où vous en êtes. Mesurer l'écart entre ce que vos clients vont exiger et ce que vous avez réellement en place. Sans cet état des lieux, vous avancez à l'aveugle, vous risquez d'investir au mauvais endroit ou de déclarer dans un questionnaire des choses que vous ne pourrez pas prouver.
C'est précisément le rôle d'un diagnostic de conformité. Il établit votre situation point par point, identifie les écarts qui comptent, et débouche sur un plan d'action priorisé et chiffré. Vous savez ce qui est urgent, ce qui peut attendre, et combien ça coûte. Pour beaucoup de dirigeants, c'est le moment où NIS2 cesse d'être une menace floue pour devenir une liste de tâches concrètes.
Ensuite seulement vient la mise en œuvre, puis, pour les secteurs qui l'exigent, une démarche plus structurée comme la certification ISO 27001. Mais tout commence par cet état des lieux. On ne se met pas en conformité avec ce qu'on n'a pas mesuré.
Si vous voulez le tableau d'ensemble, des secteurs concernés aux étapes de mise en conformité, notre guide complet de la conformité NIS2 reprend tout dans l'ordre.
Une dernière chose. NIS2 ressemble à une contrainte de plus, et c'en est une. Mais dans une filière où vos concurrents reçoivent les mêmes questionnaires que vous, être prêt avant eux n'est pas qu'une affaire de conformité. C'est un argument commercial. Le sujet finira par s'imposer à tout le monde. Autant le prendre quand vous avez encore le choix du tempo.