L’ampleur du problème en chiffres
Avant de parler de réglementation, posons le contexte réel. Les cyberattaques ne sont plus un risque théorique pour les PME, c’est une réalité quotidienne.
- 48 % des victimes de rançongiciel en France en 2025 sont des PME, TPE et ETI (CERT-FR, Panorama de la cybermenace 2025).
- 100–500k€ coût moyen d’une cyberattaque pour une PME , hors atteinte à la réputation.
- 77% des PME concernées par NIS2 ne savent pas encore qu’elles le sont (ANSSI).
C’est dans ce contexte que l’Union européenne a décidé de durcir le cadre réglementaire. NIS2 ne vient pas de nulle part — elle répond à une explosion des cyberattaques (+38 % d’incidents majeurs entre 2022 et 2024 selon l’ENISA) et à l’insuffisance manifeste du cadre précédent.
Qu’est-ce que NIS2 et qui est concerné ?
NIS2 (Network and Information Security 2) est la directive européenne dédiée à la cybersécurité des organisations critiques et importantes. Elle remplace la directive NIS1 de 2016 et multiplie par 50 le nombre d’entités concernées en France.
Le chiffre qui résume tout
NIS1 concernait ~300 organisations en France. NIS2 en concerne plus de 15 000 — dont des milliers de PME que personne n’avait prévenues.(ANSSI/DGSI 2026)
Votre entreprise est potentiellement concernée si :
- Vous avez plus de 50 salariés et un chiffre d’affaires supérieur à 10 millions d’euros
- Vous exercez dans un des 18 secteurs visés : santé, industrie, transport, énergie, finance, numérique, administration, eau, chimie, alimentation, logistique, télécoms, services numériques…
- Vous êtes fournisseur ou sous-traitant d’une organisation essentielle même en dessous des seuils de taille
- Vous hébergez ou exploitez des applications critiques, ERP, logiciels métiers ou plateformes web
NIS2 distingue deux catégories d’entités :
- Entités essentielles (EE) : secteurs les plus critiques, obligations maximales
- Entités importantes (EI) : périmètre élargi, obligations significatives mais graduées
Le calendrier NIS2 en France :les dates exactes
Vote du texte en commission spéciale à l’Assemblée nationale.Contrairement à ce que beaucoup pensent, NIS2 n’est pas « pour dans 2 ans ». Certaines obligations sont déjà effectives.
| Date | Statut | Ce qui se passe |
|---|---|---|
| 18 oct. 2024 | Déjà obligatoire | NIS2 entre en vigueur au niveau européen. L’obligation de notifier l’ANSSI sous 24h en cas d’incident significatif est effective dès aujourd’hui. Ne pas le faire expose à des sanctions immédiates. |
| Mars 2025 | Passé | Projet de loi Résilience adopté en 1ère lecture au Sénat. Transposition NIS2 + DORA + REC simultanée. |
| 10 sept. 2025 | Passé | Vote du texte en commission spéciale à l’Assemblée nationale. |
| 17 mars 2026 | Publié | ReCyF — Référentiel Cyber France publié par l’ANSSI. 20 objectifs de sécurité pour les entités essentielles, 15 pour les entités importantes. C’est la référence technique officielle pour la conformité NIS2 en France. Les entités qui l’appliquent peuvent s’en prévaloir en cas de contrôle. |
| T2 2026 | En cours | Promulgation de la loi Résilience et publication des décrets ANSSI. |
| 17 oct. 2026 | Échéance | Date limite de conformité totale. Début des contrôles ANSSI à partir de novembre 2026. La durée moyenne de mise en conformité d’une PME est de 6 à 12 mois, le temps presse. |
⚡Ce que recommande l’ANSSI
Ne pas attendre la promulgation définitive de la loi Résilience pour commencer. Les entreprises qui anticipent leur mise en conformité réduisent de 60 % leur temps de récupération en cas d’incident et divisent par 3 leurs coûts de remédiation.
Les obligations concrètes imposées par NIS2
NIS2 ne se limite pas à des recommandations générales. L’article 21 de la directive impose 10 mesures opérationnelles de cybersécurité qui concernent directement vos systèmes d’information et vos applications métier. En voici les 3 plus importantes pour les dirigeants.
Gouvernance et responsabilité des dirigeants (art. 20)
C’est la nouveauté la plus importante pour les DG et DAF. NIS2 engage directement la responsabilité des dirigeants :
- Les dirigeants doivent être formés à la cybersécurité et impliqués dans la gouvernance ,c’est une obligation explicite de l’article 20.
- En cas de négligence grave ou répétée, la responsabilité personnelle peut être engagée.
- Une interdiction temporaire d’exercice est prévue pour les manquements les plus graves.
Notification des incidents à l’ANSSI (art. 23)
- Alerte précoce sous 24h : toute détection d’incident significatif doit être signalée à l’ANSSI dans les 24h — déjà obligatoire depuis octobre 2024
- Rapport détaillé sous 72h : description complète de l’incident, de son impact et des mesures prises
- Rapport final sous 1 mois : analyse complète et plan de remédiation
Qui, dans votre organisation, est désigné pour détecter un incident et notifier l’ANSSI sous 24h ? Si la réponse n’est pas immédiate, vous avez un problème de gouvernance NIS2.
Sanctions prévues
- Entités essentielles : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial (le plus élevé des deux)
- Entités importantes : jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires mondial
- Responsabilité personnelle du dirigeant pouvant mener à une interdiction temporaire d’exercice
Ce que NIS2 change concrètement pour votre application
Si votre entreprise utilise un logiciel métier sur mesure, un ERP interne ou une application web, voici les exigences qui s’appliquent directement à ces systèmes.
Rappel d’abord du contexte :
vos ERP et applications métier concentrent aujourd’hui les données les plus sensibles ,données financières, RH, clients, facturation, accès bancaires. Ils sont devenus la cible principale des cyberattaques, notamment via les vulnérabilités applicatives, les API mal sécurisées et les dépendances logicielles obsolètes.
1 Contrôle des accès renforcé
2 Sécurisation des données
3 Tests de sécurité réguliers
4 Plan de reprise d’activité
5 Gestion des mises à jour
6 Journalisation et traçabilité
Ce que beaucoup d’entreprises ignorent
NIS2 s’applique aussi à votre chaîne d’approvisionnement IT. Vos fournisseurs logiciels, prestataires cloud et ESN doivent également être évalués et répondre à des exigences de sécurité. En tant que client, vous êtes responsable de vérifier leur conformité (article 21(d)).
Pourquoi les ERP et logiciels métiers sont la cible principale ?
Les ransomwares et cyberattaques ciblent désormais directement les applications métiers pour paralyser l’activité opérationnelle. Voici pourquoi vos ERP et applications sur mesure sont particulièrement exposés :
- Vulnérabilités applicatives non patchées : un logiciel sur mesure développé il y a 5 ans et non maintenu accumule des failles connues
- API mal sécurisées : les connecteurs entre votre ERP et vos outils tiers sont souvent le maillon faible
- Dépendances logicielles obsolètes : bibliothèques PHP, Java, Python non mises à jour avec des vulnérabilités connues
- Accès insuffisamment protégés : mots de passe partagés, absence de MFA, comptes de service avec trop de droits
- Erreurs de configuration : bases de données exposées, logs désactivés, environnements de test accessibles en production
Dans ce contexte, NIS2 impose une approche proactive et documentée de la sécurité pas une réaction post-incident.
Comment Euro Tech Conseil vous accompagne dans votre conformité?
Euro Tech Conseil accompagne les PME et ETI dans la sécurisation de leurs applications métiers, ERP et plateformes web. Nos équipes maîtrisent à la fois le développement applicatif et la sécurité ce qui est rare : nous sécurisons des systèmes que nous comprenons dans leur architecture.
Exemple de mission réalisée
PME industrielle — 200 salariés, secteur automobile
Audit de sécurité applicatif sur une application MES sur mesure développée il y a 7 ans.
Objectif : évaluer la conformité NIS2 et identifier les vulnérabilités prioritaires avant un contrôle client grands comptes.
- 12 vulnérabilités identifiées
- 3 critiques corrigées en priorité
- 5 jours audit + rapport
- 3 semaines plan de remédiation
Nos prestations NIS2
Audit de sécurité applicatif
- Revue de code et architecture
- Tests OWASP Top 10 complets
- Cartographie des vulnérabilités avec criticité
- Analyse des accès et permissions
- Rapport détaillé avec plan d’actions priorisé
Audit de conformité NIS2
- Évaluation de maturité cybersécurité sur 10 exigences clés
- Analyse des écarts par rapport aux obligations NIS2
- Identification des priorités critiques et des risques immédiats
- Recommandations techniques et organisationnelles actionnables
Renforcement sécuritaire
- Mise en place du MFA et gestion avancée des accès
- Sécurisation des API et des échanges
- Chiffrement des données sensibles
- Implémentation des logs d’audit et surveillance
- Documentation PRA/PCA et procédures ANSSI
Une PME est-elle concernée par NIS2 ?
Oui,Les PME de plus de 50 salariés et 10 M€ de chiffre d’affaires peuvent être concernées, notamment dans les secteurs critiques (santé, industrie, transport, finance, numérique) ou lorsqu’elles sont fournisseurs d’organisations stratégiques. Selon l’ANSSI, 77% des PME concernées ne savent pas encore qu’elles le sont.
La notification ANSSI sous 24h est-elle déjà obligatoire ?
Depuis le 18 octobre 2024, les entités concernées doivent notifier l’ANSSI dans les 24 heures suivant la détection d’un incident significatif — sans attendre la transposition française complète. Ne pas le faire expose à des sanctions.
NIS2 impose-t-elle un audit de sécurité ?
Mon ERP ou logiciel sur mesure doit-il être conforme NIS2 ?
Quelle différence entre ISO 27001 et NIS2 ?
ISO 27001 est une norme volontaire de management de la sécurité de l’information. NIS2 est une directive réglementaire européenne imposant des obligations légales aux entreprises concernées, avec des sanctions pouvant atteindre 10 millions d’euros ou 2% du CA mondial.
Votre application est-elle conforme ?
Euro Tech Conseil réalise un audit de sécurité applicatif en 5 jours : revue de code, OWASP Top 10, cartographie des vulnérabilités, rapport avec plan d’actions priorisé.
