Réglementation

NIS2 en France : ce qui change concrètement pour les PME et ETI en 2026

Publié le 6 juillet 2026 · L’équipe Expert NIS2 (BKube)

Pendant deux ans, NIS2 a été un sujet de conférences. En 2026, c’est devenu un sujet de comité de direction : la transposition française — la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité — déploie progressivement ses effets, et les premières obligations concrètes tombent. Voici ce qui change vraiment, sans le brouillard.

Vous êtes concerné plus tôt que vous ne le pensez

La mécanique de NIS2 est automatique : si votre activité relève de l’un des 18 secteurs visés et que vous dépassez 50 salariés ou 10 M€ de chiffre d’affaires, vous êtes dans le périmètre — sans lettre recommandée pour vous prévenir. C’est la grande rupture avec l’ancienne directive : on ne vous désigne plus, vous êtes censé savoir.

Concrètement, trois obligations arrivent dans cet ordre :

  1. Se connaître et s’enregistrer — déterminer son statut (entité essentielle ou importante) et s’enregistrer auprès de l’ANSSI. C’est administratif, mais cela suppose d’avoir tranché la question du périmètre : quelles activités, quelles filiales, quels seuils.
  2. Mettre en œuvre les mesures de l’article 21 — dix familles de mesures, de l’analyse des risques à l’authentification multifacteur en passant par la continuité d’activité et la chaîne d’approvisionnement.
  3. Être capable de notifier un incident — alerte précoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. Des délais qui ne se tiennent pas sans préparation.

Ce que cela coûte — et ce que cela évite

Parlons chiffres, puisque c’est la première question en comité de direction. Pour une PME industrielle type (50 à 150 salariés, un site, une informatique classique), une démarche complète — audit, remédiation des écarts prioritaires, outillage — représente moins de 20 000 € la première année, puis un coût de maintien de l’ordre de 8 000 à 10 000 € par an.

En face : des sanctions jusqu’à 7 M€ ou 1,4 % du chiffre d’affaires mondial pour une entité importante, et surtout le coût réel d’un incident non préparé. Le rançongiciel médian coûte à une PME française plusieurs centaines de milliers d’euros en arrêt d’activité, reconstruction et clients perdus — quand il ne la tue pas. La conformité NIS2 n’est pas une taxe réglementaire de plus : c’est le prix, plutôt modeste, d’une entreprise qui survit à son prochain incident.

Le piège de 2026 : attendre le dernier décret

L’argument que nous entendons chaque semaine : « la transposition n’est pas complètement finalisée, attendons ». C’est exactement l’erreur commise avec le RGPD en 2017. Les exigences de fond de NIS2 sont connues, stables et publiées depuis fin 2022. Les entreprises qui s’y mettent maintenant étalent l’effort sur leur budget, choisissent leurs prestataires au calme et arrivent prêtes. Les autres feront la même chose, plus tard, dans un marché de prestataires saturé et au prix fort.

Notre recommandation est toujours la même : commencez par trancher la question du périmètre. Trente minutes suffisent pour savoir si vous êtes concerné, et à quel titre — c’est exactement ce que fait notre auto-diagnostic gratuit, ou un premier échange avec nos consultants.

Par où commencer ?

En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.