NIS2 en France : le guide définitif pour les PME et ETI en 2026

Quinze mille. C'est le nombre d'entités françaises qui vont passer sous le périmètre de la directive NIS2, contre moins de trois cents sous NIS1. L'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF) : les 25 objectifs de sécurité que ces entités devront respecter. La Loi Résilience, qui transpose NIS2 en droit français, est adoptée au Sénat depuis mars 2025. Elle attend toujours son passage à l'Assemblée nationale, bloquée par un article sur le chiffrement qui oppose les parlementaires au ministère de l'Intérieur. Ce décalage entre l'urgence de la menace et la lenteur de la transposition place les PME et ETI françaises dans une situation paradoxale : les obligations arrivent, le référentiel est prêt, mais la loi n'est pas votée.

Ce que NIS2 change pour la France

La directive NIS2 (Network and Information Security 2), adoptée en décembre 2022, remplace et élargit massivement la directive NIS1 de 2016. Le périmètre passe de 6 à 18 secteurs d'activité. Les seuils de désignation sont abaissés : toute entreprise de 50 salariés ou plus avec un chiffre d'affaires supérieur à 10 millions d'euros dans un secteur couvert est potentiellement concernée. Les collectivités territoriales de plus de 30 000 habitants entrent dans le périmètre, une première.

NIS2 distingue deux catégories d'entités. Les entités essentielles (EE), les plus grandes, dans les 11 secteurs « hautement critiques » : énergie, transports, banques, santé, eau, infrastructure numérique. Les entités importantes (EI), les moyennes, dans un périmètre élargi incluant les services postaux, l'industrie, la chimie, l'alimentation, les fournisseurs numériques. Au total, 1 489 collectivités territoriales et EPCI seront classées entités essentielles, et 992 communautés de communes entités importantes.

L'effet supply chain constitue le mécanisme le plus sous-estimé de NIS2. Même une PME de 30 salariés qui n'atteint pas les seuils de désignation directe peut se retrouver dans le périmètre si elle fournit des services à une entité régulée : hébergement, infogérance, développement logiciel, maintenance réseau. L'article 21(2)(4) impose aux entités régulées de sécuriser leur chaîne d'approvisionnement, ce qui signifie que les exigences NIS2 se propagent contractuellement aux sous-traitants.

La situation française en mars 2026 : entre blocage politique et avancée technique

Le blocage est politique, pas technique. L'article 16 bis, ajouté par le sénateur Olivier Cadic, interdit d'imposer des backdoors aux fournisseurs de chiffrement, y compris les messageries instantanées. Le ministère de l'Intérieur, via la DGSI, s'y oppose frontalement. Philippe Latombe, rapporteur à l'Assemblée, résume la situation : « Quand on discute avec un certain nombre d'administrations, on nous explique très clairement que c'est le 16 bis qui pose problème et que tant qu'il sera là, le texte ne sera pas transposé. »

Le directeur général de l'ANSSI, Vincent Strubel, a insisté lors de l'événement du 17 mars : les entités ne doivent pas attendre la transposition formelle pour commencer leur mise en conformité. Le ReCyF est un « document vivant » diffusé comme document de travail. Les obligations de cybersécurité existent déjà : le RGPD, le RGS, les guides ANSSI. NIS2 les formalise et les durcit, mais les entreprises qui n'ont rien fait jusqu'ici ne pourront pas invoquer l'absence de transposition comme excuse.

Le ReCyF : 25 objectifs de sécurité, de M00 à M24

Le Référentiel Cyber France publié par l'ANSSI le 17 mars 2026 traduit les exigences de l'article 21 de NIS2 en 25 objectifs de sécurité vérifiables, totalisant 159 exigences. Le référentiel s'organise en objectifs obligatoires (le « quoi ») et en moyens acceptables de conformité (le « comment »), laissant aux entités la flexibilité de démontrer leur conformité par des moyens alternatifs ou des certifications équivalentes.

Les objectifs M00 à M16 s'appliquent à toutes les entités régulées, essentielles et importantes. Les objectifs M17 à M20 ne concernent que les entités essentielles. Les objectifs M21 à M24 s'appliquent contextuellement selon la structure et la technologie. Le ReCyF introduit trois niveaux de maturité : Basique (hygiène minimale), Modéré (pour les EI), Avancé (pour les EE).

Parmi ces 25 objectifs, l'objectif M08, Cryptographie et chiffrement, fait partie du socle universel applicable à toutes les entités. Il impose une politique cryptographique formelle, une gestion documentée du cycle de vie des clés (génération, stockage, rotation, révocation, destruction), et la conformité des algorithmes avec le Référentiel général de sécurité. L'ANSSI ne prescrit pas un algorithme précis (l'approche reste fondée sur les risques) mais ses recommandations (PG-083 v3.00, mars 2026) désignent AES-256-GCM comme standard de chiffrement symétrique et intègrent désormais les exigences de cryptographie post-quantique.

Pour les PME confrontées à la complexité de M08, des solutions EaaS (Encryption-as-a-Service) comme MAFATE permettent d'adresser cet objectif à partir de 99 €/mois, avec attestations de conformité intégrées documentant les mesures de chiffrement mises en œuvre : le type de preuve que l'ANSSI attend dans le cadre d'un audit.

Les 10 mesures de l'article 21 en pratique

L'article 21 de NIS2 définit dix catégories de mesures que toutes les entités concernées doivent mettre en œuvre. Ces mesures ne sont pas nouvelles pour les organisations déjà conformes à ISO 27001 ou au guide d'hygiène ANSSI, mais elles deviennent juridiquement contraignantes avec des sanctions à la clé.

La gouvernance d'abord (M00) : la direction de l'entreprise doit approuver les mesures de cybersécurité et suivre une formation obligatoire. Les dirigeants sont personnellement responsables. L'analyse des risques et la politique de sécurité (M01) : chaque entité doit formaliser sa politique. La gestion des incidents (M02) : notification obligatoire en 24 heures pour l'alerte initiale, 72 heures pour le rapport détaillé, un mois pour le rapport final. La continuité d'activité (M03) : plans de reprise et sauvegardes testés. La sécurité de la chaîne d'approvisionnement (M04) : audit des fournisseurs, clauses contractuelles. La gestion des vulnérabilités (M05) : programme de patch management. L'évaluation des mesures (M06) : audits réguliers. La cyber-hygiène et la formation (M07) : sensibilisation des collaborateurs. La cryptographie (M08) : politique de chiffrement, gestion des clés, algorithmes conformes. L'authentification (M10) : MFA obligatoire sur les accès critiques.

Ce décathlon de la cybersécurité représente un investissement conséquent pour une PME qui part de zéro. L'étude d'un échantillon de 73 PME françaises accompagnées en 2025 révèle que 68 % d'entre elles ne satisfont actuellement qu'à 3 ou 4 des 10 exigences. Le chemin vers la conformité complète est long, mais le référentiel ReCyF fournit désormais une feuille de route structurée.

Les sanctions : montants et responsabilité des dirigeants

L'article 20 de NIS2 instaure une responsabilité personnelle des dirigeants qui marque une rupture avec le régime précédent. Les membres de la direction doivent approuver les mesures de cybersécurité, suivre une formation, et peuvent faire l'objet d'une interdiction temporaire d'exercer des fonctions de direction en cas de négligence grave. Cette disposition transforme la cybersécurité d'un sujet technique délégué au DSI en un enjeu de gouvernance au niveau du conseil d'administration.

L'ANSSI est l'autorité nationale habilitée à effectuer des audits de sécurité, des inspections de contrôle et à appliquer des sanctions proportionnées. Les modalités concrètes des contrôles seront définies dans les décrets d'application attendus au second semestre 2026.

Le budget réaliste : 35 000 à 180 000 euros

La question du budget est celle qui préoccupe le plus les dirigeants de PME. D'après une compilation de données portant sur 58 PME françaises ayant achevé leur mise en conformité, les investissements varient de 35 000 à 180 000 euros selon la maturité initiale et la complexité du système d'information.

Un diagnostic complet par un prestataire certifié PASSI coûte entre 8 000 et 25 000 euros. C'est le point de départ recommandé. La formation certifiante d'une journée pour les dirigeants et responsables sécurité coûte entre 800 et 1 500 euros par participant. La sensibilisation de l'ensemble des collaborateurs nécessite un budget additionnel de 50 à 150 euros par employé et par an.

Ces montants sont significatifs pour une PME dont 75 % consacrent moins de 2 000 euros par an à la cybersécurité, selon le baromètre Cybermalveillance.gouv.fr 2025. Le décalage entre le niveau d'investissement actuel et les exigences NIS2 est vertigineux. Le programme CaRE (750 millions d'euros sur 2023-2027) finance la montée en compétence du secteur santé, mais aucun programme équivalent n'existe pour les PME industrielles ou les fournisseurs numériques qui constituent pourtant la majeure partie des nouvelles entités régulées.

Les outils ANSSI : commencer sans attendre la loi

L'ANSSI a structuré un écosystème d'accompagnement que les PME peuvent utiliser dès maintenant, sans attendre la promulgation de la Loi Résilience.

MonEspaceNIS2 (monespacenis2.cyber.gouv.fr) : la plateforme d'auto-évaluation permet de déterminer si son organisation est concernée et de pré-enregistrer son entité. Le pré-enregistrement est ouvert depuis le 24 novembre 2025 et prend 5 à 10 minutes.

Cyber Départ : programme d'accompagnement ciblant les entités les moins matures, avec un référentiel de « mesures basiques » identifiant les mesures à plus fort impact pour le moindre coût. L'objectif est de fournir un point d'entrée accessible aux organisations qui n'ont jamais eu de RSSI.

MonAideCyber : outil de diagnostic initial gratuit, proposé par les structures d'accompagnement régionales. Le Guide TPE/PME de l'ANSSI constitue une base solide de mesures concrètes et durables.

L'ANSSI met également à disposition un outil de comparaison permettant de cartographier les correspondances entre ReCyF et d'autres référentiels (ISO 27001, NIST, référentiels sectoriels). Les organisations déjà certifiées ISO 27001 couvrent une partie significative des exigences NIS2 et peuvent s'appuyer sur cette base.

La nuance : toutes les PME ne sont pas concernées de la même manière

Le périmètre de NIS2 est large, mais il n'est pas universel. Une PME de 40 salariés dans le secteur du conseil en management n'est pas directement concernée, sauf si elle fournit des services IT à une entité régulée. Une boulangerie industrielle de 60 salariés avec un chiffre d'affaires de 15 millions d'euros dans le secteur alimentaire est potentiellement une entité importante.

Le mécanisme de propagation par la supply chain est celui qui surprendra le plus d'entreprises. Un hébergeur web de 20 personnes qui fournit des services à un hôpital est de facto dans le périmètre NIS2 via l'obligation de sécurisation de la chaîne d'approvisionnement (M04) de son client. Les clauses de cybersécurité dans les contrats de sous-traitance vont devenir la norme, et les PME qui ne pourront pas démontrer un niveau minimal de sécurité risquent de perdre des marchés avant même d'être sanctionnées par l'ANSSI.

Le délai de tolérance de trois ans accordé par l'ANSSI après la promulgation de la loi permet une montée en charge progressive. Les premiers contrôles ne devraient pas intervenir avant fin 2027 ou début 2028 pour les entités importantes. Ce délai est une opportunité, pas une invitation à procrastiner. Les organisations qui auront commencé leur mise en conformité dès 2026 disposeront d'un avantage structurel, et d'une exposition réglementaire réduite, par rapport à celles qui attendront le dernier moment.

Commencer par M08 : le meilleur ratio coût/impact

Parmi les 25 objectifs du ReCyF, M08 (Cryptographie et chiffrement) offre le meilleur ratio coût/impact pour une PME qui démarre sa mise en conformité NIS2. Le chiffrement est le dénominateur commun de trois réglementations : RGPD (Art. 32), NIS2 (Art. 21.2.h) et DORA pour les acteurs financiers (Art. 9). Un seul investissement technique adresse trois cadres réglementaires simultanément.

Le chiffrement est également la mesure qui réduit le plus efficacement l'impact d'un incident. L'article 34 du RGPD exempte de notification les violations de données lorsque les données sont chiffrées avec des clés non compromises. NIS2 tient compte des mesures techniques existantes dans l'évaluation des sanctions. Et les assureurs cyber intègrent désormais le chiffrement comme prérequis dans leurs conditions de souscription, avec des réductions de prime de 15 à 25 % pour les entreprises qui démontrent un chiffrement at-rest systématique.

Des solutions comme MAFATE permettent d'adresser M08 avec un chiffrement AES-256-GCM, une gestion des clés par HSM conforme au RGS, et des attestations exportables, pour un coût à partir de 99 €/mois. Ce positionnement rend le chiffrement conforme accessible aux PME qui constituent le gros du bataillon des 15 000 nouvelles entités régulées.

La question posée aux dirigeants de PME françaises n'est plus « faut-il se conformer à NIS2 ? ». Le référentiel existe, les outils sont disponibles, les sanctions sont définies. La question est de savoir si l'on investit 35 000 euros dans la conformité maintenant, ou si l'on attend l'audit ANSSI qui coûtera dix fois plus cher en remédiation d'urgence. Les 68 % de PME qui ne satisfont qu'à 3 ou 4 exigences sur 10 ont moins de deux ans pour combler l'écart.

Lire aussi dans le blog :

• → CLOUD Act : pourquoi vos données AWS ne sont pas souveraines
• → Pourquoi utiliser plusieurs clés de chiffrement
• → 487 millions d'euros d'amendes CNIL en 2025