de TPE et PME🛡 SHIELD — Cybersécurité & Conformité · 8 min de lecture · Publié le 15 janvier 2026 · NIS2 · Conformité · Cybersécurité · ANSSILa directive NIS2 est en vigueur depuis octobre 2024. Mais en mars 2026, quelque chose a changé : les premières sanctions sont tombées. L'ANSSI a prononcé ses premières mises en demeure, et certains dirigeants ont découvert — trop tard — que leur responsabilité personnelle était directement engagée.
Voici ce que vous devez savoir, sans langue de bois.Ce que NIS2 change vraiment par rapport à NIS1La directive NIS1 concernait environ 500 opérateurs critiques en France. NIS2 en vise plus de 100 000 — et inclut explicitement les PME et ETI fournisseurs de secteurs critiques. Le périmètre couvre : l'énergie, les transports, la santé, la finance, l'eau, les infrastructures numériques, les administrations publiques, et plus de 10 autres secteurs.Ce qui change concrètement : la responsabilité personnelle du dirigeant est désormais engagée.
Le PDG, le DG ou le président peuvent être tenus pour personnellement responsables en cas de manquement — ce n'était pas le cas avec NIS1. Les amendes peuvent atteindre 4,5M€ pour les entités importantes et 10M€ pour les entités essentielles.⚠ Point clé — Même si vous n'êtes pas dans un secteur critique, vos clients grands comptes peuvent contractuellement vous imposer la conformité NIS2. Vérifiez vos contrats fournisseurs.Les 5 questions à vous poser immédiatement1.
Suis-je dans le périmètre NIS2 ?La réponse dépend de deux critères : votre secteur d'activité et votre taille. Sont concernées les entités "importantes" (50 à 250 salariés, CA entre 10M€ et 50M€) et "essentielles" (plus de 250 salariés ou CA supérieur à 50M€) opérant dans un secteur listé par la directive. Mais attention : même sous ces seuils, si vous fournissez une entité essentielle, vous pouvez être dans l'obligation contractuelle de vous conformer.2.
Quelles sont mes obligations concrètes ?NIS2 impose 10 domaines de mesures de sécurité obligatoires :Gestion des risques — analyse et traitement des risques cyber documentésSécurité des ressources humaines — formation, sensibilisation, gestion des droits d'accèsGestion des incidents — procédures de détection, réponse et notificationContinuité d'activité — PRA/PCA, sauvegardes, gestion des crisesSécurité de la chaîne d'approvisionnement — évaluation des risques fournisseursSécurité des systèmes et réseaux — architecture, cloisonnement, authentificationPolitiques et procédures — documentation, gouvernance de la sécuritéCryptographie — chiffrement des données sensibles en transit et au reposContrôle d'accès — gestion des identités, MFA, accès privilégiésDivulgation des vulnérabilités — processus de signalement et de correction3.
Quel est le délai de notification obligatoire ?72 heures. C'est le délai légal pour notifier l'ANSSI d'un incident significatif. Ce délai commence à courir dès que vous avez connaissance de l'incident — pas quand vous avez terminé votre analyse. En pratique, cela signifie que vous devez avoir une procédure de détection et de qualification des incidents opérationnelle avant que l'incident ne survienne.4.
Qu'est-ce qu'un "incident significatif" ?Un incident est significatif si l'un des critères suivants est rempli : impact sur la continuité du service, perte ou compromission de données sensibles, atteinte à des tiers (clients, partenaires), ou préjudice financier ou réputationnel significatif. En cas de doute, la recommandation est de notifier — une notification inutile est toujours préférable à une absence de notification.5.
Ma responsabilité personnelle est-elle vraiment engagée ?Oui. L'article 20 de la directive NIS2 impose aux États membres de s'assurer que les organes de direction des entités concernées approuvent les mesures de gestion des risques, supervisent leur mise en œuvre, et peuvent être tenus responsables en cas de manquement. En France, cela se traduit par une obligation de compétence et d'implication directe du dirigeant — pas seulement de délégation à la DSI.Ce qui se passe concrètement en cas de contrôle ANSSIDepuis le second semestre 2025, l'ANSSI a engagé ses premières démarches de contrôle.
Le processus se déroule en trois phases : une notification préalable (généralement 30 jours avant), un audit documentaire (politiques, procédures, preuves de mise en œuvre), puis si nécessaire des investigations techniques sur site.Les premières sanctions prononcées en 2026 concernent principalement : l'absence de plan de réponse aux incidents documenté et testé, l'absence de politique de gestion des risques formalisée, et le défaut de notification d'incident dans les délais légaux.
Ce ne sont pas les mesures techniques les plus complexes — ce sont les fondations documentaires que beaucoup d'organisations ont négligées.73% des DSI de PME ne connaissent pas leur niveau de conformité NIS2 réel — source interne O&N InnovationsPar où commencer : le plan en 4 étapesÉtape 1 — Gap analysis (2 à 5 jours)La première étape est d'évaluer votre situation actuelle sur les 10 domaines NIS2.
Cette analyse produit un rapport de maturité, identifie les écarts, et priorise les actions selon leur criticité et leur facilité de mise en œuvre. C'est le seul moyen d'éviter de sur-investir dans des domaines déjà couverts et d'ignorer vos vrais points faibles.Étape 2 — Quick wins documentaires (2 à 4 semaines)80% des non-conformités initiales sont documentaires, pas techniques. Politique de sécurité, procédure de gestion des incidents, plan de continuité, registre des actifs informatiques — ces documents prennent du temps à rédiger mais sont relativement simples à mettre en place et démontrent immédiatement votre bonne foi auprès de l'ANSSI.Étape 3 — Mesures techniques prioritaires (1 à 3 mois)Une fois les fondations documentaires posées, vous traitez les mesures techniques selon la priorisation établie lors de la gap analysis : authent