NIS2 : calendrier 2026-2027 pour les PME françaises
La directive NIS2 (UE 2022/2555) est en droit français depuis octobre 2024, mais la plupart des PME concernées n'ont pas encore structuré leur mise en conformité. Voici 6 jalons concrets sur 18 mois, avec les actions prioritaires et les références légales pour chaque échéance.
NIS2 en chiffres
Enregistrement auprès de l'ANSSI (ou régulateur sectoriel)
Toute entité essentielle ou importante doit s'enregistrer auprès de l'autorité compétente. Pour la plupart des PME françaises concernées, c'est l'ANSSI. Pour le secteur bancaire c'est l'ACPR, pour la santé c'est l'ANS.
Actions concrètes
- Identifier votre autorité compétente selon votre secteur
- Préparer les informations administratives (SIREN, représentant légal, DPO)
- Remplir le formulaire d'enregistrement sur le portail officiel
- Conserver l'accusé de réception comme preuve
Implémenter les 10 mesures de gestion des risques (article 21)
L'article 21 impose 10 mesures concrètes : analyse des risques, gestion des incidents, continuité d'activité, sécurité chaîne d'approvisionnement, sécurité développement, évaluation efficacité, hygiène cyber, cryptographie, sécurité RH et contrôle d'accès, authentification multi-facteur.
Actions concrètes
- Cartographie des actifs et des dépendances fournisseurs
- Rédiger ou mettre à jour la PSSI, la politique de gestion des incidents et la politique de chiffrement
- Déployer MFA sur 100% des comptes à privilèges
- Documenter un plan de continuité d'activité (PCA) testé au moins une fois
- Former les équipes aux bases de l'hygiène cyber (phishing, mots de passe, signalement)
Sources :
Mise en place du circuit de notification 72h
L'article 23 impose une notification en 3 temps pour tout incident significatif : notification initiale dans les 24h, rapport d'incident dans les 72h, rapport final dans 1 mois. Le circuit doit être documenté et testé avant qu'un incident réel survienne.
Actions concrètes
- Définir les critères d'un 'incident significatif' (indisponibilité, fuite, ransomware, etc.)
- Préparer les templates de notification (24h, 72h, 1 mois)
- Identifier le responsable du signalement et son suppléant
- Faire un exercice 'table-top' pour valider le circuit
- Archiver les preuves du circuit pour l'audit
Sources :
Sécuriser la chaîne d'approvisionnement (fournisseurs tiers)
L'article 21.2.d impose d'évaluer la posture de sécurité de vos fournisseurs critiques. Un ransomware chez un fournisseur qui met votre activité à l'arrêt pendant 2 semaines est un scénario fréquent en 2025-2026.
Actions concrètes
- Lister vos fournisseurs critiques (ceux dont la défaillance vous paralyse)
- Envoyer un questionnaire de sécurité (ou vérifier leur SOC 2, ISO 27001)
- Inclure des clauses contractuelles de sécurité et de notification
- Documenter une procédure de revue annuelle
- Prévoir un plan de continuité si un fournisseur critique tombe
Première évaluation interne et rapport à la direction
L'article 21.2.f impose d'évaluer l'efficacité des mesures mises en place. Cette évaluation doit remonter à la direction, qui engage sa responsabilité personnelle (article 20). En cas de défaillance, les dirigeants peuvent être tenus individuellement responsables.
Actions concrètes
- Auditer en interne les 10 mesures de l'article 21
- Mesurer les KPIs (taux de MFA, délai moyen de patch, nombre d'incidents)
- Produire un rapport formel à la direction
- Faire signer la direction (preuve de prise de connaissance)
- Planifier les actions correctives pour le trimestre suivant
Premiers audits de conformité par l'autorité
Les autorités compétentes (ANSSI pour la France) démarreront des audits de conformité à partir de mi-2027. Les entités essentielles sont auditées systématiquement. Les entités importantes sont auditées sur la base d'incidents ou de signalements.
Actions concrètes
- Préparer un dossier d'audit complet (politiques, preuves, rapports)
- Identifier un référent audit interne
- Anticiper les questions sur les 10 mesures et le circuit 72h
- Avoir les preuves horodatées (MFA, patchs, tests PCA)
- Se préparer à des sanctions possibles : amendes jusqu'à 10M€ ou 2% CA
Le point dur : article 20 et responsabilité personnelle des dirigeants
La directive NIS2 innove sur un point essentiel : l'article 20 engage personnellement les dirigeants. Les sanctions peuvent inclure non seulement des amendes (jusqu'à 10M€), mais aussi la suspension du dirigeant de ses fonctions, ou l'interdiction d'exercer dans des fonctions dirigeantes.
Concrètement, un dirigeant de PME qui ignore NIS2 ne peut plus se retrancher derrière son DSI ou son RSSI. La formation cyber de la direction est explicitement exigée (article 20.2).
Comment Kyrionn accompagne chaque jalon
- Diagnostic NIS2 gratuit (15 min) : score sur 100 par mesure article 21, plan d'actions priorisé.
- Génération IA des politiques : PSSI, gestion des incidents, chiffrement, générées en quelques minutes à partir de vos réponses.
- Workflow notification 72h : timer automatique, templates 24h/72h/1 mois, checklist qualification.
- Suivi fournisseurs : questionnaire sécurité, scoring risque, traçabilité DPA.
- Preuves automatiques : connexion GitHub et Google Workspace, vérification MFA, comptes inactifs, horodatage archivable pour l'audit ANSSI.
Démarrez votre diagnostic NIS2 gratuit
15 minutes, sans carte bancaire. Vous obtenez un score, un état par mesure et un plan d'actions priorisé.
Sources
Patient Kotto
Consultant cybersécurité et GRC senior, Fondateur de Kyrionn
15 ans en infrastructure critique et cybersécurité. Chef de projet sur des systèmes ferroviaires soumis à NIS2. RSSI externalisé via PK InfoSec. Questions : · En savoir plus