Les 5 erreurs de conformité NIS2 que font les PME françaises en 2026
Publié le 1er juin 2026 · Mis à jour le 1er juin 2026 · Lecture : 8 min
Depuis l'entrée en vigueur de la transposition française de la directive NIS2 en octobre 2024, des milliers de PME et ETI françaises se retrouvent dans le périmètre d'application — souvent sans le savoir, parfois sans les ressources pour y faire face. L'ANSSI estime à 15 000 le nombre d'entités concernées en France, contre 500 sous NIS1.
Pourtant, les erreurs observées sur le terrain sont récurrentes et souvent évitables. Voici les cinq plus fréquentes, avec leur impact réel et les mesures correctrices concrètes.
---Erreur #1 : Sous-estimer son périmètre d'application
La majorité des PME qui entrent dans NIS2 ne s'y attendaient pas. La directive élargit considérablement le périmètre de NIS1 en ajoutant deux nouvelles catégories d'entités :
- Entités essentielles (EE) : secteurs critiques (énergie, transports, santé, eaux, infrastructures numériques), entreprises >250 salariés ou >50M€ de CA
- Entités importantes (EI) : secteurs élargis (services postaux, gestion des déchets, chimie, alimentation, fabrication, fournisseurs numériques), entreprises >50 salariés ou >10M€ de CA
L'erreur classique : une PME industrielle de 80 salariés considère qu'elle n'est pas concernée car elle n'est pas dans le secteur de la santé ou de l'énergie. Elle est pourtant une Entité Importante au titre du secteur "fabrication" si elle produit des équipements médicaux, des véhicules ou des équipements électriques.
La vérification à faire : consulter la liste des secteurs en Annexe I et II de la directive, et appliquer les seuils de taille. En cas de doute, contacter l'ANSSI directement ou un consultant NIS2 certifié.
"Beaucoup de nos clients découvrent leur obligation NIS2 lors d'un audit de leur client grand compte — pas via l'ANSSI." — Marc Delorme, consultant cybersécurité, Resilium, 2025---
Erreur #2 : Ignorer la chaîne de sous-traitance
NIS2 introduit une obligation explicite de gestion des risques liés à la chaîne d'approvisionnement (Article 21, point d). Cela signifie que les entités concernées doivent évaluer et contractualiser la cybersécurité de leurs fournisseurs et sous-traitants critiques.
Ce que font (trop) souvent les PME :
- Signer avec des prestataires cloud ou IT sans exiger de preuves de conformité (ISO 27001, SOC 2, certification ANSSI)
- Ne pas inclure de clauses cybersécurité dans les contrats fournisseurs
- Ne pas réaliser d'évaluation de risque sur les accès tiers (VPN, accès distants MSP)
L'impact concret : en cas d'incident via un sous-traitant, l'entité NIS2 reste responsable devant l'ANSSI. La sanction peut atteindre 1,4% du chiffre d'affaires mondial pour une Entité Importante, et 2% pour une Entité Essentielle.
Mesure corrective : créer un registre des fournisseurs critiques (accès SI, données sensibles, infrastructure), ajouter une clause cybersécurité dans les contrats (obligation de notification d'incident sous 24h), demander une preuve de conformité annuelle.
---Erreur #3 : Confondre "délai de notification" et "délai de résolution"
C'est l'erreur la plus technique — et celle qui expose le plus directement à des sanctions immédiates. NIS2 impose un processus de notification en 3 temps :
| Étape | Délai | Contenu requis |
|---|---|---|
| Alerte initiale | 24 heures | Incident détecté, nature, impact estimé |
| Notification intermédiaire | 72 heures | Évaluation initiale, indicateurs de compromission, mesures prises |
| Rapport final | 1 mois | Analyse complète, causes profondes, mesures correctives |
L'erreur fréquente : les PME pensent avoir "le temps de gérer l'incident avant de déclarer". Ce n'est pas ainsi que fonctionne NIS2 : l'alerte initiale sous 24h doit être envoyée dès qu'un incident significatif est détecté, qu'il soit résolu ou non.
Un incident est "significatif" selon NIS2 si : il cause une interruption de service, une atteinte à la confidentialité ou à l'intégrité, ou s'il pourrait avoir un impact transfrontalier.
Mesure corrective : rédiger un plan de réponse aux incidents (IRP) qui intègre explicitement les délais de notification ANSSI. Former l'équipe IT et la direction sur ce processus. Tester via un exercice tabletop annuel.
---Erreur #4 : Traiter NIS2 comme un projet IT — pas comme une obligation de gouvernance
NIS2 impose une responsabilité explicite des organes dirigeants (Article 20). En clair : le PDG, le Directeur Général ou le Conseil d'Administration peuvent être tenus personnellement responsables en cas de non-conformité grave.
Ce que font trop de PME : déléguer entièrement NIS2 au DSI ou au responsable IT, sans impliquer la direction. Le projet reste technique, sans budget alloué, sans politique de sécurité validée au niveau exécutif.
Les obligations de gouvernance NIS2 requièrent :
- Une politique de sécurité de l'information formalisée et signée par la direction
- Un budget cybersécurité explicitement alloué
- Des formations cybersécurité pour les dirigeants (pas seulement les équipes IT)
- Une revue annuelle du dispositif de sécurité au niveau COMEX
Mesure corrective : organiser un COMEX dédié NIS2 avec un consultant externe pour engager la direction. Formaliser une PSSI (Politique de Sécurité des Systèmes d'Information). Documenter l'implication dirigeante — c'est ce que vérifiera l'ANSSI en premier lors d'un contrôle.
---Erreur #5 : Sous-budgéter la mise en conformité initiale
La mise en conformité NIS2 n'est pas gratuite. Les PME qui sous-estiment les coûts se retrouvent à devoir choisir entre des mesures partielles inefficaces et une non-conformité délibérée — les deux exposent à des sanctions.
Ordre de grandeur des coûts d'une mise en conformité NIS2 pour une PME de 50-200 salariés :
| Poste | Fourchette | Remarque |
|---|---|---|
| Audit initial (gap analysis) | 3 000 – 8 000 € | Prestataire externe recommandé |
| Rédaction PSSI + documentation | 2 000 – 5 000 € | Avec conseil juridique si besoin |
| Outils techniques (EDR, SIEM, MFA…) | 5 000 – 20 000 €/an | Selon maturité existante |
| Formation équipes + direction | 1 500 – 4 000 € | Obligatoire NIS2 Art. 20 |
| vCISO ou accompagnement continu | 1 000 – 3 500 €/mois | Option si pas de RSSI interne |
Budget total année 1 : comptez entre 15 000 et 40 000 € selon votre maturité de départ. C'est significatif — mais sans commune mesure avec une amende ANSSI (jusqu'à 10M€ ou 2% du CA mondial pour une EE).
Mesure corrective : inclure NIS2 dans le budget IT N+1, dès maintenant. Prioriser l'audit initial pour savoir où vous en êtes avant d'investir dans les outils. Certains organismes proposent des accompagnements mutualisés pour PME (chambres de commerce, clusters cybersécurité régionaux).
---Récapitulatif — les 5 erreurs à éviter
| Erreur | Risque principal | Action prioritaire |
|---|---|---|
| Périmètre mal évalué | Non-conformité involontaire | Vérifier Annexe I/II + seuils taille |
| Chaîne sous-traitance ignorée | Responsabilité en cas d'incident tiers | Registre fournisseurs + clauses contrats |
| Délais notification mal compris | Sanction immédiate ANSSI | IRP avec process 24h/72h/1 mois |
| Gouvernance déléguée au seul IT | Responsabilité personnelle dirigeants | COMEX + PSSI signée direction |
| Budget sous-estimé | Mesures partielles = non-conformité | Audit gap analysis en priorité |