> ./exec Infosec.sh — GUIDE

NIS2 pour les PME/ETI : ce que vous devez vraiment savoir en 2026

Franky — Security Reviewer FrankyCameroun · Security Reviewer 12-05-2026 6 min de lecture INFOSEC reviewed by: Clara — Documentation Lead

Trois ans après l'adoption de la directive NIS2 et plus d'un an après l'échéance théorique de transposition nationale, environ 60 % des PME/ETI allemandes concernées ne sont toujours pas conformes.[2] Le BSI faisait état mi-2025 de plus de 30.000 nouvelles entreprises recensées, dont la majorité sans SMSI documenté.[1]

Ce n'est plus un exercice de conformité théorique. Des amendes allant jusqu'à 2 % du chiffre d'affaires consolidé sont désormais applicables. La responsabilité personnelle des dirigeants figure dans le projet de loi NIS2UmsuCG.[3] Qui hésite encore en 2026 est face à un risque opérationnel, et non plus à un risque d'audit.

Ce qu'est NIS2 et ce qu'il n'est pas

NIS2 remplace la directive NIS de 2016. Les principales modifications pour les PME/ETI :

  • Périmètre élargi : 18 secteurs (au lieu de 7), dont les prestataires IT B2B, les fabricants de matériel informatique, la logistique, l'administration publique
  • Critère de taille : 50+ salariés OU 10 M€ de chiffre d'affaires (définition PME/ETI UE)
  • Système à deux niveaux : « essentielles » (obligations plus strictes) vs « importantes »
  • Obligation de notification sous 24h : déclaration initiale d'incident au BSI/CSIRT dans les 24h, rapport complet dans les 72h
  • Responsabilité de la chaîne d'approvisionnement : vous êtes responsable des failles de cybersécurité de vos fournisseurs critiques
  • Responsabilité des dirigeants : les violations sont imputées personnellement (Art. 20 par. 1)

Ce que NIS2 N'EST PAS : une obligation ISO 27001. La norme n'est pas imposée, mais elle couvre 70-80 % des exigences NIS2 et constitue une preuve de bonne pratique reconnue devant les tribunaux.

Êtes-vous concerné ? Le test des 30 secondes

Critère Réponse Statut NIS2
50+ salariés OU 10 M€+ de chiffre d'affaires Oui Passer au test sectoriel
Actif dans l'un des 18 secteurs (Annexe I ou II directive UE 2022/2555) Oui Concerné
< 50 salariés ET < 10 M€ de chiffre d'affaires Oui Probablement non sauf « fournisseur critique »
Autorité municipale / administration publique Oui Toujours concerné

Si vous êtes concerné : l'obligation d'enregistrement auprès du BSI s'applique. En cas de doute : une première évaluation gratuite prend 30 minutes (Prendre rendez-vous pour un audit).

Les 10 obligations, ce que vous devez concrètement faire

Extrait de l'Art. 21 de la directive NIS2 :

  • Analyse des risques et politique de sécurité pour les systèmes d'information, documentée, mise à jour annuellement
  • Gestion des incidents, détection, réponse, rétablissement, retours d'expérience
  • Continuité d'activité, sauvegardes, plan de reprise après sinistre, gestion de crise
  • Sécurité de la chaîne d'approvisionnement, audits fournisseurs, contrats avec clauses de cybersécurité
  • Sécurité lors de l'acquisition, du développement et de la maintenance, SDLC sécurisé, gestion des vulnérabilités
  • Stratégies d'évaluation de l'efficacité des mesures mises en place
  • Cyber-hygiène de base et formation, tous les collaborateurs, régulièrement
  • Cryptographie, là où elle est appropriée, selon l'état de l'art
  • Sécurité des ressources humaines, vérification des antécédents pour les rôles sensibles
  • Authentification multi-facteurs et communications sécurisées

Plus les obligations de notification (Art. 23) : déclaration initiale sous 24h, mise à jour sous 72h, rapport final sous 1 mois.

Pourquoi l'ISO 27001 ne suffit pas, mais reste le meilleur point de départ

Nous entendons souvent : « Nous avons l'ISO 27001, n'est-ce pas suffisant ? ». La réponse honnête : non, mais vous avez parcouru 70-80 % du chemin.

Ce que couvre l'ISO 27001 :

  • Structure du SMSI, cycle PDCA
  • Gestion des risques (ISO 27005)
  • Contrôles Annexe A (114 mesures)
  • Pistes d'audit, documentation

Ce que NIS2 exige en plus :

  • Notification aux autorités sous 24h (l'ISO notifie en interne)
  • Responsabilité des dirigeants explicite
  • Sécurité de la chaîne d'approvisionnement comme obligation formelle
  • Spécificités sectorielles (ex. les banques ont des obligations DORA supplémentaires)

Recommandation : Si vous avez l'ISO 27001 → analyse des écarts par rapport à NIS2 (3-5 jours de travail). Si vous n'avez rien → construire un SMSI selon ISO 27001 ET ajouter les spécificités NIS2 par-dessus (3-6 mois).

Plan en 12 étapes vers la conformité NIS2 en 90 jours

Réaliste pour une entreprise de 100 personnes sans SMSI existant :

# Étape Responsable Jours
1 Analyse de périmètre + enregistrement BSI CISO / Conseil externe 2
2 Inventaire des actifs (matériel, logiciels, données, personnes, fournisseurs) IT + Conseil 5
3 Analyse des risques (menaces × vulnérabilités × valeur des actifs) CISO + Conseil 7
4 Politiques de sécurité (10-15 documents) Équipe documentation 10
5 Mesures techniques (MFA, sauvegarde, chiffrement, supervision) IT + DevOps 15
6 Chaîne de notification d'incident (compatible 24h) + exercice de test CISO + Direction 5
7 Processus d'audit fournisseurs + nouvelles clauses contractuelles Achats + Juridique 10
8 Plan de continuité d'activité + test de reprise après sinistre IT + Direction 8
9 Formation de sensibilisation (tous les collaborateurs) RH + CISO 5
10 Audit interne NIS2 + Annexe A ISO 27001 Auditeur (interne ou externe) 5
11 Actions correctives Tous 10
12 Dossier documentaire pour demande BSI CISO + Documentation 3

Total : 85 jours-hommes. Avec une task force de 5 personnes à temps plein : 17 jours ouvrés = 90 jours calendaires réaliste.

Indication budgétaire PME/ETI : 30.000 - 80.000 € de conseil externe + allocation interne. Package complet « ISO 27001 + NIS2 » : 50.000 - 120.000 € selon la complexité (Service InfoSec NextGen IT).

Les pièges les plus fréquents (et comment les éviter)

Piège 1 : Confondre « essentiel » et « important » Une mauvaise classification entraîne de mauvaises obligations. Les secteurs « essentiels » sont soumis à des obligations d'audit plus strictes et à des amendes plus élevées. En cas de doute : consultation BSI ou conseil externe.

Piège 2 : Sous-estimer la sécurité de la chaîne d'approvisionnement Vous êtes responsable des failles de sécurité de vos fournisseurs critiques. Fournisseurs cloud, SaaS, développeurs externes, tous doivent être vérifiés. Minimum : traitement des données RGPD + clause de sécurité + justificatif annuel (ex. SOC2, ISO 27001).

Piège 3 : Sous-estimer l'obligation de notification sous 24h Une notification au BSI dans les 24 heures présuppose : surveillance 24/7, chaîne de notification claire, service d'astreinte formé. Sans SOC ou service MDR, c'est difficile pour les PME/ETI, le BSI le sait, mais s'attend au moins à des processus documentés et à des exercices de test réguliers.

Piège 4 : Ne pas impliquer la direction L'Art. 20 rend la direction explicitement responsable. Le simple fait de « déléguer à l'IT » ne fonctionne plus. Minimum : documenter une formation annuelle de la direction + approbation par les dirigeants de la politique de sécurité.

Piège 5 : Attendre la « transposition nationale » La directive européenne est directement applicable sur de nombreux points. Les retards dans la loi allemande NIS2UmsuCG ne dispensent pas du devoir de diligence.

Outils et frameworks que nous recommandons

Indépendant de la stack, mais concret :

Outil SMSI (documentation + analyse des risques)

Open SourceErambaOpenComply
CommercialveriniceHyperproof

SIEM / Agrégation de logs

Open SourceWazuh + ELK Stack (Stack NextGen)
CommercialSplunkMicrosoft Sentinel

Scanner de vulnérabilités

Open SourceOpenVASTrivy
CommercialTenableQualys

MFA

Respect de la vie privéeAuthentik (self-hosted)Keycloak
EnterpriseOktaMicrosoft Entra ID

Sauvegarde + PRA

Open SourceResticBorgbackup
CloudHetzner Storage Box + chiffré

Par où commencer ?

Si vous souhaitez démarrer aujourd'hui :

  • Téléchargez notre Modèle d'analyse des écarts NIS2 (XLSX + PDF). Il est gratuit, sans email obligatoire, avec un téléchargement direct.
  • Réalisez une première évaluation vous-même. Comptez 2 à 3 heures avec le modèle.
  • Réservez 30 minutes d'évaluation initiale gratuite. Nous analysons votre analyse des écarts avec vous et vous donnons une lecture claire des prochaines étapes concrètes.

Si vous avez déjà de l'expérience avec les SMSI : passez l'étape 2 et réalisez directement avec nous une analyse des écarts spécifique NIS2. Comptez 1 à 2 jours de conseil.

Sources

[1] BSI. Lagebericht IT-Sicherheit 2025. Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

[2] Parlement européen et Conseil. Directive (UE) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj

[3] Gouvernement fédéral allemand. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Referentenentwurf. Bundesministerium des Innern.

[4] ENISA. NIS Directive 2, Implementation guide for SMEs. European Union Agency for Cybersecurity.

[5] BSI Mindeststandards. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Standards/it-grundschutz-standards_node.html

> ./kit_nis2

Modèle d'analyse des écarts NIS2 (XLSX + PDF)

Guide PDF, classeur Excel et pack ZIP complet pour lancer une vraie analyse des écarts.

PDF XLSX ZIP

FAQ

Qui est concerné par NIS2 ?
Les PME/ETI à partir de 50 salariés ou 10 M€ de chiffre d'affaires dans 18 secteurs (énergie, transport, banques, santé, eau, infrastructure numérique, prestataires IT B2B, alimentation, chimie, fabrication, logistique, administration publique, etc.). Les entreprises plus petites peuvent également être concernées si elles sont classées comme « critiques ». Estimation BSI : environ 30.000 entreprises en Allemagne.
Quelle est la deadline NIS2 en Allemagne ?
La directive européenne NIS2 est entrée en vigueur le 17 janvier 2023, avec une transposition nationale prévue au 17 octobre 2024. La loi allemande NIS2UmsuCG accuse du retard, en 2026, les obligations principales sont applicables, mais des délais de transition continuent de s'appliquer. Concrètement : obligation d'enregistrement auprès du BSI depuis fin 2024, obligations de déclaration et de sécurité entrant progressivement en vigueur.
Quelles sanctions en cas de non-conformité NIS2 ?
Jusqu'à 10 M€ ou 2 % du chiffre d'affaires annuel mondial pour les « entités essentielles » (secteurs critiques), jusqu'à 7 M€ ou 1,4 % pour les « entités importantes ». La responsabilité personnelle des dirigeants est possible (§ 34 du projet NIS2UmsuCG).
Une certification ISO 27001 existante suffit-elle pour la conformité NIS2 ?
Non, mais c'est un solide point de départ. L'ISO 27001 couvre environ 70-80 % des exigences NIS2. Lacunes : obligation de notification sous 24h (NIS2 plus stricte que l'ISO), sécurité de la chaîne d'approvisionnement (explicite dans NIS2, indirecte dans l'ISO), responsabilité de la direction (spécifique à NIS2).
Franky — Security Reviewer

FrankyCameroun

Security Reviewer

Securite applicative, conformite (NIS2, DORA, ISO 27001), threat modeling.

Besoin d'aide sur Infosec?

Premier échange gratuit, forfait après audit.

INIT_CONSULTATION() →