ClariGuard
Appel découverte (30 min)
DIRECTIVE NIS2

NIS2 pour PME et cabinets : ce qui change en 2026.

Périmètre élargi, obligations renforcées, sanctions significatives. Une lecture synthétique pour dirigeants pressés.

Audit Flash — 1 490 € HT

1. Qu'est-ce que la directive NIS2 ?

Adoptée en décembre 2022, NIS2 succède à la première directive NIS de 2016. Elle harmonise au niveau européen les obligations en matière de cybersécurité pour les entités essentielles et importantes. Transposition française en 2025.

Objectif : élever le niveau de protection collectif face à des menaces qui, depuis 2020, ont changé de nature et d'échelle.

2. Êtes-vous concerné ?

NIS2 distingue « entités essentielles » et « entités importantes ». Sont visées les structures de plus de 50 salariés ou 10 M€ de chiffre d'affaires opérant dans les secteurs listés en annexes I et II : finance, santé, transport, services numériques, fournisseurs gérés, et désormais cabinets d'expertise comptable.

  • PME ≥ 50 salariés ou ≥ 10 M€ CA dans secteur listé : entité importante
  • Grandes entreprises secteurs critiques : entité essentielle
  • Sous-traitants des deux : tirés vers le haut indirectement

3. Vos obligations sous NIS2

Politique d'analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité dans l'acquisition et la maintenance, mesures de chiffrement, formation, contrôle d'accès, MFA. Notification d'incident significatif sous 24 h à l'ANSSI, rapport intermédiaire à 72 h.

4. Sanctions en cas de non-conformité

Jusqu'à 10 M€ ou 2 % du CA mondial pour entités essentielles ; 7 M€ ou 1,4 % pour entités importantes. Au-delà des amendes, la directive prévoit la responsabilité personnelle des dirigeants en cas de manquement répété.

5. Comment se mettre en conformité, étape par étape

  1. Audit initial : périmètre, écarts, criticité.
  2. Politique de sécurité documentée et validée par la direction.
  3. Plan d'action priorisé sur 12 mois.
  4. Procédures incident (notification 24 h / 72 h).
  5. Sécurité fournisseurs (clauses, audits, registre).
  6. Formation dirigeants et collaborateurs.
  7. Comité trimestriel et reporting direction.

6. Pourquoi un RSSI externalisé est la meilleure option

Recruter un RSSI à 80 k€/an n'est pas réaliste pour une PME de 50 salariés. Externaliser permet de couvrir la fonction sans le coût plein, avec un consultant qui apporte un regard transverse de plusieurs missions.

7. FAQ NIS2

Dès la transposition en droit national (2025) si vous êtes dans le périmètre. La période de tolérance est variable selon les autorités, mais ne pariez pas dessus.
Non. Un prestataire IT n'est pas un RSSI. NIS2 demande une fonction de pilotage sécurité, distincte de l'exploitation.
Vous restez responsable. La sous-traitance se contractualise (clauses NIS2) et se contrôle.
Discuter de votre cas

Audit Flash 1 490 € HT — 1 journée pour savoir où vous en êtes vis-à-vis de NIS2.

Appel découverte gratuit (30 min) Audit Flash — 1 490 € HT