Retour aux articles
Journal Compli.st#NIS 2#Compliance#PME#EU Regulation

NIS 2 : Guide complet pour les PME et startups en 2026

Guide complet NIS 2 pour PME et startups : obligations, calendrier, sanctions et comment automatiser votre mise en conformité en 2026.

CS

Équipe Compli.st

Experts sécurité & conformité

Publié
Temps de lecture

4 min de lecture

Qu'est-ce que la directive NIS 2 ?

La directive NIS 2 (Network and Information Security 2) est le cadre législatif européen le plus ambitieux en matière de cybersécurité. Adoptée en décembre 2022 et transposée dans les droits nationaux depuis octobre 2024, elle remplace la directive NIS originale de 2016 en élargissant considérablement son périmètre.

Là où NIS 1 ne concernait qu'environ 300 entités en France, NIS 2 s'applique à plus de 15 000 organisations, incluant pour la première fois des PME et des startups opérant dans des secteurs critiques.

Qui est concerné par NIS 2 ?

NIS 2 distingue deux catégories d'entités :

Entités essentielles

  • Énergie : électricité, gaz, pétrole, hydrogène
  • Transport : aérien, ferroviaire, maritime, routier
  • Santé : hôpitaux, laboratoires, fabricants de dispositifs médicaux
  • Infrastructure numérique : fournisseurs cloud, data centers, DNS, registres de noms de domaine
  • Administration publique
  • Eau potable et eaux usées
  • Espace

Entités importantes

  • Services postaux et de courrier
  • Gestion des déchets
  • Fabrication de produits chimiques
  • Industrie alimentaire
  • Fabrication (dispositifs médicaux, électronique, machines, véhicules)
  • Fournisseurs numériques : marketplaces, moteurs de recherche, réseaux sociaux
  • Recherche

Critère de taille : sont concernées les entreprises de plus de 50 employés ou réalisant plus de 10 millions d'euros de chiffre d'affaires annuel. Certaines entités sont concernées indépendamment de leur taille (fournisseurs DNS, registres de noms de domaine, prestataires de services de confiance).

Les obligations clés de NIS 2

1. Gouvernance et responsabilité de la direction

NIS 2 impose que les organes de direction approuvent les mesures de gestion des risques cyber et supervisent leur mise en œuvre. Les dirigeants peuvent être tenus personnellement responsables en cas de manquement. Ils doivent également suivre une formation en cybersécurité.

2. Gestion des risques

Les entités doivent mettre en place des mesures techniques, opérationnelles et organisationnelles proportionnées, incluant :

  • Politiques d'analyse des risques et de sécurité des systèmes d'information
  • Gestion des incidents
  • Continuité d'activité et gestion de crise
  • Sécurité de la chaîne d'approvisionnement
  • Sécurité dans l'acquisition, le développement et la maintenance des réseaux
  • Politiques de chiffrement et de cryptographie
  • Sécurité des ressources humaines et contrôle d'accès
  • Authentification multifacteur (MFA)

3. Notification des incidents

NIS 2 impose un système de notification en trois étapes :

  1. Alerte précoce sous 24 heures : notification initiale à l'autorité compétente (ANSSI en France)
  2. Notification détaillée sous 72 heures : évaluation initiale de l'incident, sa gravité et son impact
  3. Rapport final sous 1 mois : description détaillée, cause probable, mesures de remédiation

Automatisez vos questionnaires de sécurité

Compli.st répond à vos questionnaires ISO 27001, SOC 2 et GDPR en quelques minutes grâce à l'IA.

Essayer gratuitement

4. Sécurité de la chaîne d'approvisionnement

C'est l'un des changements majeurs. Les entités doivent évaluer et gérer les risques liés à leurs fournisseurs et prestataires. Concrètement, cela signifie :

  • Évaluer la posture de sécurité de vos fournisseurs critiques
  • Inclure des exigences de sécurité dans les contrats
  • Surveiller en continu les risques liés aux tiers

Impact pour les startups SaaS : même si votre entreprise n'est pas directement soumise à NIS 2, vos clients qui le sont vous enverront des questionnaires de sécurité pour vérifier votre conformité. La pression vient de la chaîne d'approvisionnement.

Les sanctions

Les amendes prévues par NIS 2 sont significatives :

  • Entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial
  • Entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial

Au-delà des amendes, les autorités peuvent imposer des injonctions, des audits de sécurité obligatoires, voire la suspension temporaire de certifications ou autorisations.

Calendrier de mise en conformité

La directive devait être transposée dans les droits nationaux avant le 17 octobre 2024. En France, l'ANSSI pilote la transposition. Les entités concernées doivent :

  1. S'enregistrer auprès de l'ANSSI
  2. Réaliser une analyse de risques complète
  3. Mettre en place les mesures de sécurité requises
  4. Établir des procédures de notification d'incidents
  5. Documenter et maintenir leur conformité

Comment se préparer concrètement ?

Étape 1 : Déterminer si vous êtes concerné

Vérifiez votre secteur d'activité et votre taille. Même si vous n'êtes pas directement soumis, vos clients régulés vous demanderont des preuves de sécurité.

Étape 2 : Réaliser un gap analysis

Cartographiez vos mesures de sécurité existantes par rapport aux exigences NIS 2. Identifiez les écarts prioritaires.

Étape 3 : S'appuyer sur les référentiels existants

Si vous êtes déjà certifié ISO 27001 ou conforme SOC 2, vous avez déjà une base solide. NIS 2 s'aligne largement sur ces référentiels.

Étape 4 : Automatiser

La conformité NIS 2 nécessite une documentation importante et une surveillance continue. Les outils d'automatisation comme Compli.st permettent de centraliser les preuves, automatiser les réponses aux questionnaires de sécurité envoyés par vos clients régulés, et maintenir votre posture de conformité à jour.

NIS 2 et les questionnaires de sécurité

L'effet le plus concret de NIS 2 pour les PME et startups est l'explosion des questionnaires de sécurité. Les entreprises soumises à NIS 2 doivent évaluer leurs fournisseurs, ce qui se traduit par des questionnaires de plus en plus longs et fréquents.

Avec Compli.st, vous pouvez :

  • Centraliser toutes vos réponses de sécurité dans une bibliothèque intelligente
  • Répondre aux questionnaires en minutes grâce à l'IA
  • Publier un Trust Center qui réduit de 70 % le volume de questionnaires entrants
  • Mapper automatiquement vos contrôles aux exigences NIS 2

Conclusion

NIS 2 représente un changement de paradigme pour la cybersécurité en Europe. Pour les PME et startups, la conformité n'est plus optionnelle — c'est un prérequis commercial. Les entreprises qui anticipent et automatisent leur mise en conformité gagneront un avantage concurrentiel décisif en rassemblant la confiance de leurs clients enterprise.

Commencez votre mise en conformité NIS 2 avec Compli.st →

Continuez la lecture

Prolongez avec nos playbooks clés

Sélection triée par l’équipe Compli.st pour rester dans le flow.

Prêts à automatiser la confiance ?

Passez des questionnaires interminables aux réponses en quelques heures.

Connectez vos politiques, vos contrôles et notre IA pour livrer les preuves attendues dès la première relance sécurité.

Tester Compli.stPlanifier une démo

“Compli.st répond aux questionnaires clients en 24h. C’est devenu notre arme secrète pendant les cycles de closing.”

Responsable Sécurité · Scale-up SaaS B2B