NIS2 PME France entre dans la phase concrète en 2026 : entre 10 000 et 15 000 entreprises sont directement concernées (contre 500 sous NIS1), les dirigeants deviennent personnellement responsables et l’article 21 impose 10 mesures cyber minimum à mettre en œuvre. Pour les MSP (Managed Service Providers, prestataires informatiques gérés), les freelances IT et les sociétés de services qui veulent se positionner, ce n’est pas une contrainte de plus : c’est l’opportunité commerciale la plus claire de la décennie. Voici comment la jouer.
NIS2 en France 2026 : où en est la transposition ?
La directive européenne NIS2 (Network and Information Security 2) est le texte européen qui impose à entre 10 000 et 15 000 entreprises françaises et à toute leur chaîne d’approvisionnement de mettre en œuvre 10 mesures de cybersécurité minimum, avec amendes administratives jusqu’à 10 M€ et responsabilité personnelle des dirigeants à la clé. Elle a été adoptée en décembre 2022. Les États membres devaient la transposer dans leur droit national avant le 17 octobre 2024. La France a dépassé ce délai, comme plusieurs autres pays, mais le processus est désormais bien engagé.
De la directive européenne à la loi française
Le véhicule juridique français s’appelle la loi Résilience. Adoptée par le Sénat les 11 et 12 mars 2025, elle a été examinée par l’Assemblée nationale le 10 septembre 2025. La promulgation est attendue au premier semestre 2026, suivie des décrets d’application au deuxième trimestre 2026.
Concrètement, vos clients PME qui demandent aujourd’hui « à partir de quand ? » ont leur réponse : vous avez quelques mois pour les préparer, pas quelques années. Les contrôles ANSSI et les audits de la chaîne d’approvisionnement vont commencer à monter en charge dès la fin 2026.
ReCyF : le référentiel ANSSI publié le 17 mars 2026
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié le 17 mars 2026 le ReCyF (Référentiel cyber France). C’est le document opérationnel de référence pour structurer une démarche de conformité française. Il n’est pas obligatoire par défaut : les futures entités assujetties qui décident de l’appliquer pourront s’en prévaloir en cas de contrôle ANSSI. Pour un MSP, c’est l’outil pédagogique idéal pour cadrer la conversation client.
Calendrier décrets et entrée en vigueur effective
- S1 2026 : promulgation de la loi Résilience
- Q2 2026 : décrets d’application (seuils précis, modalités de déclaration, périmètre fournisseurs)
- S2 2026 à 2027 : phase opérationnelle, premiers contrôles ANSSI, montée en charge des audits
Qui est réellement concerné par NIS2 en France ?
Première confusion à dissiper côté client : NIS2 ne concerne pas toutes les entreprises de la même manière. Il existe deux catégories d’entités assujetties, plus un effet de bord considérable qui touche presque tout le monde.
Entités essentielles (EE) vs Entités importantes (EI) : les seuils
- Entité essentielle (EE) : 250 salariés ou plus, ou plus de 50 M€ de chiffre d’affaires, ou plus de 43 M€ de bilan annuel.
- Entité importante (EI) : entre 50 et 249 salariés, ou entre 10 et 50 M€ de chiffre d’affaires, ou entre 10 et 43 M€ de bilan.
Le critère salariés ou chiffre d’affaires fonctionne en OU logique : une entreprise de 60 salariés à 8 M€ de CA reste classée EI parce qu’elle dépasse le seuil salariés.
Les 18 secteurs stratégiques visés
Au-delà du seuil, l’entité doit appartenir à l’un des 18 secteurs stratégiques listés par la directive : énergie, transports, finance, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace, services postaux, gestion des déchets, fabrication critique (équipements médicaux, automobile, électronique), chimie, alimentation, recherche, services numériques (places de marché, moteurs de recherche, réseaux sociaux), opérateurs réseaux et services managés cyber.
Selon l’ANSSI, entre 10 000 et 15 000 entreprises françaises sont directement concernées, contre seulement 500 sous la précédente directive NIS1.
Et les PME hors périmètre direct : l’effet cascade
C’est le vrai sujet commercial. NIS2 introduit un principe de responsabilité en cascade dans l’article 21, mesure 4 : sécurité de la chaîne d’approvisionnement. Une Entité Essentielle doit évaluer et documenter les risques cyber de ses fournisseurs critiques.
Conséquence concrète : si vous gérez un cabinet d’expertise comptable de 35 salariés (PME hors périmètre direct), mais que vous travaillez pour une ETI industrielle classée EE, votre client va vous demander de prouver un niveau de cybersécurité équivalent au sien. Sinon il devra arrêter de travailler avec vous. C’est ça qui fait basculer le marché : les PME hors NIS2 ont autant intérêt à se mettre en conformité que les entités directement visées.
Ce que NIS2 oblige réellement les PME à faire (article 21)
L’article 21 de la directive NIS2 liste 10 mesures minimum que toute entité assujettie doit mettre en œuvre, dans le cadre d’une approche proportionnée (la profondeur des contrôles s’adapte à la taille et au risque).
Les 10 mesures minimum à appliquer
- Analyse des risques documentée et maintenue
- Gestion des incidents (détection, qualification, réponse, retour d’expérience)
- Continuité d’activité et plan de reprise (PCA/PRA), avec tests réguliers et sauvegardes immuables
- Sécurité de la chaîne d’approvisionnement (audit fournisseurs, clauses contractuelles)
- Sécurité dès la conception (security by design) pour les développements et acquisitions
- Audits de sécurité réguliers et tests d’efficacité des mesures
- Formation continue de tous les collaborateurs aux bons réflexes cyber
- Politiques et procédures de cryptographie
- Contrôles d’accès (la MFA, Multi-Factor Authentication, devient de facto obligatoire pour les accès sensibles)
- Sécurité des ressources humaines (départs, accès résiduels, vérifications)
Reporting d’incident en 24 h, 72 h, 1 mois
NIS2 impose un processus de notification d’incident significatif à trois niveaux. 24 heures pour une alerte précoce auprès de l’autorité compétente (ANSSI en France). 72 heures pour une notification d’incident plus détaillée. 1 mois pour un rapport final avec analyse des causes, mesures correctrices et leçons retenues. Sans process pré-câblé, c’est intenable.
La responsabilité personnelle des dirigeants : la vraie révolution
C’est le point qui change tout. Avec le RGPD, l’amende tombe sur la société. Avec NIS2, les membres des organes de direction peuvent être tenus personnellement responsables du défaut de conformité. Cela inclut la formation cyber obligatoire des dirigeants, la traçabilité documentaire des décisions de gouvernance cyber, et la possibilité de sanctions personnelles en cas de manquement.
Pour vous, prestataire IT, c’est un argument commercial puissant : ce n’est plus le DSI qui décide d’acheter de la sécurité, c’est le dirigeant lui-même qui doit prouver qu’il a fait le nécessaire.
Les sanctions (jusqu’à 10 M€ ou 2 % du CA mondial)
- Entité essentielle : amende administrative jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial (le plus élevé des deux)
- Entité importante : amende jusqu’à 7 M€ ou 1,4 % du chiffre d’affaires mondial
- Perte de contrats donneurs d’ordre (ce sont eux qui auditeront les premiers)
- Responsabilité civile personnelle des dirigeants
Levier 1 pour les MSP existants : transformer NIS2 en montée en gamme
Si vous êtes déjà MSP avec un portefeuille de clients PME, NIS2 est l’argument que vous attendez depuis 10 ans pour augmenter vos tarifs sans tension. Vos clients vont arriver d’eux-mêmes avec la demande, parce qu’ils auront subi la pression de leurs donneurs d’ordre.
Ce que vos clients actuels vont vous demander dès 2026
- Une attestation de niveau cyber à transmettre à leur donneur d’ordre
- Un plan de mise en conformité NIS2 documenté, daté, signé
- Un process de notification d’incident conforme aux 24/72/1 mois
- Des tests de restauration trimestriels documentés
- De la formation cyber dirigeants attestable
Construire un pack de conformité documentée
Au-delà de la technique, le vrai différenciant en 2026 sera la documentation. Un MSP qui livre des sauvegardes immuables non documentées vaut moins qu’un MSP qui livre la même chose avec un rapport mensuel signé, des tests de restauration trimestriels datés et une cartographie des risques mise à jour annuellement. Le ReCyF de l’ANSSI vous donne le cadre.
Tarification : pourquoi vous pouvez (et devez) augmenter
Le coût d’une cyberattaque réussie pour une PME se chiffre rapidement en dizaines, voire centaines de milliers d’euros (réponse à incident, interruption d’activité, rançon éventuelle, perte de chiffre d’affaires), comme le documentent les rapports Hiscox et l’ANSSI. Une montée en gamme de 30 à 50 € par poste par mois pour intégrer un EDR (Endpoint Detection and Response, antivirus de nouvelle génération), des sauvegardes immuables, la MFA (authentification multifacteur), une supervision 24/7 et la documentation NIS2 reste largement sous le coût d’un incident. C’est le bon moment d’aligner votre prix sur la valeur réelle de la conformité NIS2 PME France.
Levier 2 pour les sociétés de services hors-IT : diversifier avec NeoXP
Si vous êtes bureauticien, télécom, câbleur, conseiller en organisation, vos clients PME vous voient déjà comme un prestataire de confiance. NIS2 est l’opportunité d’ajouter une corde à votre arc sans construire toute une équipe IT.
Pourquoi NIS2 ouvre une fenêtre pour les bureauticiens, télécoms, câbleurs
Vos clients vont chercher un référent unique pour leur conformité NIS2. Beaucoup ont déjà une relation de confiance avec vous (mainteneur copieurs, fournisseur télécom, intégrateur réseau). Vous êtes mieux placé qu’un MSP qu’ils ne connaissent pas. Le frein habituel, c’est que vous n’avez pas la technicité interne pour gérer EDR, sauvegardes immuables, supervision 24/7. C’est exactement ce que résout un programme partenaire structuré.
Le programme partenaire NeoXP : ce qui change pour vous
Avec NeoOne Expert (NeoXP), vous revendez sous votre marque une stack infogérance complète : supervision 24/7, antivirus EDR, sauvegardes immuables, MFA, coffre de données, formation cyber des collaborateurs et reporting mensuel. La partie technique est opérée par notre équipe via un SOC (Security Operations Center, centre de supervision cybersécurité) 24/7. La relation client reste la vôtre.
Cas pratique : de la première signature à 100 postes gérés
L’un de nos premiers partenaires sociétés de services (origine bureautique) a signé son premier client conformité NIS2 trois semaines après l’onboarding NeoXP. Six mois plus tard, il gère 100 postes répartis sur 6 clients PME, génère un revenu récurrent supplémentaire de l’ordre de 4 000 € HT par mois avec une marge brute de 70 %, sans avoir embauché. C’est ça, la promesse du programme partenaire.
Levier 3 pour les freelances IT : démarrer un cabinet MSP NIS2-ready
Si vous êtes freelance IT et que vous regardez le marché des cabinets MSP avec envie, NIS2 PME France vient de vous offrir un ticket d’entrée. Le marché s’ouvre, les budgets clients montent, et les outils prêts à l’emploi existent.
Le ticket d’entrée minimum pour offrir de la conformité
Pour offrir un service NIS2-ready en tant que cabinet MSP, vous avez besoin de trois briques. Une plateforme RMM (supervision et patch management). Une stack cyber intégrée (EDR, sauvegardes immuables, MFA, coffre de données). Un cadre documentaire aligné ReCyF. Construire ces trois briques en partant de zéro prend 12 à 18 mois et coûte cher. Les acheter packagées dans un programme partenaire prend 4 à 6 semaines.
Le kit de démarrage NeoXP : briques prêtes à l’emploi
Le programme partenaire NeoXP inclut le RMM (NinjaOne intégré), la stack cyber NeoOne (NeoBackup, NeoMail, coffre de données, EDR managé), le SOC 24/7, le cadre documentaire ReCyF customisable et la formation commerciale pour vendre l’offre. Vous vous concentrez sur la prospection et la relation client, on s’occupe du reste.
Modèle économique : combien vous pouvez facturer dès le mois 3
Coût plateforme côté partenaire : environ 20 € HT par poste et par mois. Prix de vente marché 2026 pour une infogérance NIS2-ready : 40 à 80 € HT par poste. Marge brute 100 % à 300 %. Avec un premier client à 10 postes signé au mois 2, vous générez déjà un revenu récurrent qui couvre votre temps. À 50 postes signés au mois 6, vous remplacez un salaire net de freelance. À 150 postes en année 1, vous êtes installé.
Avant / Avec NeoXP : ce qui change pour votre activité MSP
| Sujet | Sans NeoXP (cabinet artisanal) | Avec NeoXP (programme partenaire) |
|---|---|---|
| Audit NIS2 client | Modèle Excel maison, durée 3-4 semaines | Méthodologie cadrée, audit livré en 5 jours |
| Briques techniques (EDR, sauvegarde, MFA) | Multi-vendeurs, intégration manuelle | Stack NeoOne intégrée, 1 contrat, 1 facture |
| Documentation conformité | À rédiger projet par projet | Templates ANSSI ReCyF inclus, à customiser |
| Reporting incident 24 h / 72 h / 1 mois | Process à inventer | Workflow NinjaOne intégré, alertes pré-câblées |
| Formation client (continue, obligatoire) | À sous-traiter ou à produire | Plateforme NeoXP, contenus prêts |
| Marge MSP sur le forfait | Variable, souvent moins de 30 % | 100 % et plus, au-delà du coût plateforme |
| Délai pour signer le 1er client | 3 à 6 mois (le temps de bâtir l’offre) | 4 à 6 semaines (onboarding inclus) |
Ce tableau résume ce que nos premiers partenaires ont constaté concrètement après leur basculement vers NeoXP : du temps gagné côté technique et documentaire, et de la marge récupérée côté commercial.
Découvrir le programme partenaire NeoOne Expert pour démarrer un cabinet MSP NIS2-ready avec des briques prêtes à l’emploi.
FAQ NIS2 PME et MSP
Ma PME de 30 salariés est-elle directement concernée par NIS2 ?
Si vous opérez dans l’un des 18 secteurs stratégiques visés (transport, santé, énergie, finance, services numériques, fabrication critique, etc.) et que vous comptez plus de 50 salariés ou plus de 10 M€ de chiffre d’affaires, oui : vous êtes classée Entité Importante. Pour les autres PME, l’obligation est indirecte : vos donneurs d’ordres soumis à NIS2 vont vous demander un niveau de cybersécurité équivalent au titre de la sécurité de la chaîne d’approvisionnement (article 21, mesure 4).
Quelles sont les 10 mesures minimum imposées par l’article 21 ?
Analyse des risques, gestion des incidents, continuité d’activité (PCA/PRA), sécurité de la chaîne d’approvisionnement, sécurité dès la conception, audits réguliers, formation continue, cryptographie, contrôles d’accès avec MFA, et sécurité RH. Chaque mesure doit être documentée et testée. La proportionnalité est admise : une PME de 60 salariés n’a pas les mêmes contrôles qu’une ETI de 250.
Quel est le risque réel pour un dirigeant si rien n’est fait ?
Trois risques cumulables. Sanctions administratives jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour une Entité Essentielle, 7 M€ ou 1,4 % pour une Entité Importante. Responsabilité personnelle des dirigeants, qui est le vrai changement par rapport au RGPD. Perte de contrats donneurs d’ordre qui ne peuvent plus travailler avec un fournisseur non conforme.
Combien de temps pour mettre une PME en conformité NIS2 ?
Comptez 3 à 6 mois avec un MSP structuré : 1 mois d’audit et cadrage, 1 à 2 mois de déploiement technique (EDR, sauvegardes immuables, MFA, segmentation), 1 mois de documentation et formation, 1 mois de tests et plan de continuité. Avec un cabinet artisanal sans cadre, comptez 12 à 18 mois et un risque réel de découvrir des angles morts en cas de contrôle.
Passer à l’action : rejoindre le programme partenaire NeoOne Expert
NIS2 PME France ne se transforme pas en chiffre d’affaires tout seul. Il faut une offre packagée, un cadre documentaire prêt et un partenaire technique qui prend en charge la partie opérationnelle pendant que vous prospectez.
NeoXP est un programme partenaire conçu pour trois profils précis : MSP existants qui veulent industrialiser, sociétés de services hors-IT qui veulent diversifier, freelances IT qui veulent démarrer un cabinet structuré. Notre stack technique (RMM, EDR, sauvegardes immuables, coffre de données, MFA) est intégrée, opérée par notre SOC 24/7 et alignée avec le ReCyF ANSSI. Vous gardez la relation client, vous gardez la marge, vous gagnez 6 à 12 mois sur la mise en marché.
Rejoindre le programme partenaire NeoOne Expert ou réserver 30 min en visio pour cadrer votre projet d’offre conformité NIS2.
Sources citées :
- ANSSI, Directive NIS 2 : https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2/
- ANSSI, MesServicesCyber NIS2 (auto-évaluation) : https://messervices.cyber.gouv.fr/nis2
- ANSSI, Panorama de la cybermenace 2025 (publié 11 mars 2026) : https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/
- Légifrance, Loi Résilience (transposition NIS2). Sénat 11-12/03/2025, Assemblée nationale 10/09/2025, promulgation attendue S1 2026
- Hiscox, Rapport cyber 2024. 67 % des entreprises françaises victimes d’au moins une cyberattaque en 2024
