Cybersecurite6 avril 20268 min de lecture

Directive NIS2 et PME : obligations cybersecurite en France en 2026

La directive NIS2 impose de nouvelles obligations de cybersecurite aux PME dans 18 secteurs critiques. Depuis mars 2026, l'ANSSI a publie le Referentiel Cyber France (ReCyF). Voici ce que votre entreprise doit faire concretement.

NIS2 : la nouvelle reglementation cybersecurite qui concerne les PME en 2026

La directive NIS2 (Network and Information Security 2) est le cadre europeen de cybersecurite entre en application en octobre 2024. En France, la transposition est en cours et l'ANSSI a publie en mars 2026 le Referentiel Cyber France (ReCyF), qui precise les mesures techniques que les entreprises doivent mettre en place.

Pour les PME, la question centrale est simple : etes-vous dans le perimetre ? Et si oui, que devez-vous faire avant que les controles ne commencent ?

Quelles PME sont concernees par NIS2 ?

NIS2 classe les entreprises en deux categories : Entites Essentielles et Entites Importantes. Le critere est double : la taille de l'entreprise (effectif, CA, bilan) ET le secteur d'activite.

Les 18 secteurs concernes

Secteurs hautement critiques (Annexe 1) : energie, transports, banque, marches financiers, sante, eau potable, eaux usees, infrastructure numerique, gestion des services TIC, administration publique, espace.

Autres secteurs critiques (Annexe 2) : services postaux, gestion des dechets, chimie, agroalimentaire, fabrication (dispositifs medicaux, electronique, machines, vehicules), fournisseurs de services numeriques (places de marche en ligne, moteurs de recherche, reseaux sociaux), recherche.

Seuils de taille

  • Moyennes entreprises (50+ salaries OU CA > 10M EUR) dans un secteur liste = Entite Importante
  • Grandes entreprises (250+ salaries OU CA > 50M EUR) dans un secteur liste = potentiellement Entite Essentielle
  • Petites entreprises (< 50 salaries) : generalement NON concernees, sauf exceptions (fournisseurs de services de confiance, DNS, services cloud)

Point cle pour les PME PACA : si vous etes un prestataire IT, un hebergeur, un editeur SaaS ou un fournisseur de services cloud, NIS2 vous concerne potentiellement meme en dessous de 50 salaries.

Les 10 obligations concretes de NIS2

1. Nommer un responsable cybersecurite

Chaque entite concernee doit designer un RSSI (Responsable de la Securite des Systemes d'Information) ou un referent securite. Pour une PME, cela peut etre un collaborateur forme ou un prestataire externe.

2. Realiser une analyse des risques

Cartographier vos actifs numeriques (serveurs, applications, donnees), identifier les menaces (ransomware, phishing, fuite de donnees) et evaluer les impacts. Cette analyse est le socle de votre strategie de securite.

3. Securiser la chaine d'approvisionnement

NIS2 impose de verifier la securite de vos fournisseurs et sous-traitants IT. Si votre hebergeur ou votre editeur de logiciel est compromis, votre entreprise est aussi a risque. Exigez des garanties contractuelles.

4. Mettre en place des mesures techniques

Le ReCyF de l'ANSSI detaille les mesures recommandees : - Authentification multi-facteurs (MFA) pour les acces critiques - Chiffrement des donnees sensibles en transit et au repos - Segmentation reseau - Sauvegardes regulieres et testees - Gestion des correctifs et mises a jour

5. Gerer les incidents

Procedure de detection, qualification et reponse aux incidents de securite. Designez qui fait quoi en cas de cyberattaque AVANT qu'elle ne se produise.

6. Notifier les incidents significatifs

En cas d'incident ayant un impact significatif : - Alerte initiale : dans les 24 heures suivant la detection - Notification detaillee : dans les 72 heures avec evaluation d'impact - Rapport final : dans un mois avec les mesures correctives

7. Former et sensibiliser les collaborateurs

90 % des cyberattaques commencent par un email de phishing. La formation des equipes n'est pas optionnelle — c'est la premiere ligne de defense.

8. Plan de continuite d'activite

Que se passe-t-il si vos systemes sont inaccessibles pendant 48h ? Un plan de continuite (PCA) et de reprise d'activite (PRA) documente est obligatoire.

9. Tester regulierement

Audits de securite, tests d'intrusion, exercices de crise. La securite n'est pas un etat, c'est un processus continu.

10. Documenter et maintenir la conformite

Toutes les mesures doivent etre documentees et maintenues a jour. C'est ce que les autorites vont verifier en cas de controle.

Sanctions NIS2 : des montants dissuasifs

Les sanctions NIS2 sont comparables a celles du RGPD :

  • Entites Essentielles : jusqu'a 10 millions d'euros ou 2 % du CA mondial
  • Entites Importantes : jusqu'a 7 millions d'euros ou 1,4 % du CA mondial

De plus, les dirigeants peuvent etre tenus personnellement responsables en cas de negligence averee dans la mise en place des mesures de securite.

Le lien entre NIS2, RGPD et AI Act

En 2026, trois reglementations majeures convergent pour les PME :

  • RGPD : protection des donnees personnelles (en vigueur depuis 2018)
  • NIS2 : securite des systemes d'information (transposition en cours)
  • AI Act : reglementation de l'intelligence artificielle (application aout 2026)

Ces trois cadres sont complementaires. Les donnees personnelles (RGPD) sont stockees dans des systemes d'information (NIS2) qui utilisent de plus en plus l'IA (AI Act). Un DPO externalise competent en cybersecurite peut couvrir les trois volets pour une PME, ce qui reduit considerablement les couts de mise en conformite.

Plan d'action NIS2 en 5 etapes pour les PME

  1. Verifier votre eligibilite : utilisez l'outil MonEspaceNIS2 de l'ANSSI (monespacenis2.cyber.gouv.fr) pour determiner si votre entreprise est dans le perimetre
  2. Audit cybersecurite : cartographier vos actifs, vos risques et vos lacunes actuelles
  3. Plan de remediation : prioriser les mesures selon votre niveau de risque
  4. Formation equipes : sensibiliser tous les collaborateurs (pas juste l'IT)
  5. Documentation : formaliser vos politiques, procedures et plans de continuite

Conclusion

NIS2 n'est pas une contrainte de plus pour les PME — c'est une opportunite de professionnaliser votre securite informatique dans un contexte ou les cyberattaques ciblent de plus en plus les petites structures. En France, le ReCyF de l'ANSSI (publie mars 2026) fournit un cadre clair et actionnable. Un accompagnement par un expert combine RGPD + NIS2 + AI Act permet de traiter les trois conformites en un seul chantier, avec un budget maitrise.

Questions fréquentes

Ma PME de 30 salaries est-elle concernee par NIS2 ?+
En general non, sauf si vous operez dans un secteur specifique comme les services cloud, l'hebergement, les services de confiance numerique ou les services DNS. Pour les autres secteurs, le seuil est de 50 salaries ou 10M EUR de CA. Utilisez l'outil MonEspaceNIS2 de l'ANSSI pour verifier.
Quelle est la difference entre NIS2 et le RGPD ?+
Le RGPD protege les donnees personnelles. NIS2 protege les systemes d'information et les reseaux. Les deux sont complementaires : une fuite de donnees personnelles est a la fois une violation RGPD et potentiellement un incident NIS2. Un DPO competent en cybersecurite peut gerer les deux conformites.
Quand NIS2 sera-t-il applicable en France ?+
La directive est deja en vigueur au niveau europeen depuis octobre 2024. En France, la transposition legislative est en cours. L'ANSSI a publie le Referentiel Cyber France (ReCyF) en mars 2026, qui sert de guide technique. Les controles et sanctions pourront s'appliquer des que les textes de transposition seront promulgues.
Combien coute la mise en conformite NIS2 pour une PME ?+
Pour une PME de 50 a 100 salaries, comptez entre 5 000 et 15 000 EUR pour un audit initial et la mise en place des mesures prioritaires. L'accompagnement annuel (veille, formation, tests) revient a 3 000 - 8 000 EUR/an. C'est bien en dessous du cout d'une cyberattaque (estimee a 50 000 EUR en moyenne pour une PME).

Besoin d'un accompagnement personnalisé ?

Digital Work vous accompagne dans la mise en conformité RGPD et AI Act, de l'audit initial au suivi annuel, depuis Vitrolles.

Audit cybersecurite + NIS2 gratuit