NIS2 et PME : êtes-vous concerné ?

Seuils NIS2 pour les PME : 50 salariés, 10 millions d’euros

NIS2 utilise un critère de taille croise avec le secteur d’activité pour déterminer quelles organisations sont soumises a ses obligations. Ce mécanisme a ete concu pour exclure les très petites structures tout en capturant les PME dont l’activité présente un risque systemique.

Critères de taille et de chiffre d’affaires

Pour etre directement soumise a NIS2 en tant qu’entité importante, une organisation doit remplir deux conditions cumulatives : operer dans l’un des 18 secteurs vises par la directive et dépasser au moins l’un des deux seuils suivants : 50 salariés ou 10 millions d’euros de chiffre d’affaires annuel. Une PME de 55 personnes dans le secteur de la fabrication chimique tombe dans le périmètre. Une société de 30 salariés dans le même secteur en est exclue, sauf si elle fait partie de la supply chain d’une entité essentielle.

Le passage au statut d’entité essentielle se fait a partir de 250 salariés ou 50 millions d’euros de CA dans un secteur hautement critique. Cette distinction a un impact direct sur le niveau de sanctions NIS2 encouru : 10 millions d’euros pour les essentielles contre 7 millions pour les importantes.

PME concernées quelle que soit leur taille

Cinq catégories de PME echappent au filtre de taille et sont concernées même avec 3 salariés. Les fournisseurs de services DNS. Les registres de noms de domaine de premier niveau. Les prestataires de services de confiance qualifies. Les fournisseurs de réseaux de communications electroniques publics. Les fournisseurs de services de communications electroniques accessibles au public.

Un bureau d’enregistrement de noms de domaine (registrar) de 10 personnes, ou un opérateur DNS local, entre automatiquement dans le périmètre NIS2. Cette disposition vise a sécuriser les infrastructures fondamentales d’Internet, quelle que soit la taille de l’opérateur.

La supply chain : comment NIS2 touche les sous-traitants

Le mécanisme de la supply chain constitue le vecteur d’extension de NIS2 le plus significatif pour les PME. L’article 21 impose aux entités soumises a NIS2 de sécuriser leur chaine d’approvisionnement. Cette obligation se repercute mecaniquement sur les fournisseurs et sous-traitants, même s’ils ne remplissent pas les critères de taille.

Obligations contractuelles en cascade

Une entité essentielle (un hôpital, un opérateur energetique, une banque) devra évaluer les risques cyber de ses fournisseurs et intégrer des clauses de sécurité dans ses contrats. Votre PME de 25 salariés qui fournit des services IT a un CHU ? Elle recevra probablement un questionnaire de sécurité et des exigences contractuelles alignees sur NIS2 courant 2026-2027.

Les clauses types incluent : mise en place de mesures de sécurité minimales (MFA, sauvegardes, chiffrement), obligation de notification en cas d’incident affectant le donneur d’ordre, droit d’audit du client sur les dispositifs de sécurité du fournisseur, pénalités contractuelles en cas de non-conformité.

Anticiper plutot que subir

Les PME qui anticipent ces exigences transforment une contrainte en avantage concurrentiel. Dans un appel d’offres opposant deux prestataires IT equivalents, celui qui peut demontrer sa conformité NIS2 l’emportera systematiquement. Les grands donneurs d’ordre du CAC 40 ont déjà commence a intégrer des critères cyber dans leurs processus achats.

WithSecure (8.5/10) propose des solutions endpoint adaptees aux PME, avec un déploiement simplifie et un coût maîtrise. Olfeo (8.3/10) offre une solution de filtrage web certifiée ANSSI, particulièrement adaptée aux structures de taille intermédiaire.

Obligations concrètes pour les PME sous NIS2

Les PME directement soumises a NIS2 font face a un socle d’obligations proportionnees. La directive précise que les mesures doivent etre « appropriees et proportionnees » aux risques et a la taille de l’entité. Une PME de 80 salariés n’a pas les mêmes moyens qu’un groupe du CAC 40, et le legislateur en tient compte.

Mesures techniques prioritaires

Pour une PME, les mesures techniques de l’article 21 se traduisent par cinq priorités. L’authentification multi-facteurs (MFA) sur tous les accès critiques : comptes administrateurs, messagerie, VPN. Les sauvegardes regulieres et testees, avec une copie hors ligne. Un antivirus/EDR de nouvelle génération sur les postes et serveurs. La gestion des correctifs de sécurité dans un délai raisonnable (72h pour les critiques). Le chiffrement des données sensibles au repos et en transit.

Gouvernance adaptée

La gouvernance cyber d’une PME ne nécessité pas un comite de pilotage de 12 personnes. Un referent cybersécurité (interne ou externalise), un point cyber trimestriel en comite de direction, une politique de sécurité documentee de 10 pages : ces elements suffisent a demontrer la bonne foi de l’entreprise en cas de contrôle.

La formation des dirigeants reste obligatoire, mais son format peut etre adapté. Une session de sensibilisation d’une demi-journee par an, couvrant les risques cyber et les obligations légales, répond a l’esprit du texte. Le point cle : tracer cette formation (feuille d’emargement, support de présentation conserve).

Notification d’incidents

Les délais de notification s’appliquent identiquement aux PME : alerte initiale sous 24 heures, rapport intermédiaire sous 72 heures, rapport final sous un mois. La préparation fait la difference. Une procédure de notification formalisee sur deux pages, avec les coordonnees de l’ANSSI et un modèle de rapport pre-rempli, permet de respecter le délai de 24 heures même sans équipe de sécurité dédiée. Consultez notre guide complet NIS2 pour le détail de ces procédures.

Aides financières pour la conformité cyber des PME

Le coût de la conformité NIS2 represente un obstacle réel pour les PME. Bonne nouvelle : plusieurs dispositifs publics couvrent une partie significative de l’investissement. Le gouvernement français a fait de la cybersécurité des PME un axe stratégique du plan France 2030.

France 2030 et le volet cybersécurité

Le programme France 2030 consacre un milliard d’euros a la cybersécurité, dont une part ciblee sur les PME. Le dispositif Cyber PME, opere par BPI France, finance jusqu’à 50 % des depenses liees a un diagnostic cyber, l’acquisition de solutions de sécurité et la formation des équipes. Le montant maximal de l’aide atteint 80 000 euros par entreprise.

Aides BPI France

BPI France propose plusieurs mécanismes complémentaires. Le diagnostic cyber, réalisé par un prestataire agree, est subventionne a hauteur de 50 %. Le prêt innovation peut financer l’acquisition de solutions de cybersécurité. Les garanties BPI facilitent l’accès au credit bancaire pour les investissements de sécurité informatique.

Subventions regionales

Plusieurs regions proposent des aides complémentaires. L’Ile-de-France avec le cheque cybersécurité (jusqu’à 10 000 euros). L’Auvergne-Rhone-Alpes avec le Pack Cyber Regional. La Nouvelle-Aquitaine avec son programme d’accompagnement des PME industrielles. Ces aides sont cumulables avec les dispositifs nationaux.

Pour une vue détaillée des coûts a anticiper, consultez notre guide budget cybersécurité NIS2.

5 étapes de mise en conformité pour les PME

La mise en conformité NIS2 d’une PME peut etre structuree en cinq étapes progressives. Ce plan est concu pour etre executable sur 6 a 12 mois par une structure disposant de moyens limités.

Étape 1 : diagnostiquer (mois 1-2)

Realisez un diagnostic cyber initial. BPI France subventionne ce diagnostic a 50 %. Il couvre l’inventaire des actifs numériques, l’évaluation des risques, l’identification des ecarts avec NIS2. Le livrable : un rapport hierarchisant les actions par priorité. Verifiez d’abord si votre PME est concernée pour cadrer le périmètre du diagnostic.

Étape 2 : sécuriser les fondamentaux (mois 2-4)

Déploiement MFA sur tous les comptes critiques. Mise en place de sauvegardes automatisees avec test de restauration mensuel. Installation d’un EDR sur les postes et serveurs. Patch management avec une cadence definie (hebdomadaire pour les correctifs standards, 72h pour les critiques). Coût estime : 5 000 a 20 000 euros selon le parc informatique.

Étape 3 : formaliser (mois 3-5)

Rédaction de la politique de sécurité (10-15 pages suffisent). Procedure de notification d’incidents (2 pages + contacts ANSSI). Designation du referent cybersécurité. Formation de la direction (demi-journee). Validation en comite de direction avec PV trace.

Étape 4 : déployer les outils complémentaires (mois 4-8)

Sekoia.io (9.1/10) propose une plateforme XDR/SIEM accessible aux ETI et PME avancées. Pour les structures plus petites, un EDR manageable comme WithSecure Elements (8.5/10) couvre l’essentiel des besoins de détection. Evaluez les solutions via notre classement des éditeurs NIS2.

Étape 5 : tester et maintenir (mois 6-12, puis continu)

Exercice de crise annuel simulant un incident cyber. Test de restauration des sauvegardes. Revue annuelle de la politique de sécurité. Veille réglementaire sur les évolutions NIS2 et les decrets ANSSI. La conformité est un processus continu, pas un projet ponctuel.