La directive NIS 2 ne concerne plus seulement les grands groupes ou les opérateurs d’importance vitale. Depuis 2026, une majorité de PME et ETI françaises doivent désormais répondre à des obligations strictes en matière de cybersécurité. Ignorer ce nouveau panorama, c’est s’exposer à des risques juridiques majeurs et à une pression réglementaire inédite.
Explosion du périmètre : pourquoi votre entreprise est (probablement) concernée
Avec la NIS 2, le nombre de sociétés directement soumises à des règles de cybersécurité rigoureuses a été multiplié par 30 en France. Contrairement à la première directive, qui ciblait surtout les infrastructures critiques, la barre est désormais placée à 50 employés ou 10 millions d’euros de chiffre d’affaires. Des secteurs comme la santé, les transports, l’énergie, l’eau, l’IT, mais aussi les fournisseurs de services managés sont dans le viseur.
Ce n’est plus une question de taille ou de notoriété. L’objectif affiché est de créer un vrai “pare-feu” à l’échelle européenne, en éliminant les angles morts. Résultat : nombre de PME, jusque-là peu préoccupées par leur posture de sécurité, découvrent qu’elles basculent dans le champ d’application et doivent justifier de mesures robustes.
- PME ou ETI de +50 salariés OU CA de +10M€
- Sous-traitants IT et fournisseurs de services essentiels
Obligations accrues : ce qui change (et ce qui ne change pas)
Le texte impose une série d’exigences, loin des simples “bonnes pratiques”. Il s’agit de mettre en place une gouvernance documentée, une analyse de risques formalisée, des plans de continuité d’activité, une politique de gestion des incidents et une vigilance accrue face à la chaîne d’approvisionnement. Les contrôles s’intensifient : les autorités auront le pouvoir de vérifier la réalité des dispositifs, d’imposer des audits, voire d’ordonner des mesures correctives en cas de déficit.
Ce qui évolue surtout, c’est la logique de responsabilité personnelle des dirigeants. Les amendes prévues sont dissuasives : jusqu’à 10 millions d’euros ou 2% du CA mondial. S’y ajoutent des obligations de notification d’incident sous 24 heures et l’obligation de former les équipes. Contrairement à une idée reçue, il ne s’agit pas d’une simple mise à jour de la réglementation RGPD : la NIS 2 cible spécifiquement la cyber-résilience.
Nomad Paris analyse votre contexte rapidement.
Planifier un échangePouvez-vous vraiment « faire l’impasse » sur NIS 2 ?
Face à la montée des cyberattaques, certains dirigeants parient encore sur l’absence de contrôle ou la complexité des organismes de supervision. C’est une erreur de calcul : la NIS 2 vise explicitement à rendre les obligations opposables et les sanctions effectives, même en cas de sous-traitance. Les premiers contrôles “à froid” en France sont déjà annoncés pour l’an prochain, avec des exemples concrets de sanctions médiatisées chez des sociétés du secteur IT.
Ne pas anticiper, c’est prendre le risque de se retrouver du mauvais côté de la jurisprudence et de devoir réagir dans l’urgence, sous pression. Dans les faits, les DSI et RSSI sont déjà en train de revoir la cartographie de leurs prestataires et de bâtir des plans de mise en conformité, souvent avec des ressources limitées et sous l’œil direct de leur direction générale.
Harmonisation européenne : mythe ou réalité pour les PME françaises ?
La promesse de la NIS 2, c’est aussi de mettre fin à la « jungle » des réglementations nationales qui freinaient les groupes multi-implantés. Mais la réalité est plus nuancée. Les États membres gardent une marge de manœuvre sur certains points clés, et la France a choisi de transposer la directive de façon stricte, avec un périmètre d’application parfois plus large que ses voisins.
Pour les PME françaises, la charge administrative reste significative, loin de la vision d’une simple harmonisation “clé en main”. Les écarts d’interprétation, notamment sur les modalités de notification d’incident ou le niveau de documentation, demeurent. La vigilance reste de mise, surtout lors de collaborations transfrontalières ou de réponses à des marchés publics européens.
FAQ
NIS 2 s’applique-t-elle à une PME de 60 salariés ?
Oui, dès 50 salariés ou 10 millions de chiffre d’affaires, la directive s’applique.
Quels risques pour un dirigeant en cas de non-conformité ?
Des amendes élevées (jusqu’à 10 M€), mais aussi une responsabilité civile et potentiellement pénale.
Faut-il externaliser la conformité NIS 2 ?
C’est possible, mais la direction reste responsable juridiquement de la conformité, même en cas de sous-traitance.
