NIS2 s'applique-t-il à mon entreprise ? Pourquoi votre PME est probablement concernée sans le savoir
Vous pensez que NIS2 ne vous concerne pas ?
Vous dirigez une PME de 30, 80, peut-être 200 salariés. Vous avez entendu parler de NIS2 lors d'un dîner professionnel ou dans une newsletter. Votre réflexe : « C'est pour les grands groupes, les opérateurs télécoms, les hôpitaux. Pas pour moi. » Ce réflexe est partagé par 64 % des PME françaises qui ne savent pas ce qu'est NIS2. Et il est dangereux. La directive européenne NIS2, transposée en France par la loi Résilience attendue mi-2026, va concerner entre 15 000 et 18 000 entités sur le territoire. Parmi elles, des milliers de PME qui ne se savent pas encore visées. Le problème n'est pas l'ignorance - c'est le mécanisme de la directive elle-même, conçu pour ratisser bien au-delà des grandes entreprises. Si vous êtes sous-traitant, fournisseur ou prestataire d'une entité essentielle, la question « NIS2 s'applique-t-il à mon entreprise » mérite une réponse immédiate. Commencez par évaluer votre posture de cybersécurité - le résultat pourrait vous surprendre.
Pourquoi les PME tombent-elles dans le filet NIS2 ?
NIS2 classe les entités en deux catégories : essentielles et importantes. Les critères semblent simples - plus de 250 salariés ou plus de 50 millions d'euros de chiffre d'affaires pour les entités essentielles. Mais la directive couvre 18 secteurs, dont la fabrication, l'alimentation, la gestion des déchets, les services postaux, les services numériques et la recherche. Si votre PME opère dans l'un de ces secteurs avec plus de 50 salariés ou 10 millions de CA, vous êtes directement dans le périmètre « entité importante ». Et même en dessous de ces seuils, l'article 2 prévoit des exceptions : les États membres peuvent désigner toute entité qu'ils jugent critique pour leur chaîne d'approvisionnement nationale. La France, avec la loi Résilience, dispose de cette latitude. Autrement dit, la taille de votre entreprise ne garantit rien. Ce qui compte, c'est votre rôle dans l'écosystème. Pour comprendre le coût réel de l'absence de conformité, les chiffres parlent d'eux-mêmes.
La clause supply chain : le piège invisible pour les sous-traitants
Voici le mécanisme que la plupart des dirigeants de PME ignorent. NIS2 impose aux entités essentielles et importantes de sécuriser leur chaîne d'approvisionnement. Concrètement, vos grands clients - banques, énergéticiens, industriels, administrations - vont exiger de leurs fournisseurs des preuves de conformité en cybersécurité. Pas par bonté d'âme, mais parce que la directive les y oblige sous peine d'amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. En 2024, 67 % des entreprises ont déjà perdu des contrats pour défaut de conformité cyber, selon Marsh McLennan. Le scénario est limpide : votre client reçoit un questionnaire de sécurité de son régulateur, il vous le transmet, et sans réponse satisfaisante, il change de prestataire. Vous n'êtes pas sanctionné directement par NIS2. Vous perdez simplement votre contrat. Le résultat financier est le même.
Photo by Kampus Production on Pexels
Votre secteur est-il concerné ? Les 18 domaines NIS2
La liste est plus large que ce que la plupart des dirigeants imaginent. Voici les secteurs couverts par NIS2, répartis entre entités essentielles et importantes :
| Entités essentielles (Annexe I) | Entités importantes (Annexe II) |
|---|---|
| Énergie (électricité, gaz, pétrole, hydrogène) | Services postaux et d'expédition |
| Transports (aérien, ferroviaire, maritime, routier) | Gestion des déchets |
| Banque et infrastructures financières | Fabrication (dispositifs médicaux, électronique, machines, véhicules) |
| Santé (hôpitaux, labos, fabricants de dispositifs médicaux) | Production et distribution alimentaire |
| Eau potable et eaux usées | Chimie |
| Infrastructure numérique (DNS, cloud, data centers) | Recherche |
| Administration publique | Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux) |
| Espace |
Si vous fournissez un service à l'une de ces entités - même en tant que sous-traitant de rang 2 - vous êtes dans la zone d'impact. Un éditeur de logiciel de 40 personnes qui vend à un hôpital est concerné. Un cabinet comptable qui gère la paie d'un opérateur d'énergie aussi. Vérifiez votre exposition avec notre checklist cybersécurité pour PME.
Quelles sont les sanctions réelles pour une PME ?
Ne vous laissez pas rassurer par le mot « directive ». Les sanctions NIS2 sont concrètes et personnelles. Pour les entités importantes - la catégorie qui concerne la majorité des PME - les amendes peuvent atteindre 7 millions d'euros ou 1,4 % du CA mondial. Pour les entités essentielles : 10 millions d'euros ou 2 % du CA mondial. Mais le changement majeur de NIS2, c'est la responsabilité personnelle des dirigeants. L'article 20 impose que les organes de direction approuvent et supervisent les mesures de cybersécurité. En cas de manquement, le dirigeant peut être personnellement tenu responsable. 80 % des TPE-PME ne sont pas préparées à ces obligations selon le rapport Cybermalveillance 2025. Au-delà des amendes, le coût moyen d'un incident cyber pour une PME est de 345 000 dollars, d'après Atlantic Digital. Sans compter que 41 % des demandes de cyber-assurance sont désormais refusées (MoneyGeek) - vous ne pouvez plus compter sur votre assureur pour absorber le choc.
Comment savoir si NIS2 s'applique-t-il à mon entreprise ?
Posez-vous ces cinq questions. Si vous répondez « oui » à l'une d'entre elles, vous êtes probablement concerné :
1. Votre entreprise opère-t-elle dans l'un des 18 secteurs NIS2 ? Même indirectement - un prestataire informatique pour un hôpital est dans le périmètre.
2. Avez-vous plus de 50 salariés ou plus de 10 millions d'euros de CA ? Le seuil « entité importante » est plus bas que la plupart des dirigeants ne l'imaginent.
3. Fournissez-vous des services à une grande entreprise régulée ? La clause supply chain vous rend de facto soumis aux mêmes exigences.
4. Vos clients vous ont-ils envoyé un questionnaire de sécurité récemment ? C'est le premier signal : ils préparent déjà leur conformité NIS2.
5. Êtes-vous fournisseur de services numériques ? Cloud, SaaS, hébergement, services managés - tous dans le périmètre, quelle que soit la taille.
Une PME sur trois a été touchée par un incident cyber en 2024 (BizTech Magazine). La question n'est plus « si » mais « quand ». Faites le point avec le quiz NIS2 et ISO 27001 - c'est gratuit et ça prend 3 minutes.
Photo by Liisbet Luup on Pexels
Que demande concrètement NIS2 à votre PME ?
NIS2 impose dix catégories de mesures de sécurité. Pour une PME, les exigences les plus structurantes sont : une analyse de risques documentée, un plan de réponse aux incidents (découvrez notre checklist incident response), la continuité d'activité, la sécurité de la supply chain, la gestion des vulnérabilités, et la formation des collaborateurs. Vous devez aussi notifier les incidents significatifs dans les 24 heures, avec un rapport complet sous 72 heures. Ça ressemble à ISO 27001 ? C'est normal - NIS2 s'en inspire directement. La bonne nouvelle : si vous mettez en place une gestion IT rigoureuse, votre conformité NIS2 devient le sous-produit naturel de votre bonne gestion IT. Vous n'avez pas besoin de deux projets séparés. Vous avez besoin d'un système qui fait les deux en même temps. Les cyberattaques ont augmenté de 49 % au premier semestre 2025 (Identity Week). Le moment d'agir, c'est avant l'incident, pas après.
Quel budget prévoir ? La comparaison honnête
Voici ce que coûtent les options actuelles sur le marché pour une PME de 50 utilisateurs :
| Solution | Coût annuel estimé | Ce que vous obtenez |
|---|---|---|
| MSP traditionnel | 60 000 – 150 000 € (100-250 €/user/mois) | Supervision IT, support, mais conformité en option payante |
| Plateforme conformité seule (Vanta, Drata) | 7 500 – 50 000 €/an | Tableaux de bord conformité, mais pas de gestion IT opérationnelle |
| Ne rien faire | 345 000 $ par incident en moyenne | Amendes NIS2 en sus, perte de contrats, responsabilité dirigeant |
| Fusion AI | À partir de 2 €/user/jour | IT managé + conformité NIS2 intégrée, premier rapport en 48h |
Le calcul est simple. Un MSP traditionnel vous facture la gestion IT. Puis vous payez un consultant GRC pour la conformité. Puis un auditeur pour la certification. Trois factures, trois interlocuteurs, aucune garantie de cohérence. Avec Fusion AI, votre IT est gérée et votre conformité est intégrée dès le départ - parce que les contrôles de sécurité sont les mêmes dans les deux cas. Consultez nos tarifs détaillés pour votre taille d'entreprise.
Quel est le calendrier réel pour les PME françaises ?
La loi Résilience - transposition française de NIS2 - est attendue mi-2026. Mais attendre la date officielle serait une erreur stratégique. Les grandes entreprises régulées préparent déjà leurs exigences supply chain. Les questionnaires de sécurité arrivent maintenant. Les appels d'offres incluent déjà des clauses de conformité cyber. Si vous attendez la publication de la loi pour commencer, vous aurez 15 000 autres entités qui chercheront les mêmes consultants, les mêmes outils, les mêmes certifications - en même temps. Comme l'explique notre article sur la conformité NIS2 pour les PME, les entreprises qui anticipent transforment la contrainte en avantage concurrentiel. Commencer aujourd'hui, c'est 30 jours pour être conforme NIS2 avec Fusion AI, contre 6 à 12 mois avec une approche traditionnelle. C'est aussi la sérénité de savoir que le prochain questionnaire client ne sera pas une source de panique.
Comment démarrer sans mobiliser une équipe projet ?
Vous n'avez pas de RSSI. Vous n'avez peut-être même pas d'équipe IT dédiée. C'est exactement le profil pour lequel Fusion AI a été conçu. Voici comment ça se passe concrètement :
- 45 minutes : connexion de vos systèmes. Pas de migration, pas de remplacement de vos outils existants.
- 48 heures : premier rapport de sécurité et cartographie de vos écarts par rapport à NIS2.
- 30 jours : conformité complète NIS2, prêt ISO 27001, politiques documentées, preuves collectées automatiquement.
Vous continuez à travailler normalement. Vos collaborateurs ne voient aucun changement dans leur quotidien. Mais en coulisses, chaque action IT génère automatiquement la preuve de conformité correspondante. Pas de tableaux Excel à remplir le vendredi soir. Pas de consultant qui vous demande des captures d'écran. Dormir tranquille, c'est savoir que votre prochaine réponse à un questionnaire de sécurité client est déjà prête.
Prêt à savoir si NIS2 vous concerne ?
Ne laissez pas un angle mort réglementaire mettre en danger vos contrats, votre réputation et votre responsabilité personnelle de dirigeant. Le scan de sécurité Fusion AI est gratuit, sans engagement, et vous donne en 10 minutes une vision claire de votre exposition NIS2.
Lancez votre scan de sécurité gratuit →
Ou créez votre compte d'essai gratuit pour voir Fusion AI en action sur votre propre environnement. Conforme NIS2 en 30 jours - ou vous ne payez pas.