NIS2 : le risque réglementaire que de nombreux dirigeants sous-estiment encore
Sommaire
Renforcez votre cybersécurité avec Hiscox
Une assurance cyber adaptée aux obligations croissantes des PME et TPE
La directive NIS2, officiellement directive UE 2022/2555, marque un tournant majeur dans la régulation de la cybersécurité en Europe. À partir de 2026, elle entre pleinement en phase de contrôle. La cybersécurité ne relève plus uniquement de l’informatique opérationnelle, elle devient un enjeu stratégique porté par la direction.
Contrairement aux idées reçues, il n’est pas nécessaire d’être une multinationale pour être concerné. En France, plus de 10 000 entreprises entrent dans le périmètre. De nombreuses PME se découvrent aujourd’hui directement visées, ou indirectement exposées via leurs clients et partenaires.
Obtenez un résumé de l'article :
Qu’est-ce que la directive NIS2 et que change-t-elle par rapport à NIS1 ?
La directive NIS2 remplace la première directive NIS et élargit ses objectifs ainsi que son champ d’application pour apporter davantage de protection. Son objectif est clair : renforcer la sécurité des réseaux et des systèmes d’information des acteurs jugés essentiels au fonctionnement de l’économie et de la société.
Elle durcit les exigences sur quatre points majeurs :
- Un périmètre d’entreprises beaucoup plus large ;
- Une gouvernance cyber portée par les dirigeants ;
- Des mesures techniques et organisationnelles obligatoires ;
- Des délais de notification d’incident très courts.
En 2026, il ne s’agit plus de se préparer, mais de démontrer sa conformité, preuves à l’appui.
Quelles entreprises sont concernées par NIS2 en 2026 ?
La directive vise les entités moyennes et grandes opérant dans 18 secteurs dits critiques ou hautement critiques. Les seuils fréquemment retenus sont :
- Au moins 50 salariés ou
- Au moins 10 millions d’euros de chiffre d’affaires annuel.
Les secteurs couverts sont nombreux : énergie, transports, santé, eau, agroalimentaire, industrie, services numériques, infrastructures cloud, gestion des données ou encore fournisseurs de services informatiques.
Pourquoi des PME se retrouvent-elles dans le périmètre ?
Deux mécanismes expliquent cette extension :
- L’appartenance directe à un secteur listé ;
- La dépendance fonctionnelle à un acteur régulé.
Exemple : une PME de services numériques qui administre l’infrastructure informatique d’un hôpital ou d’un opérateur d’énergie devient un maillon critique. De même, une PME industrielle peut être concernée si son activité et sa taille franchissent les seuils.
À cela s’ajoute une réalité importante : chaque État membre conserve une marge d’interprétation. Une entreprise active à l’international doit donc anticiper une application variable selon les pays.
Pour la France, depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS2.
Quelles obligations de gouvernance NIS2 pèsent sur les dirigeants ?
NIS2 place explicitement la responsabilité de la cybersécurité au niveau de la direction. Le texte impose :
- Une implication formelle des dirigeants ;
- Une formation obligatoire à la gestion des risques cyber ;
- Une capacité démontrable de pilotage et de décision.
Comment cela se traduit-il concrètement dans une PME ?
La cybersécurité devient un risque d’entreprise, au même titre que la conformité réglementaire ou la continuité d’activité. Un comité de direction doit être capable de montrer :
- Comment les risques cyber sont identifiés ;
- Quelles décisions sont prises ;
- Quels budgets sont arbitrés ;
- Comment les incidents sont suivis.
Exemple : intégrer un point cybersécurité récurrent en comité de direction, avec un suivi des incidents, des actions correctives et des dépendances fournisseurs, permet de matérialiser cette gouvernance.
Quelles mesures techniques et organisationnelles sont exigées par NIS2 ?
La directive impose un socle minimal de mesures, listé à l’article 21, fondé sur une approche par le risque. L’objectif est double : réduire la probabilité d’un incident et limiter son impact.
Parmi les exigences clés figurent :
- Une politique formalisée de gestion des risques SI ;
- L’identification des actifs critiques ;
- Des mesures de prévention, de détection et de réponse ;
- Des dispositifs de sauvegarde et de reprise d’activité ;
- Une organisation opérationnelle claire en cas de crise.
Exemples sectoriels
- PME de transport : un outil de planification est critique. Les sauvegardes doivent être testées, la restauration documentée et les responsabilités définies.
- Prestataire IT : la gestion des accès administrateurs impose une forte maîtrise des identités, une traçabilité des actions et une sécurisation des accès distants.
- Entreprise industrielle : l’indisponibilité d’un système de production doit être anticipée via des scénarios de continuité.
Comment gérer les obligations de notification d’incident NIS2 ?
NIS2 impose des délais stricts dès qu’un incident significatif est atteint :
- Alerte initiale sous 24 heures ;
- Notification détaillée sous 72 heures ;
- Rapport final sous un mois.
La notification s’effectue auprès du CSIRT national compétent.
Pourquoi l’anticipation est indispensable ?
Tenir ces délais suppose :
- Une capacité de détection rapide ;
- Des critères clairs de qualification ;
- Une chaîne d’escalade décisionnelle ;
- Des modèles de notification prêts à l’emploi.
Exemple : en cas de ransomware détecté un vendredi soir, l’entreprise doit être capable d’alerter sans attendre la compréhension complète de l’incident. Le silence ou l’attentisme constituent un risque réglementaire.
Que change NIS2 pour la chaîne d’approvisionnement des PME ?
La directive rend la chaîne d’approvisionnement opposable. Les entités régulées doivent évaluer et sécuriser leurs fournisseurs.
Concrètement, les PME vont être confrontées à :
- Des questionnaires de cybersécurité ;
- Des clauses contractuelles renforcées ;
- Des obligations de notification ;
- Des audits ou demandes de preuves.
Même hors périmètre direct, NIS2 devient un critère de sélection commerciale. Une PME incapable de démontrer un minimum de maturité cyber peut perdre un contrat.
Quelles sanctions sont prévues en cas de non-conformité ?
Les sanctions financières peuvent atteindre :
- 10 millions d’euros ou
- 2 % du chiffre d’affaires mondial, selon la catégorie d’entité.
Au-delà des amendes, les autorités examinent la gouvernance, la préparation et la capacité opérationnelle. La responsabilité de la direction est explicitement engagée.
Tableau de synthèse des exigences NIS2 à intégrer avant 2026
| Exigence | Attente de NIS2 | Illustration PME |
| Gouvernance | Implication et formation de la direction | Point cyber en comité de direction |
| Gestion des risques | Mesures fondées sur le risque | Cartographie des actifs critiques |
| Notification | Délais de 24 h et 72 h | Procédure d’astreinte formalisée |
| Continuité | Capacité de reprise testée | Tests de restauration réguliers |
| Supply chain | Contrôle des fournisseurs | Clauses cyber dans les contrats |
| Sanctions | Responsabilité et amendes élevées | Arbitrage budgétaire priorisé |
Vos questions sur la directive NIS2
- Quels sont les délais de notification imposés par NIS2 ?
Une alerte initiale doit être transmise sous 24 heures, une notification détaillée sous 72 heures, puis un rapport final dans le mois suivant l’incident. - Une PME peut-elle être concernée sans être un acteur critique ?
Oui. Une PME peut être concernée par son secteur, sa taille ou via les exigences imposées par ses clients régulés. - Quelles preuves de conformité sont attendues en 2026 ?
Une gouvernance active, des politiques formalisées, des mesures techniques effectives, des tests de continuité et une capacité réelle de notification. - Les dirigeants sont-ils personnellement impliqués ?
Oui. La directive renforce explicitement la responsabilité de l’organe de direction dans la gestion des risques cyber.
Renforcez votre cybersécurité avec Hiscox
Une assurance cyber adaptée aux obligations croissantes des PME et TPE
