NIS2 et PME : dans quels cas une PME devient concernée ?

Pourquoi NIS2 concerne maintenant un grand nombre de PME

Lors de la première directive NIS (2016), la majorité des PME n’étaient pas touchées.Avec NIS2, la situation change profondément : la directive couvre désormais un périmètre nettement plus large et inclut des entreprises de taille moyenne, mais aussi des PME jouant un rôle critique dans des chaînes d’approvisionnement essentielles.

L’objectif de l’Union européenne est clair : sécuriser l’ensemble de l’écosystème économique, car les cyberattaques peuvent désormais bloquer une entreprise, une chaîne logistique ou un service public entier en quelques heures.

Premier critère : le secteur d’activité de la PME

Une PME devient concernée si elle appartient à l’un des secteurs jugés critiques par NIS2.

Secteurs essentiels (PME directement concernées)

Une PME peut faire partie des entités essentielles si elle intervient dans :

• la santé (laboratoires, analyses, équipements médicaux critiques)

• l’eau (traitement, distribution locale)

• les transports (prestataires, systèmes connectés, plateformes logistiques)

• l’énergie (sous-traitants, maintenance d’infrastructures)

• les services numériques critiques (hébergement, cloud, télécom)

Même une PME issue de ces secteurs peut être classée “essentielle” si son rôle est indispensable au fonctionnement d’un service critique.

Secteurs importants (les plus nombreux pour les PME)

La majorité des PME concernées relève des entités importantes :

• industrie (production, assemblage, maintenance critique)

• agroalimentaire

• déchets

• recherche et développement

• fabrication d’équipements essentiels

• services numériques spécialisés (SaaS, intégrateurs, data management)

Beaucoup d’entreprises industrielles de 50 à 200 salariés entrent désormais dans NIS2, parfois sans s’en rendre compte.

Deuxième critère : la taille de la PME

La directive utilise la définition européenne des “entreprises de taille moyenne” comme seuil d’entrée.

Une PME est concernée si elle dépasse au moins un des seuils suivants :

• plus de 50 salariés

• plus de 10 M€ de chiffre d’affaires

• plus de 10 M€ de total de bilan

Si votre PME appartient à un secteur NIS2 et dépasse l’un de ces seuils, elle entre automatiquement dans le périmètre.

Les exceptions : les petites PME aussi peuvent être concernées

Même en dessous des seuils, une PME peut être incluse si :

• elle fournit un service indispensable à un acteur essentiel

• elle gère des systèmes critiques

• elle opère une solution logicielle massivement utilisée

• elle détient des accès privilégiés à un client NIS2

• une compromission aurait un impact majeur

Ce point est crucial pour les prestataires IT, éditeurs SaaS, et entreprises industrielles fortement digitalisées.

Troisième critère : le rôle de la PME dans la chaîne de valeur

NIS2 introduit une logique nouvelle : votre PME peut ne pas être “essentielle” par nature, mais le devenir par dépendance indirecte.

PME concernées en tant que prestataires critiques

Votre entreprise est concernée si elle fournit un service à forte dépendance technique ou opérationnelle :

• infogérance

• intégration technique

• solutions SaaS

• développement logiciel métier

• services cloud ou hébergement

• supervision ou détection (SOC, MSSP)

• maintenance industrielle connectée

• solutions d’automatisation ou OT

Les cyberattaques récentes ont montré que les PME prestataires sont souvent la porte d’entrée d’une attaque plus large.

PME concernées en raison d’un lien contractuel

Certaines entreprises deviennent soumises à NIS2 car leurs clients exigent :

• des garanties de sécurité

• des preuves de conformité

• des mesures de contrôle des accès

• une supervision technique renforcée

Cette dynamique est déjà visible dans l’industrie, la santé et les services numériques.

➤ Vérifier automatiquement votre situation : Normi.fr/wizard

Les cas typiques de PME concernées en France

Voici les profils les plus courants que l’on observe dans les premiers mois de mise en application :

Les PME industrielles (50 à 200 salariés)

Souvent considérées comme “entités importantes” en raison :

• de leur rôle dans la production nationale

• de leur usage d’équipements connectés (OT)

• de leur dépendance à des logiciels critiques

Les PME technologiques et SaaS

Concernées car :

• elles hébergent des données sensibles

• elles sont connectées au système d’un client essentiel

• elles fournissent un service indispensable à plusieurs secteurs réglementés

  
  

Les prestataires IT (infogérance, cloud, cybersécurité)

Un des groupes les plus concernés. Leur rôle dans la chaîne de valeur en fait des points d’entrée critiques.

Les PME dans la logistique ou la chaîne alimentaire

En raison de leur rôle opérationnel direct dans des secteurs sensibles.

Comment une PME peut vérifier rapidement son statut

La directive peut sembler complexe, mais la vérification se fait en trois étapes simples.

Étape 1 : Identifier le secteur de l’entreprise

Est-il listé comme essentiel ou important ?

Étape 2 : Vérifier la taille

Votre PME dépasse-t-elle un des seuils européens ?

Étape 3 : Examiner les relations clients/fournisseurs

Jouez-vous un rôle opérationnel ou technique indispensable pour un acteur soumis ?

➤ Vérifier votre statut en quelques questions : Normi.fr/wizard

Conclusion : une directive qui touche beaucoup plus de PME qu’attendu

NIS2 marque une rupture : la cybersécurité réglementaire ne concerne plus uniquement les grandes organisations. Les PME industrielles, technologiques, logistiques ou prestataires sont désormais fortement représentées dans le périmètre.

Identifier son statut est la première étape essentielle pour anticiper les obligations et structurer un plan d’action adapté.

➤ Obtenir un plan d’action en 30 secondes : Normi.fr ➤ Consulter les obligations détaillées : Normi.fr/directive