NIS2 : cybersécurité PME en 2026, qui est concerné ?
NIS2 en 2026 : secteurs concernés, entités essentielles ou importantes, gouvernance cyber, rôle du DAF et checklist PME pour anticiper.
Ce sujet relève de notre mission
Transformation digitale finance | Automatisation & pilotageNote de l'expert : Cet article a été rédigé par notre cabinet d'expertise comptable. Les informations sont à jour en 2026. Pour une étude personnalisée de votre situation, contactez-nous.
NIS2 élargit fortement le périmètre européen de la cybersécurité. Pour les PME et ETI, le sujet n'est pas seulement informatique : une cyberattaque bloque la facturation, la paie, les paiements, les commandes, les données clients et parfois la continuité d'exploitation. Même lorsqu'une PME n'est pas directement dans le champ, elle peut subir des exigences de ses clients, assureurs, banques ou donneurs d'ordre.
Ce guide complète nos articles sur audit de conformité, cabinet d'audit organisationnel, DPO obligatoire, facturation électronique 2026 et pilotage financier PME.
Résumé exécutif#
L'ANSSI présente NIS2 comme une extension sans précédent du périmètre de la réglementation cyber. Depuis le 17 mars 2026, elle met à disposition le Référentiel Cyber France, ReCyF, comme document de travail listant des mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Le référentiel est indiqué comme non obligatoire par défaut à ce stade, mais utile pour les futurs assujettis.
| Question | Réponse prudente en 2026 |
|---|---|
| Toutes les PME sont-elles concernées ? | Non, pas automatiquement. Il faut analyser le secteur, la taille et les cas particuliers. |
| Entité essentielle ou importante ? | La directive distingue deux catégories avec exigences proportionnées. |
| Les seuils suffisent-ils ? | Non. Certains cas particuliers peuvent s'appliquer selon l'activité. |
| Faut-il attendre ? | Non. Les clients et assureurs demandent déjà des preuves cyber. |
| Qui pilote ? | DSI, direction générale, DAF, juridique et prestataires critiques ensemble. |
Note de fraîcheur : à jour au 3 mai 2026. L'analyse doit être confirmée au regard de la transposition française définitive et des informations ANSSI disponibles.
Qui peut être concerné par NIS2 ?#
NIS2 vise des secteurs jugés critiques ou importants pour l'économie et la société. L'ANSSI distingue les futures entités essentielles et importantes. La FAQ MonEspaceNIS2 indique, à titre général et sauf cas particuliers, que les entités essentielles correspondent aux activités des secteurs hautement critiques et à des seuils de taille comme plus de 250 salariés ou un chiffre d'affaires supérieur à 50 M€.
Le dirigeant doit donc procéder par étapes :
- Identifier le secteur d'activité exact.
- Vérifier la taille de l'entité et du groupe.
- Rechercher les cas particuliers d'inclusion.
- Examiner les obligations contractuelles clients.
- Documenter la conclusion, même si l'entreprise estime ne pas être dans le champ.
Le risque sous-estimé : la dépendance aux outils finance#
Une PME peut survivre quelques heures sans site marketing. Elle survit beaucoup moins bien sans paie, banque, facturation, ERP, caisse, fichiers clients ou accès aux justificatifs comptables. La cybersécurité devient donc un sujet de direction financière.
| Actif critique | Conséquence d'incident |
|---|---|
| Logiciel de paie | Retard de bulletins, DSN, tensions sociales |
| Facturation | Blocage cash et litiges clients |
| Banque en ligne | Risque de fraude au virement |
| ERP ou caisse | Rupture de ventes, stocks faux |
| Données comptables | Clôture impossible, audit retardé |
Notre analyse d'expert-comptable : une cartographie cyber utile doit partir des processus qui génèrent du cash et des obligations légales. La question n'est pas seulement "où sont les serveurs ?", mais "combien de jours l'entreprise tient-elle sans facturer, payer et déclarer ?".
Checklist NIS2 pour PME#
- cartographier les systèmes critiques ;
- lister prestataires, accès administrateurs et contrats cloud ;
- activer MFA sur banque, messagerie, paie, comptabilité et ERP ;
- séparer les droits selon les fonctions ;
- tester les sauvegardes, pas seulement les programmer ;
- formaliser une procédure d'incident ;
- intégrer le risque cyber dans le plan de trésorerie ;
- vérifier les clauses d'assurance cyber et exclusions.
Les PME peuvent relier ce chantier à la transformation digitale finance PME, au DAF externalisé et à l'expertise comptable Paris 8. Les startups et éditeurs SaaS trouveront une lecture sectorielle sur startups tech. Côté pilotage, un tableau de bord Power BI peut suivre les accès critiques, incidents et plans d'action.
Ce que le dirigeant doit décider#
Le dirigeant doit trancher le niveau de maturité cible. Une PME qui travaille avec grands comptes, administrations, santé, énergie, transport, industrie ou finance ne peut plus traiter la cybersécurité comme une dépense optionnelle.
| Décision | Livrable attendu |
|---|---|
| Responsable cyber | Nom, rôle, délégation et budget |
| Cartographie SI | Applications critiques et propriétaires |
| Plan d'incident | Qui appeler, quoi couper, quoi déclarer |
| Revue fournisseurs | Contrats, hébergement, sauvegardes, sous-traitance |
| Budget 2026 | MFA, sauvegardes, audit, formation, assurance |
Points de vigilance 2026#
- La transposition française et les précisions ANSSI doivent être suivies régulièrement.
- Les donneurs d'ordre peuvent imposer des exigences NIS2 même à des sous-traitants non directement assujettis.
- Les sauvegardes non testées donnent une fausse sécurité.
- La fraude au président et au virement reste un risque financier majeur.
- Les incidents cyber doivent être intégrés aux scénarios de trésorerie et continuité d'exploitation.
Questions fréquentes
Toutes les PME françaises doivent-elles se déclarer NIS2 ?+
Non. L'assujettissement dépend du secteur, de la taille et de certains cas particuliers. En revanche, beaucoup de PME devront produire des preuves cyber à leurs clients ou assureurs.</details>
Quelle différence entre entité essentielle et importante ?+
NIS2 distingue les catégories selon la criticité et la taille, avec des exigences proportionnées. L'analyse détaillée doit se faire au regard de la directive et des textes français de transposition.</details>
Le DAF est-il concerné par NIS2 ?+
Oui. Paie, facturation, banque, ERP, trésorerie et données comptables sont des actifs critiques. Le DAF doit intégrer le cyber dans le contrôle interne.</details>
Que faire en premier ?+
Activez le MFA sur les accès critiques, testez les sauvegardes et cartographiez les applications qui bloqueraient l'activité en cas d'indisponibilité.</details>
Le ReCyF est-il obligatoire ?+
L'ANSSI indique que le ReCyF est diffusé comme document de travail et non obligatoire par défaut à ce stade. Il reste une référence utile pour préparer une démarche cohérente avec NIS2.</details>
Article rédigé par Samuel HAYOT
Expert-Comptable diplômé, inscrit au Tableau de l'Ordre des Experts-Comptables.
Cabinet d'expertise comptable et de commissariat aux comptes base a Paris 8, pense pour accompagner des entreprises partout en France avec une approche digitale et orientee decision.
Sources du dossier
Sources officielles et de reference citees pour cette page.
Ce sujet relève de notre mission Transformation digitale finance | Automatisation & pilotage
Besoin d'un devis ou d'un conseil personnalisé ?
Notre cabinet d'expertise comptable vous accompagne dans toutes vos démarches. Obtenez un devis gratuit pour analyser votre situation et vous proposer une offre tarifaire sur-mesure ou contactez-nous directement.