NIS2, DORA, RGPD : quelles obligations cybersécurité pour les PME ?

Beaucoup de PME ignorent encore leurs obligations en matière de cybersécurité et de protection des données : elles sont fragiles dans un contexte de menaces croissantes. Il reste essentiel d’y voir clair. Cet article propose un panorama clair des obligations liées à : Directive NIS2, Règlement DORA et RGPD, avec un angle concret pour les PME françaises.

1. Le RGPD : l’obligation incontournable pour toute PME

Le RGPD (Règlement UE 2016/679) s’applique à « toutes les structures, privées ou publiques, qui collectent et/ou traitent des données personnelles sur le territoire de l’Union européenne ». Pour une PME, cela signifie plusieurs obligations de fond : recenser les traitements, garantir les droits des personnes (accès, rectification, oubli, portabilité), sécuriser les données (chiffrement, pseudonymisation) et notifier les violations de données sérieuses à la CNIL sous 72 h.

En pratique, les actions à envisager sont :

• Établir un registre des traitements (sauf très petite structure éventuellement exemptée) ;
• Mettre à jour les contrats de sous-traitance, s’assurer que vos prestataires respectent eux aussi le RGPD ;
• Former et sensibiliser vos collaborateurs au traitement des données et à la sécurité ;
• Prévoir une procédure de notification de violation de données et documenter les mesures de sécurité prises.

Le bénéfice : se conformer au RGPD évite non seulement les risques de sanctions (amendes pouvant atteindre 4 % du chiffre d’affaires mondial ou 20 millions €, le montant le plus élevé) mais aussi gagner la confiance clients/partenaires. Pour une PME, cela représente un avantage concurrentiel réel.

2. La directive NIS2 : la cybersécurité entreprise au niveau européen

La directive NIS2 (Directive (EU) 2022/2555) vise à renforcer la résilience et la sécurité des systèmes d’information dans toute l’UE. Elle remplace la précédente directive NIS (2016) et élargit fortement le champ d’application. :contentReference[oaicite:4]{index=4}

Principaux points à retenir :

• Elle exige une gestion des risques systèmes et de l’organisation : analyses de risques, politique de cybersécurité, plan de réponse aux incidents.
• Elle impose des mesures techniques et organisationnelles : authentification forte, journalisation, segmentation, sauvegarde, plan de continuité.
• La notification d’incidents est renforcée : alerte préliminaire dans les 24 heures, notification complète dans les 72 h selon certains textes.
• Les chaînes d’approvisionnement doivent être sécurisées et les clauses contractuelles adaptées.
• La directive est en cours de transposition en France : par exemple, la page officielle indique que la France n’a pas encore notifié à la Commission toutes les mesures de transposition au 7 mai 2025.

Pour les PME françaises, qu’est-ce que cela veut dire concrètement ?

Bien que la directive vise prioritairement les « entités essentielles » ou « importantes », les PME peuvent être concernées dans deux cas :

1. Si elles opèrent dans un secteur critique ou fournissent des services à une entité couverte par NIS2 ;
2. Si elles remplissent certains seuils de taille, chiffre d’affaires ou importance stratégique (en France, par exemple, un critère peut être « au moins 50 employés ou chiffre d’affaires > 10 M€ » pour certaines entités importantes) selon le projet de loi de transposition.

Cela signifie qu’une PME même modeste doit vérifier si elle est potentiellement dans le périmètre, ou si elle va devoir répondre aux exigences de ses clients (dans leurs appels d’offres) qui sont soumis à NIS2. Autrement dit : c’est autant une exigence directe que condition de partenariat.

3. Le règlement DORA : un signal pour toutes les entreprises, surtout dans la finance

Le règlement DORA (Digital Operational Resilience Act, Règlement (UE) 2022/2554) s’applique officiellement à partir du 17 janvier 2025 aux entités du secteur financier.

Les obligations sont les suivantes :

• Gestion du risque lié aux technologies de l’information et de la communication (TIC) dans une approche de résilience opérationnelle.
• Notification des incidents TIC majeurs aux autorités compétentes.
• Tests de résilience périodiques (tests de pénétration, plans de continuité) pour les fonctions critiques.
• Gestion des prestataires tiers TIC : contrat, registre des services, revue annuelle.

Une PME n’est pas forcément directement visée par DORA — sauf si elle est une entité financière ou un fournisseur de services TIC à des entités financières. Cependant, même dans ce cas, il faudra être capable de répondre à des exigences contractuelles ou d’audit liées au cadre DORA. En clair : si vous travaillez avec le secteur financier, ces obligations peuvent vous être imposées indirectement.

4. Pourquoi les PME sont encore en retard ?

Un frein majeur à la mise en conformité réside dans leur manque de ressources, de temps ou de compétences. Selon un baromètre publié le 13 octobre 2025 : seulement **26 % des TPE-PME françaises disposent de solutions de double authentification** (et 24 % ont une procédure de réaction aux cyberattaques) malgré une prise de conscience croissante.

Plus largement, les études montrent que les TPE/PME peinent à évaluer leur exposition aux cyber-risques et n’ont pas toutes mis en place des politiques structurées de cybersécurité.

Un autre angle : l’ignorance des obligations réglementaires. Beaucoup de dirigeants ne savent pas si leur entreprise est soumise à NIS2, ou ne perçoivent pas les conséquences (sanctions, perte de marché, interruption d’activité). Cela crée une vulnérabilité importante, car les cyberattaques des PME sont de plus en plus fréquentes et sophistiquées.

5. Plan d’action pragmatique pour les PME

Voici un plan en 6 étapes que toute PME devrait suivre pour se mettre à niveau, prioriser et répondre aux obligations.

1. État des lieux rapide : recensez vos actifs informatiques, données personnelles traitées, prestataires, et identifiez vos clients soumis à NIS2 ou DORA.
2. Cartographier les obligations : déterminez si vous êtes directement ou indirectement concerné par NIS2, DORA ou RGPD. Même si pas directement visé, les exigences clients/importantes peuvent vous atteindre.
3. Élaborer une politique cyber + RGPD : même simple, une politique écrite engage la direction, fixe les responsabilités, prévoit des mesures simples (MFA, sauvegarde, journalisation). Mettez en place un registre des traitements.Audit cybersécurité pour PME
4. Mettre en place les mesures prioritaires : authentification forte, segmentation réseau, mises à jour logicielles, sauvegardes régulières, formation/sensibilisation du personnel.Méthodologie maturité cybersécurité
5. Surveiller les prestataires et la chaîne d’approvisionnement : vérifiez que vos fournisseurs respectent aussi des standards, contractualisez les obligations; cela est clé pour NIS2 et DORA.
6. Documenter et suivre : tenez à jour vos registres, vos procédures, vos incidents, et assurez un suivi périodique de votre maturité cyber.Accompagnement mise en conformité NIS2/RGPD

6. Les bénéfices d’une mise en conformité au-delà de l’obligation

Se conformer à ces obligations ne se résume pas à éviter des sanctions : c’est aussi un levier de sécurité, de confiance, de performance.

• Vous renforcez votre position vis-à-vis des clients/partenaires : une PME qui affiche une politique cyber solide est plus crédible.
• Vous améliorez votre résilience et réduisez votre vulnérabilité : moins de risques de perte de données, interruption ou d’attaque ayant un impact majeur.
• Vous devenez partenaire prioritaire dans les chaînes d’approvisionnement : notamment si vos clients sont soumis à NIS2 ou DORA, votre conformité est un facteur de performance.
• Vous créez un avantage compétitif : dans un marché où beaucoup de PME ne feront pas l’effort, votre maturité devient différenciante.

En conclusion : ne laissez pas l’inaction vous laisser vulnérable. RGPD, NIS2, DORA ne sont pas que des contraintes : ce sont des signaux forts dans un paysage numérique où la résilience et la cybersécurité deviennent incontournables. Il est temps d’agir, avec pragmatisme et détermination.