La Commission européenne a proposé un ajustement ciblé de NIS2, la directive qui encadre la cybersécurité des entreprises opérant dans l’UE. L’idée n’est pas de baisser la garde, mais de rendre la règle plus claire, plus proportionnée et moins coûteuse à mettre en œuvre. Au passage, environ 28 700 entreprises seraient concernées par cet allègement, dont 6 200 petites structures. Pour une PME, le message est simple : la conformité reste sérieuse, mais elle devient plus pilotable.
L’Opportunité PME
Pour les dirigeants de TPE/PME qui vendent à des grands comptes ou à des secteurs régulés — énergie, santé, finance, industrie, services numériques — c’est une bonne nouvelle. Pourquoi ? Parce qu’une trajectoire de conformité plus lisible évite de transformer NIS2 en usine à gaz. On sait mieux qui est concerné, quels incidents déclarer, et quelles mesures de gestion des risques mettre en place. Résultat : moins de temps perdu à interpréter le texte, plus de temps consacré à sécuriser ce qui compte vraiment.
Dans les faits, cela permet d’intégrer NIS2 dans une gouvernance cybersécurité réaliste, au même titre qu’ISO 27001 ou le Référentiel Cyber France de l’ANSSI. Pour une PME, c’est aussi un levier commercial : une structure capable de démontrer une maturité NIS2 rassure les donneurs d’ordre, réduit les blocages en audit fournisseur et devient plus crédible dans les appels d’offres. Dit autrement : moins de friction, plus de chances de signer et de garder le contrat.
Le point intéressant, c’est que la conformité n’est plus seulement un coût défensif. Bien menée, elle devient un accélérateur de business. Cartographie des actifs essentiels, procédures d’incident, sécurisation des sous-traitants, documentation propre : ce sont des briques qui servent à la fois la résilience et la vente.
La Vigilance
Attention toutefois à ne pas confondre allègement et relâchement. NIS2 reste une directive exigeante, avec des sanctions potentiellement très lourdes et une responsabilité des dirigeants clairement engagée. Le texte proposé doit encore être négocié, adopté, puis transposé dans le droit national. En clair : les règles peuvent encore bouger, et elles ne seront pas forcément identiques d’un pays à l’autre.
Autre piège classique : se tromper de catégorie. Entre entités essentielles, importantes et prestataires critiques, la frontière peut être floue. Pour une PME placée dans la supply chain d’un grand donneur d’ordre, une mauvaise lecture du périmètre peut conduire à sous-estimer l’effort réel. Et là, la facture grimpe vite : remédiation en urgence, audits supplémentaires, clauses contractuelles plus dures, voire perte d’un marché.
Dernier point à surveiller : les obligations de reporting, notamment en cas de ransomware. Plus de transparence, c’est mieux pour la sécurité collective, mais cela impose des process solides pour éviter les dérapages juridiques, assurantiels ou réputationnels.
Le Point Conformité
Sur le fond, NIS2 ne vit pas en silo. Pour une PME, se mettre à niveau sur la gestion des risques, les contrôles d’accès, la journalisation et la réponse à incident renforce mécaniquement le socle RGPD et, pour les entreprises suisses ou internationales, la nLPD. Si vous déployez aussi de l’IA dans un environnement critique, il faudra articuler ces exigences avec l’AI Act pour éviter les doublons et garder une gouvernance cohérente.
Conclusion & L’Accompagnement Cohesium
La bonne lecture de cette évolution est simple : NIS2 devient moins intimidante, mais toujours structurante. Pour les PME ambitieuses, c’est le bon moment pour transformer une contrainte réglementaire en avantage concurrentiel.
Plutôt que de bricoler, Cohesium AI peut vous accompagner avec un pack NIS2 pour PME : audit de positionnement NIS2/RGPD/nLPD, conseil en hébergement souverain et, si besoin, automatisation des obligations opérationnelles et assistants IA pour la veille, la preuve et les audits. Contactez-nous