Guide

NIS2 et DORA : votre PME n’est pas concernée ? Et si vous aviez tort

09/03/2026 - 9 min
Dirigeant de PME sous-traitante sans DSI
Comprendre pourquoi les réglementations NIS2 et DORA peuvent toucher votre PME, même en tant que sous-traitant, et comment s'y préparer.

Vous dirigez une PME de services, d’informatique ou d’industrie. Vous avez peut-être entendu parler de NIS2 ou de DORA, ces nouvelles réglementations européennes sur la cybersécurité. Et vous vous êtes probablement dit : « C’est pour les grands groupes, pas pour nous. » Le problème, c’est que vos clients, eux, sont peut-être directement concernés. Et ils vont bientôt vous demander des comptes. Ce guide vous aide à comprendre si vous êtes dans le viseur, ce que vous risquez concrètement et comment vous mettre au niveau sans refondre tout votre système d’information.

Sommaire :

Pourquoi NIS2 et DORA concernent aussi les PME sous-traitantes

NIS2 et DORA sont deux réglementations européennes entrées en application entre 2025 et 2026. Leur objectif commun : renforcer la cybersécurité des entreprises face à la multiplication des attaques. NIS2 cible 18 secteurs considérés comme critiques (énergie, santé, transport, numérique, agroalimentaire…) et concerne directement les entreprises de plus de 50 salariés ou 10 millions d’euros de chiffre d’affaires. DORA, de son côté, s’applique aux acteurs du secteur financier (banques, assurances, fintech) et à leurs prestataires informatiques.

Jusque-là, rien d’inquiétant pour une PME de 20 ou 30 personnes. Sauf que ces deux textes imposent aux entreprises régulées de sécuriser l’ensemble de leur chaîne de sous-traitance. Autrement dit, si vous fournissez un service informatique, un logiciel, de l’hébergement ou une prestation technique à un client soumis à NIS2 ou DORA, ce client devra s’assurer que vous aussi respectez un certain niveau de sécurité. C’est ce qu’on appelle « l’effet de ricochet ».

Ignorer ce sujet, c’est prendre le risque de perdre des marchés, de recevoir des questionnaires de conformité auxquels vous ne savez pas répondre ou de voir certains clients vous remplacer par un prestataire mieux préparé.

Signes que votre PME est potentiellement exposée

  • Certains de vos clients travaillent dans la santé, l’énergie, le transport, la banque ou l’industrie
  • Vous hébergez, traitez ou avez accès à des données sensibles pour le compte de tiers
  • Vous avez reçu (ou allez recevoir) des questionnaires de sécurité de la part de vos clients
  • Vos contrats commerciaux ne comportent aucune clause liée à la cybersécurité
  • Vous n’avez pas de procédure formalisée en cas d’incident informatique
  • Vous ne savez pas précisément quels prestataires gèrent vos propres données sensibles

NIS2 et DORA : ce qui change concrètement pour un sous-traitant

Pour bien comprendre l’impact sur votre activité, voici les principales exigences que vos clients régulés vont devoir appliquer (et donc répercuter sur vous).

Les 5 points communs à retenir

Ces cinq exigences reviennent dans les deux textes :

  • Gouvernance : un responsable identifié pour la sécurité informatique, une analyse des risques réalisée au moins une fois par an.
  • Gestion des incidents : savoir quoi faire en cas de problème, qui prévenir, dans quel délai (NIS2 impose une alerte dans les 24 heures).
  • Sécurité de base du système d’information : authentification renforcée, sauvegardes régulières testées, mises à jour appliquées, gestion des accès.
  • Chaîne de sous-traitance : vérifier la sécurité de vos propres prestataires (hébergeur, infogérant, éditeurs d’outils dont vous dépendez).
  • Formalisation contractuelle : clauses de cybersécurité dans les contrats, documentation minimale (politique de sécurité, registre des risques, procédure d’incident).

Comparaison rapide NIS2 / DORA côté sous-traitant

CritèreNIS2DORACe que ça veut dire pour vous
Qui est visé directement18 secteurs critiques, +50 salariés ou +10M€ CASecteur financier et prestataires informatiquesMême en dessous des seuils, vos clients peuvent vous imposer des exigences
Obligation sur la chaîne de sous-traitanceOui, sécurisation obligatoire des fournisseursOui, audits annuels des prestataires critiquesAttendez-vous à des questionnaires et des audits
Notification d’incidentAlerte 24h + rapport 72h à l’ANSSIDéclaration aux autorités financièresVous devrez avoir une procédure claire et testée
SanctionsJusqu’à 10M€ ou 2% du CA mondialAmendes pouvant atteindre 1% du CA journalier moyenLe risque principal pour vous : perdre un client, plus que l’amende directe
Calendrier FranceLoi Résilience T1 2026, décrets T2, contrôles 2027Application depuis janvier 2025L’horloge commerciale tourne déjà

Vous ne savez pas si vos clients sont concernés ?

30 minutes pour faire le point sur votre exposition et vos priorités.

Évaluer ma situation

Êtes-vous « présentable » face à un client régulé ?

Maintenant que vous comprenez les exigences, la question est : où en êtes-vous aujourd’hui ? Voici un mini-diagnostic rapide.

8 questions pour évaluer votre niveau

  • Utilisez-vous l’authentification à deux facteurs pour vos emails et outils sensibles ?
  • Vos sauvegardes sont-elles automatisées, stockées hors ligne et testées régulièrement ?
  • Avez-vous un inventaire à jour de vos prestataires informatiques et de ce qu’ils gèrent pour vous ?
  • Savez-vous qui contacter et quoi faire en cas d’incident de sécurité ?
  • Vos contrats avec vos clients et fournisseurs comportent-ils des clauses de cybersécurité ?
  • Quelqu’un dans votre entreprise est-il formellement responsable de la sécurité informatique ?
  • Vos mises à jour logicielles et systèmes sont-elles appliquées dans un délai raisonnable ?
  • Avez-vous déjà documenté, même de façon simple, votre politique de sécurité ?

Si vous avez répondu « non » à plus de 4 questions, il y a un vrai travail de fond à engager avant de recevoir un questionnaire client.

Profil A : « Plutôt prêt, mais rien n’est formalisé »

Vous appliquez déjà de bonnes pratiques (sauvegardes, mises à jour, mots de passe solides), mais rien n’est écrit. En cas d’audit ou de questionnaire client, vous n’avez rien à montrer. Le travail consiste surtout à documenter ce qui existe déjà et à combler quelques trous.

Profil B : « On n’a jamais vraiment regardé le sujet »

Pas de procédure d’incident, des sauvegardes incertaines, des accès partagés, aucun suivi des prestataires. Le risque de blocage commercial est réel si un client régulé vous envoie un questionnaire demain. Il faut structurer les bases avant tout.

Besoin d'y voir plus clair ?

Évaluez en moins de 10 minutes les angles morts de votre infrastructure.

Auto-diagnostic

Comment se mettre au niveau sans tout refaire

Se conformer aux exigences de base ne signifie pas investir des dizaines de milliers d’euros ou recruter un responsable sécurité. Pour une PME, il s’agit de mettre en ordre les fondamentaux techniques et de poser un minimum de documentation autour.

Notre approche en 4 étapes

Nous intervenons en quatre étapes.

Clarifier votre exposition : on identifie ensemble si vos clients sont soumis à NIS2 ou DORA et ce que ça implique pour vous. C’est la première question à trancher et elle conditionne tout le reste.

Faire l’état des lieux : on passe en revue vos pratiques actuelles — sauvegardes, accès, prestataires, procédures. Pas un audit formel de conformité, mais un diagnostic concret de ce qui tient la route et ce qui manque.

Mettre à niveau les fondamentaux techniques : authentification renforcée, sauvegardes testées, gestion des accès, mises à jour. Ce sont des actions réalisables en quelques semaines, qui couvrent les exigences de base des deux textes.

Formaliser le minimum nécessaire : 2 à 3 documents simples (politique de sécurité, procédure d’incident, registre des prestataires) et des clauses types pour vos contrats. De quoi répondre à un questionnaire client.

À la fin de ce travail, vous comprenez votre situation, vous savez quoi montrer à vos clients et vous disposez des procédures pour maintenir le niveau dans le temps.

Les erreurs à ne pas commettre

4 pièges fréquents pour les PME sur ce sujet

Première erreur : attendre qu’un client pose la question. Quand le questionnaire arrive, il est souvent trop tard pour réagir sereinement. Anticiper, c’est garder la main.

Deuxième erreur : confondre « pas concerné directement » et « pas concerné du tout ». Même si votre PME n’entre pas dans le périmètre NIS2 ou DORA, vos clients régulés vous imposeront leurs exigences. C’est mécanique.

Troisième erreur : ignorer sa propre chaîne de sous-traitance. NIS2 et DORA imposent de vérifier la sécurité de vos fournisseurs. Si votre hébergeur ou votre éditeur de logiciel n’est pas au niveau, c’est votre responsabilité.

Quatrième erreur : investir dans un outil miracle plutôt que dans les bases. Avant d’acheter un logiciel de sécurité coûteux, vérifiez que vos mots de passe ne sont pas sur un post-it et que vos sauvegardes fonctionnent. Les fondamentaux d’abord.

Un exemple concret

Une PME de services informatiques de 15 personnes, sous-traitante d’un groupe industriel soumis à NIS2, reçoit un questionnaire de conformité cybersécurité de son client. Elle applique déjà de bonnes pratiques au quotidien, mais n’a rien de documenté. Résultat : elle ne peut pas répondre au questionnaire dans les délais et le client menace de ne pas renouveler le contrat. En structurant ses pratiques existantes (politique de sécurité écrite, procédure d’incident, registre des prestataires, clauses contractuelles), elle a pu répondre au questionnaire en trois semaines et sécuriser la relation commerciale. Pas de révolution technique, juste de la méthode et de la formalisation.

Ce que ce sujet implique pour votre PME

NIS2 et DORA ne sont pas réservées aux grands groupes. Par effet de chaîne, ces réglementations touchent aussi les PME qui travaillent pour des clients régulés. Le risque principal n’est pas l’amende mais de perdre un marché ou de ne pas savoir répondre à un questionnaire de conformité. Se préparer ne demande pas des moyens démesurés : il s’agit de mettre en ordre les fondamentaux, de formaliser quelques documents simples et de comprendre sa propre exposition.

Pour les aspects strictement juridiques ou la certification formelle de conformité, un accompagnement spécialisé (juriste, responsable sécurité certifié) peut venir compléter ce travail de fond. Mais le premier pas (comprendre où vous en êtes et sécuriser les bases) est un chantier que vous pouvez engager maintenant.

Faire le point sur votre exposition

Échange de 30 minutes pour clarifier votre situation et vos priorités, sans engagement.

Planifier un échange