Le seuil officiel de NIS2 commence à 50 salariés ou 10 millions d’euros de chiffre d’affaires. À première lecture, les TPE françaises sont donc majoritairement hors champ. Pourtant, un nombre important de TPE de moins de 50 salariés sont concernées par la directive, soit directement par leur activité, soit indirectement via la chaîne d’approvisionnement. Cet article explique précisément les cas où une TPE doit se conformer à NIS2, et propose un plan d’action proportionné à sa taille.
Le mythe du « moins de 50, on est tranquilles »
Beaucoup de dirigeants de TPE se sont rassurés en lisant le seuil principal de NIS2. La logique est apparemment imparable : moins de 50 salariés et moins de 10 M€ de CA, donc hors champ. Cette lecture rapide rate trois mécanismes essentiels par lesquels NIS2 s’applique aussi aux structures plus petites.
Premier mécanisme : les entités concernées quel que soit leur effectif. La directive prévoit explicitement qu’un certain nombre d’opérateurs critiques sont concernés indépendamment de leur taille. Le critère n’est pas l’effectif mais la criticité de l’activité pour la société.
Deuxième mécanisme : la chaîne d’approvisionnement. Comme nous l’avons détaillé dans d’autres articles, l’article 21 de la directive impose aux entités essentielles et importantes de sécuriser leur chaîne d’approvisionnement. Concrètement, vos clients donneurs d’ordre régulés peuvent vous imposer la conformité par contrat, peu importe votre taille.
Troisième mécanisme : les obligations sectorielles connexes. Certaines TPE sont soumises à des obligations de cybersécurité au titre d’autres régimes (santé HDS, finance ACPR, défense LPM…). Ces obligations existent indépendamment de NIS2 mais s’articulent souvent avec elle.
Les TPE concernées indépendamment de leur effectif
Voici la liste des activités qui font basculer une TPE dans le champ direct de NIS2, quelle que soit sa taille.
Opérateurs DNS et registres de noms de domaine : même un opérateur DNS de 5 personnes est concerné. Pertinent pour les bureaux d’enregistrement, les opérateurs DNS récursifs, les opérateurs de DNS managé, les registres de noms TLD.
Points d’échange Internet (IXP) : les opérateurs d’IXP sont concernés indépendamment de la taille.
Fournisseurs de services managés (MSP) : c’est probablement la catégorie la plus large. Sont visés les MSP au sens « fournisseurs de services managés et de services managés de sécurité, dont la prestation présente un caractère critique ». Concrètement, les MSP qui gèrent l’IT de leurs clients (infogérance, infogérance partielle, supervision réseau, gestion d’identités managée, opérateurs de SOC) sont concernés. Beaucoup de petites ESN exercent en réalité une activité de MSP qui les fait basculer dans le champ.
Prestataires de services de confiance : autorité de certification, signature électronique, horodatage, identification électronique. Soumis au règlement eIDAS et désormais à NIS2.
Certains opérateurs de communications électroniques : opérateurs téléphoniques, FAI, opérateurs de communications inter-personnelles. La transposition française précisera les seuils ; en pratique, beaucoup d’opérateurs régionaux moyens sont concernés.
Certaines administrations publiques : selon la transposition française, certains organismes publics même de petite taille peuvent être concernés.
Pour ces activités, la taille n’est pas un argument. Une TPE de 8 personnes opérant un service DNS managé est concernée NIS2 au même titre qu’un opérateur de 500 personnes. Les obligations sont adaptées à la taille (politique plus simple, contrôles dimensionnés), mais elles existent.
La chaîne d’approvisionnement, principal vecteur pour les TPE
Pour la majorité des TPE concernées, le mécanisme principal est la chaîne d’approvisionnement. L’effet est massif : une TPE de 8 personnes qui sous-traite pour un grand donneur d’ordre régulé peut se voir demander une conformité NIS2 contractuelle au même titre qu’une PME de 200 personnes.
Les secteurs particulièrement concernés par cette pression contractuelle sont :
- sous-traitants industriels des grands acteurs régulés (énergie, chimie, agroalimentaire critique, fabricants d’équipements médicaux),
- prestataires de services aux entreprises régulées (cabinets d’expertise comptable, cabinets d’avocats, BET techniques, agences de communication ayant accès à des données sensibles),
- prestataires numériques travaillant avec des donneurs d’ordre régulés (agences web, ESN, hébergeurs, infogéreurs),
- fournisseurs logistiques des opérateurs essentiels.
Comment savoir si vous êtes concerné
Voici quatre questions pratiques pour trancher.
Question 1 — Mon activité figure-t-elle parmi les entités concernées quel que soit l’effectif ? Si vous opérez un service DNS, IXP, MSP, MSSP, prestataire de confiance, opérateur de communications électroniques : oui, vous êtes concerné directement.
Question 2 — Ai-je un client donneur d’ordre régulé ? Si vous fournissez un industriel listé NIS2, un hôpital, un opérateur télécom, un fournisseur cloud, une banque, une assurance, et que ce client représente une part significative de votre chiffre d’affaires : très probablement, vous serez concerné indirectement.
Question 3 — Ai-je reçu une communication NIS2 d’un client ? Email mentionnant la directive, questionnaire fournisseur sécurité, avenant contractuel : c’est le signal que votre client est concerné et qu’il vous transfère une partie de son obligation.
Question 4 — Suis-je dans un secteur listé NIS2 sans dépasser les seuils ? Vous êtes hors champ direct mais la pression viendra probablement par les assureurs, les banquiers ou les nouveaux clients dans les 12-24 mois.
Plan d’action proportionné pour une TPE concernée
Bonne nouvelle : la directive prévoit explicitement que les obligations doivent être proportionnées à la taille de l’entité. Pour une TPE, cela se traduit par un effort de mise en conformité allégé par rapport à une PME plus grande.
Politique de sécurité : 6 à 10 pages, focalisée sur les principes essentiels (qui fait quoi, quels contrôles principaux, comment réagir en cas d’incident). Approuvée par le dirigeant, revue annuellement.
Analyse de risques : un tableau Excel suffit pour identifier les 10-15 risques principaux et leurs traitements. Pas besoin de méthodologie EBIOS RM complète.
Gestion des incidents : une procédure d’une page expliquant qui prévient qui, comment notifier l’ANSSI dans les délais, quels sont les contacts critiques (banque, assureur, prestataire IT). Un exercice annuel suffit.
Continuité d’activité : sauvegardes immuables avec test de restauration documenté, plan B pour les services critiques (alternative cloud, prestataire de secours). Pas besoin d’un PCA de 100 pages.
Chaîne d’approvisionnement : inventaire des fournisseurs critiques (10 à 20 pour une TPE), envoi d’un mini-questionnaire, mise à jour des contrats les plus sensibles.
Cyberhygiène et formation : 1 heure de sensibilisation annuelle pour tous, 4 à 8 heures par an pour le dirigeant. Charte informatique signée.
Cryptographie : HTTPS partout, chiffrement disque sur les postes, sauvegardes chiffrées.
MFA et contrôle d’accès : MFA généralisée sur les comptes administrateurs et les accès distants, MFA disponible sur les comptes utilisateurs. Procédure d’arrivée et de départ documentée.
L’effort total représente 3 à 6 semaines de travail sur 3 à 4 mois, et un budget externe de 2 000 à 5 000 € (pré-audit + audit + accompagnement léger). C’est largement à la portée d’une TPE.
Ce que NIS2 ne demande pas à une TPE
Pour rassurer, voici ce que NIS2 ne demande pas à une TPE.
Pas de RSSI dédié. Le pilotage cyber peut être assumé par le dirigeant, par un IT manager, ou délégué à un prestataire externe (vCISO).
Pas de SOC interne. Les fonctions de détection peuvent reposer sur des solutions managées externes (EDR managé, SIEM-as-a-service) ou sur les fonctionnalités natives des outils utilisés (Microsoft Defender, Google Workspace).
Pas de qualification PASSI. Sauf cas particuliers, l’audit peut être conduit par un prestataire non qualifié comme nous, à un coût bien moindre.
Pas d’ISO 27001. La directive n’exige pas la certification ISO. Une démarche structurée, documentée et tenue à jour suffit.
Pas de tests d’intrusion annuels. Sauf exigence contractuelle d’un donneur d’ordre, les tests d’intrusion ne sont pas obligatoires au sens NIS2 pour une TPE.
Cas où une TPE peut se permettre de ne rien faire
Soyons honnêtes : il existe des cas où une TPE peut raisonnablement décider de ne pas démarrer de démarche NIS2 immédiatement.
Vous êtes hors des secteurs listés et n’avez pas de client donneur d’ordre régulé. Votre clientèle est composée de particuliers et de TPE locales hors champ NIS2.
Vous êtes très petit (1-3 personnes), votre IT se résume à quelques outils SaaS standards (Google Workspace, Pennylane, etc.), et vous n’avez pas de données particulièrement sensibles.
Vous n’avez aucun contrat avec une entité régulée ni aucune perspective d’en avoir.
Dans ce cas, suivez les bonnes pratiques cyber de base (MFA, sauvegardes, sensibilisation) sans documentation lourde, et restez en veille sur les évolutions sectorielles. C’est suffisant.
Cas où la procrastination devient risquée
À l’inverse, voici les signaux d’alarme qui doivent vous faire démarrer immédiatement.
Un client important (> 20% de votre CA) vient de vous parler de NIS2 ou vous a envoyé un questionnaire fournisseur. Le contrat dépend potentiellement de votre réponse.
Vous opérez une activité concernée quel que soit l’effectif (DNS, MSP, services managés, etc.). L’absence de démarche est un risque réglementaire direct.
Votre cyber-assurance ne sera pas renouvelée sans preuve de niveau de sécurité minimal. Les assureurs s’alignent sur les exigences NIS2 en 2026.
Vous avez subi un incident dans les 12 derniers mois et n’avez pas formalisé un retour d’expérience. La probabilité de récidive sans changement structurel est élevée.
Conclusion
NIS2 ne concerne pas que les grandes structures. De nombreuses TPE françaises sont concernées soit directement par leur activité (MSP, DNS, prestataires de confiance, etc.), soit indirectement par la pression contractuelle de leurs donneurs d’ordre. La bonne nouvelle est que les obligations sont proportionnées à la taille : pour une TPE, une démarche structurée mais légère suffit, à un budget compris entre 2 000 et 5 000 € sur la première année.
La pire stratégie est d’attendre la première demande client en panique. Le bon réflexe est de prendre 30 minutes pour faire le quiz, de commander un pré-audit à 299 € pour positionner sa situation, et de planifier une démarche calibrée TPE en 3 à 4 mois.
Pour aller plus loin : le quiz NIS2 en 5 minutes, les 8 critères pour savoir si vous êtes concerné, et notre pré-audit à 299 € calibré pour les TPE.
Cet article vous concerne ?
Démarrez par un pré-audit à 299€, livré sous 48h. Vous repartez avec un plan d'action clair.