NIS2 et ReCyF : le guide complet de mise en conformité cybersécurité pour les PME des Hauts-de-France en 2026

Une PME industrielle de 80 salariés près de Valenciennes peut, depuis l'entrée en vigueur de la directive européenne NIS2, être sanctionnée jusqu'à 7 millions d'euros si elle ne respecte pas ses obligations cybersécurité. Pourtant, selon une étude DPO Partage de mars 2026, 74 % des PME françaises restent sous le niveau de sécurité recommandé par l'ANSSI. Et le calendrier est serré : la mise en conformité doit être effective avant le 17 octobre 2026 pour éviter les sanctions. Ce guide opérationnel détaille les obligations NIS2, le nouveau référentiel ReCyF publié le 17 mars 2026, et les leviers concrets pour les PME des Hauts-de-France.

NIS2 : qui est concerné en Hauts-de-France ?

La directive NIS2, transposée en droit français en 2024, concerne deux catégories d'entités : les entités essentielles (EE) et les entités importantes (EI). Les premières incluent les opérateurs de l'énergie, du transport, de la santé, de l'eau, des infrastructures numériques et des administrations publiques. Les secondes couvrent les services postaux, la gestion des déchets, l'industrie manufacturière (chimie, agroalimentaire, équipements), la production agricole et plusieurs activités de service. Concrètement, pour relever du périmètre, une entreprise doit en général employer plus de 50 salariés ou réaliser plus de 10 millions d'euros de chiffre d'affaires annuel, et exercer dans un des 18 secteurs visés par la directive. L'ANSSI estime à 15 000 à 18 000 le nombre d'entités françaises directement concernées, contre 500 sous l'ancienne directive NIS1. Les Hauts-de-France concentrent une proportion importante de ces entités du fait de leur tissu industriel : sites Toyota Onnaing, Renault Douai, Bonduelle, Roquette, Lesaffre, mais aussi tout un écosystème de sous-traitants automobiles, agroalimentaires et logistiques qui dépassent les seuils. Côté santé, les CHU de Lille et d'Amiens, les cliniques privées et les EHPAD de plus grande taille sont eux aussi dans le viseur. À cela s'ajoutent les opérateurs de transport (TER, fret SNCF, ports de Calais et Boulogne) et les collectivités territoriales de plus de 30 000 habitants.

Les 4 piliers d'obligations NIS2

Pilier 1 — Gouvernance. Le dirigeant est personnellement responsable de la conformité cyber et doit être formé. La directive impose la nomination d'un référent cyber, qui peut être un RSSI à temps plein ou partiel selon la taille. Un comité de pilotage cyber doit se réunir au minimum une fois par an avec rapport au comité de direction. Pilier 2 — Gestion des risques. Une analyse de risques doit être documentée, mise à jour annuellement et couvrir tous les actifs critiques (systèmes d'information, données, processus métier). Les mesures de réduction des risques doivent être proportionnées et inclure : politique de mots de passe, authentification multi-facteurs, sauvegardes hors-ligne testées, gestion des correctifs, segmentation réseau, contrôle des accès, et plan de continuité d'activité. Pilier 3 — Notification d'incidents. Tout incident ayant un impact significatif doit être notifié à l'ANSSI dans un délai de 24 heures (alerte précoce), 72 heures (notification complète) et un mois (rapport final). Le périmètre des « incidents significatifs » est défini par décret et concerne notamment les indisponibilités de services, les fuites de données et les rançongiciels. Pilier 4 — Formation et sensibilisation. L'ensemble des collaborateurs doit suivre une formation cybersécurité annuelle. Pour les profils techniques (DSI, RSSI, administrateurs système), la formation continue doit être attestée. La sensibilisation au phishing par campagnes simulées est explicitement recommandée par le ReCyF.

Le ReCyF — comment le décliner concrètement

Le Référentiel Cyber France (ReCyF), publié par l'ANSSI le 17 mars 2026, est un document opérationnel qui liste les mesures à mettre en œuvre pour atteindre les objectifs de NIS2. Il est structuré en 21 thématiques couvrant l'organisation, les opérations et la résilience. Pour chaque mesure, le ReCyF précise un niveau d'exigence (de base, renforcé, élevé) et donne des exemples de mise en œuvre. Le Monde Informatique a publié une analyse détaillée du document : pour une PME de 100 salariés, le « profil de base » comporte environ 80 mesures à implémenter, dont la moitié sont déjà couvertes si l'entreprise applique sérieusement le RGPD et la norme ISO 27001. La nouveauté principale concerne la chaîne d'approvisionnement : la PME doit désormais s'assurer que ses fournisseurs IT (hébergeur, prestataire SaaS, mainteneur) appliquent eux aussi un niveau de sécurité cohérent. Le ReCyF est doté d'un outil de comparaison qui permet de croiser ses exigences avec celles d'ISO 27001, NIST CSF, HDS ou PCI-DSS. Pour les PME déjà certifiées sur l'un de ces référentiels, le travail consiste donc à identifier les écarts (« gap analysis ») plutôt qu'à reconstruire de zéro.

Coûts réels et structuration interne

Selon plusieurs études convergentes (ISI Sec, Hexanet, Numeum), le coût annuel de la mise en conformité NIS2 pour une PME se situe entre 25 000 et 200 000 euros. La fourchette dépend principalement de trois facteurs : la maturité initiale de la fonction sécurité, la complexité du système d'information et le recours ou non à un prestataire externe. Pour une PME industrielle type des Hauts-de-France (80-150 salariés, 1 site, applications métiers internalisées), un budget réaliste de mise en conformité initiale tourne autour de 60 à 90 k€ : 25-30 k€ pour un audit de gap analysis, 20-25 k€ pour les outils techniques (EDR, SIEM mutualisé, MFA), 15-25 k€ pour la mise à jour des procédures et la formation. À cela s'ajoutent 30 à 50 k€ par an de fonctionnement (RSSI à temps partagé, abonnements, audits annuels). La structuration interne dépend de la taille. En dessous de 100 salariés, mutualiser un RSSI à temps partagé via un CCI ou un réseau professionnel est efficace. Entre 100 et 300, un RSSI à temps plein devient indispensable. Au-delà, une équipe SOC interne ou externalisée s'impose. Dans tous les cas, le DPO et le RSSI doivent travailler main dans la main, RGPD et NIS2 partageant 60 % de leurs exigences techniques.

Aides régionales et accompagnement Hauts-de-France

Bpifrance Cyber. Le programme Bpifrance Cyber propose un diagnostic flash gratuit (« Diag Cybersécurité ») et des subventions pouvant aller jusqu'à 50 % du coût d'une mission de sécurisation, plafonnées à 50 k€. Les PME peuvent en bénéficier via l'antenne Bpifrance de Lille. EuraTechnologies CYB. Le pôle EuraTechnologies à Lille héberge un cluster cybersécurité regroupant une trentaine d'entreprises spécialisées. Pour une PME, c'est un point d'entrée efficace pour identifier des prestataires de proximité, plutôt que de passer par des intégrateurs nationaux dont les délais sont saturés en 2026. Région Hauts-de-France. La Région a déployé un fonds Cyber Booster qui co-finance les missions d'accompagnement à hauteur de 30 % pour les PME industrielles. Les CCI de Lille, Amiens et Arras animent par ailleurs des permanences NIS2 mensuelles. Campus Cyber. Le réseau national des Campus Cyber, dont la déclinaison régionale s'installe à Euratechnologies, fournit des outils mutualisés (kits de sensibilisation, contrats-type fournisseurs, plans de réponse à incident) qui réduisent considérablement le coût d'entrée pour les PME.

Calendrier de mise en conformité 2026

Pour une PME qui démarre en avril 2026, le calendrier réaliste est le suivant. Mai 2026 : diagnostic flash gratuit Bpifrance Cyber, identification du périmètre NIS2 applicable, désignation du référent cyber. Juin-juillet 2026 : audit de gap analysis sur le ReCyF, par un prestataire qualifié PASSI ou équivalent. Août-septembre 2026 : mise en place des mesures techniques prioritaires (MFA, sauvegardes, gestion des correctifs, segmentation réseau). Octobre 2026 : entrée en vigueur effective des sanctions, déclaration au registre ANSSI, notification du référent cyber. Novembre-décembre 2026 : campagne de formation et de sensibilisation à l'ensemble des collaborateurs, simulation d'incident, mise à jour de la PSSI (Politique de Sécurité du Système d'Information). Le maintien de la conformité est ensuite annuel : audit, mise à jour de l'analyse de risques, formation.

Cas concret : PME industrielle de 120 salariés à Saint-Quentin

Pour illustrer, prenons une PME fictive de 120 salariés à Saint-Quentin, sous-traitante automobile, deux sites de production, ERP internalisé. Au démarrage : un DSI d'origine, pas de RSSI, sauvegardes locales mensuelles, pas de MFA. Coût initial estimé pour atteindre le niveau « de base » du ReCyF : 75 k€ HT, dont 20 k€ d'audit, 25 k€ d'outils (EDR, MFA, sauvegardes externalisées), 15 k€ de procédures et 15 k€ de formation. Couplé aux subventions Bpifrance Cyber (40 % retenu) et au fonds régional Cyber Booster (30 %), le reste à charge tombe à environ 22 k€. Un investissement absorbable sur 24 mois pour éviter une sanction maximale qui pourrait atteindre 200 k€ ou 1 % du CA.

Vidéo : webinaire NIS2 et cybersécurité

FAQ — NIS2, ReCyF et cybersécurité PME

Mon entreprise est-elle concernée par NIS2 ?

Si votre entreprise emploie plus de 50 salariés ou réalise plus de 10 millions d'euros de chiffre d'affaires, et opère dans un des 18 secteurs visés (industrie, santé, énergie, transport, services numériques, agroalimentaire, etc.), elle est très probablement concernée. L'ANSSI met à disposition un outil d'auto-diagnostic en ligne sur cyber.gouv.fr.

Quelles sanctions en cas de non-conformité ?

Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % du CA pour les entités importantes. À cela s'ajoute la responsabilité personnelle du dirigeant, qui peut être engagée.

Quelle différence entre NIS2 et RGPD ?

Le RGPD protège les données personnelles, NIS2 protège les systèmes d'information et la continuité des services essentiels. Les deux réglementations sont complémentaires et partagent environ 60 % des exigences techniques. Une entreprise déjà conforme RGPD a une longueur d'avance sur NIS2.

Faut-il obligatoirement un RSSI pour être conforme ?

Pas un RSSI dédié à temps plein dans les petites structures, mais un référent cyber identifié et formé est obligatoire. Pour les PME de moins de 100 salariés, le RSSI à temps partagé via un CCI ou un cabinet spécialisé est un montage fréquent et économique.

Combien de temps faut-il pour se mettre en conformité ?

Pour une PME qui démarre de zéro, comptez 6 à 9 mois entre le diagnostic initial et la mise en conformité du niveau de base du ReCyF. Pour une entreprise déjà certifiée ISO 27001 ou ayant une démarche RGPD avancée, ce délai descend à 3-4 mois. Sources : ANSSI — Directive NIS2 — Le Monde Informatique — Publication ReCyF mars 2026 — Bpifrance — Diag Cybersécurité — EuraTechnologies — Région Hauts-de-France.