Cybersécurité Publié le 27 avril 2026 · 7 min de lecture

NIS2 à La Réunion : qui est concerné en 2026 ?

La directive européenne NIS2 entre en application. Beaucoup de PME réunionnaises sont concernées sans le savoir. Voici un guide pratique pour identifier votre situation, comprendre les obligations et anticiper les contrôles ANSSI.

NIS2 : de quoi s'agit-il vraiment ?

NIS2 (Network and Information Security 2) est la directive européenne qui remplace NIS1 (2016). Elle a été adoptée en décembre 2022 et transposée en droit français par la loi du 30 avril 2025. Son objectif est de renforcer significativement la cybersécurité des entités essentielles et importantes pour le fonctionnement de l'économie et de la société.

Le changement majeur par rapport à NIS1, c'est l'élargissement massif du périmètre. Là où NIS1 ne concernait qu'environ 500 grandes entreprises et opérateurs en France, NIS2 multiplie ce chiffre par 20 — environ 10 000 entités sont désormais concernées, avec un nombre croissant de PME.

Qui est concerné à La Réunion ?

NIS2 s'applique à 18 secteurs d'activité, divisés en deux catégories : les "entités essentielles" (sanctions plus lourdes) et les "entités importantes". À La Réunion, aucun chiffre officiel n'a été publié, mais l'ordre de grandeur attendu est de plusieurs centaines de structures concernées, dont une majorité de PME.

Les secteurs particulièrement représentés sur l'île sont :

  • Santé : cliniques, laboratoires, pharmacies, fabricants de dispositifs médicaux. Concernés sans seuil minimum.
  • Agroalimentaire : entreprises de production alimentaire moyennes et grandes (canne, lait, eau, etc.).
  • Transport : transporteurs routiers et maritimes, logistique critique, port.
  • Eau et énergie : producteurs et distributeurs (très critiques sur une île).
  • Banque et finance : banques, assurances, compagnies financières.
  • Numérique : hébergeurs, éditeurs SaaS, fournisseurs de services managés. Cela inclut nous-mêmes en tant que prestataire IT — un point que beaucoup oublient.
  • Administration publique : collectivités, établissements publics au-dessus d'un certain seuil.
  • Production manufacturière : pharma, machines, électronique, dispositifs critiques.

Le seuil général est de 50 salariés ou 10 M€ de chiffre d'affaires. Mais attention : pour certains secteurs comme la santé, l'énergie ou les fournisseurs numériques critiques, il n'y a pas de seuil — toute entité est potentiellement concernée.

Les obligations principales

Si vous êtes concerné, NIS2 impose un ensemble de mesures techniques et organisationnelles. Les principales :

  1. Analyse de risques cyber documentée et mise à jour régulièrement.
  2. Mesures techniques de sécurité : EDR sur tous les postes, MFA généralisée, chiffrement, segmentation réseau, sauvegardes immuables, gestion des accès.
  3. Plan de continuité d'activité (PCA/PRA) documenté et testé au moins annuellement.
  4. Formation cybersécurité de tous les collaborateurs avec preuves (registres de présence).
  5. Notification d'incidents à l'ANSSI sous 24h pour les incidents significatifs, sous 72h pour les notifications complètes.
  6. Gestion de la chaîne d'approvisionnement : évaluation cyber de vos fournisseurs critiques, dont votre prestataire IT.
  7. Cryptographie et chiffrement des données sensibles, en transit et au repos.

Calendrier et contrôles ANSSI

La loi française est entrée en vigueur en 2025. L'ANSSI dispose de pouvoirs de contrôle élargis et commence ses inspections progressivement. Notre lecture : les premiers contrôles concrets visent 2026, avec une intensification en 2027.

Pour les entités essentielles, les contrôles peuvent être proactifs (sans incident préalable). Pour les entités importantes, ils sont généralement réactifs (suite à un incident ou un signalement). Mais dans les deux cas, l'absence de mise en conformité n'est plus une option.

Combien ça coûte de se mettre en conformité ?

Le coût d'une mise en conformité NIS2 varie fortement selon votre niveau de cybersécurité actuel, votre taille et votre secteur. Si vous partez de zéro, l'investissement initial est conséquent (audit, déploiement EDR, MFA, sauvegardes, PCA, formations, documentation). Si vous avez déjà une cybersécurité solide, l'effort est principalement documentaire et organisationnel. Le maintien annuel inclut audits récurrents, formations et mises à jour des procédures. Tout est chiffré sur devis après audit de positionnement.

Bonne nouvelle : beaucoup de mesures requises par NIS2 sont des bonnes pratiques de cybersécurité que toute entreprise devrait avoir, même sans obligation réglementaire. Donc l'investissement n'est pas perdu, il professionnalise votre IT.

Notre recommandation : ne pas attendre

Une mise en conformité NIS2 solide prend 6 à 12 mois. Plus vous démarrez tôt, mieux vous étalez les coûts et plus vous êtes prêts en cas de contrôle. À l'inverse, attendre le dernier moment ou un incident signifie payer plus cher (urgences, prestations expresses) et risquer les sanctions.

Notre approche : on commence par un audit de positionnement gratuit pour vérifier si vous êtes concerné et à quel niveau. Si oui, on établit un plan de mise en conformité priorisé et chiffré. Vous décidez ensuite de l'ampleur et du rythme.

À retenir

  • NIS2 élargit massivement le périmètre : plusieurs centaines de structures probablement concernées à La Réunion
  • 18 secteurs concernés : santé, agro, transport, énergie, finance, numérique, etc.
  • Seuil 50 salariés ou 10 M€ pour la plupart, sans seuil pour santé/énergie/critiques
  • Sanctions : jusqu'à 10 M€ ou 2% du CA mondial
  • Premiers contrôles ANSSI en 2026, intensification en 2027
  • Mise en conformité : 6 à 12 mois, investissement variable selon le niveau de départ

Questions fréquentes

Qu'est-ce que la directive NIS2 en 2026 ?
NIS2 est une directive européenne de cybersécurité adoptée en 2022 et transposée en France par la loi du 30 avril 2025. Elle impose des obligations de sécurité informatique à environ 10 000 entités en France, contre 500 pour NIS1. Les premiers contrôles ANSSI démarrent en 2026.
Combien d'entreprises sont concernées par NIS2 à La Réunion ?
Aucun chiffre officiel n'a été publié spécifiquement pour La Réunion à ce jour. Compte tenu de la part de l'île dans le tissu économique français et de la composition sectorielle locale (santé, agroalimentaire, transport, eau-énergie, finance, hébergement informatique, administration), un ordre de grandeur de plusieurs centaines d'entités concernées sur l'île est probable, contre quelques-unes seulement sous NIS1.
Quelles sont les sanctions NIS2 ?
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial. Pour les entités importantes : jusqu'à 7 millions ou 1,4% du CA. À cela s'ajoutent la responsabilité personnelle des dirigeants et la possibilité de suspension d'activité.

Vérifier votre situation NIS2 ?

Audit de positionnement gratuit. On vous dit si vous êtes concerné et à quel niveau.