Loi sur la cybersécurité 2026 : ce que chaque PME doit savoir maintenant

La Chambre des représentants néerlandaise a débattu de la loi sur la cybersécurité le 23 mars. Les votes sont attendus dans les semaines à venir. S'ils sont positifs — et tout le monde s'y attend — la loi entre en vigueur au deuxième trimestre 2026. C'est dans quelques mois.

La loi sur la cybersécurité est la transposition néerlandaise de la directive européenne NIS2. L'objectif : renforcer la résilience numérique des organisations. Cela semble abstrait ? Ça ne l'est pas. Car cette loi touche directement environ 10 000 organisations aux Pays-Bas. Et via l'obligation de chaîne, un multiple de ce nombre. Il y a de grandes chances que votre entreprise en fasse partie.

Trois obligations que vous devez connaître

La loi sur la cybersécurité repose sur trois piliers. Chaque organisation qui en relève doit se conformer aux trois.

1. Devoir de diligence

Vous devez prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour garantir la sécurité de vos systèmes de réseau et d'information. Cela signifie : effectuer une analyse des risques, élaborer une politique de sécurité, organiser la gestion des incidents et former les employés. Pas une seule fois, mais en continu.

2. Obligation de notification

En cas d'incident cyber significatif, vous devez faire une première notification au CSIRT (Computer Security Incident Response Team) ou à l'autorité de contrôle dans les 24 heures. Dans les 72 heures suit une notification plus détaillée. C'est rapide. Si vous n'avez pas de procédure d'incident actuellement, vous êtes déjà en retard quand ça tourne mal.

3. Obligation d'enregistrement

Les organisations qui relèvent de la loi doivent s'enregistrer auprès de l'Inspection de l'Infrastructure Numérique (RDI). Ainsi, l'autorité de contrôle sait qui est concerné et peut effectuer un contrôle ciblé.

Qui est concerné ?

La loi distingue les entités essentielles et les entités importantes. Les entités essentielles sont des organisations dans des secteurs comme l'énergie, les transports, la santé, l'eau potable et l'infrastructure numérique. Les entités importantes sont actives dans des secteurs comme les services postaux et de courrier, le traitement des déchets, la production alimentaire, la chimie et les fournisseurs numériques.

Mais voici ce qui est intéressant pour les PME. La loi s'applique en principe aux organisations de taille moyenne et grande dans ces secteurs. Les petites entreprises de moins de 50 employés et de moins de 10 millions d'euros de chiffre d'affaires sont dans la plupart des cas exemptées.

Pourtant, en tant que petite entreprise, vous ne pouvez pas vous reposer sur vos lauriers. Et cela a tout à voir avec la chaîne.

La responsabilité de chaîne : pourquoi ça vous concerne aussi

La loi sur la cybersécurité oblige les organisations qui en relèvent à garantir la sécurité de toute leur chaîne. Cela signifie qu'elles vont imposer des exigences à leurs fournisseurs. Et si vous fournissez à une entreprise qui relève de la loi, vous recevrez ces exigences sur votre bureau.

Cela se produit déjà. Des entreprises comme Fourtop ICT signalent une nette augmentation des demandes d'entreprises qui ne relèvent pas directement de NIS2, mais qui fournissent à des clients qui eux en relèvent. Les questions arrivent : « Avez-vous une politique de sécurité ? Comment gérez-vous les incidents ? Pouvez-vous le prouver ? »

En tant qu'installateur qui fournit à un hôpital. En tant que prestataire IT pour une entreprise de transport. En tant que traiteur pour une entreprise énergétique. En tant que comptable pour une société de distribution d'eau. La chaîne est plus longue que vous ne le pensez.

Les dirigeants personnellement responsables

C'est peut-être l'aspect le plus marquant de la loi. Les dirigeants sont tenus personnellement responsables des manquements en matière de cybersécurité de leur organisation. Pas l'entreprise. Vous personnellement.

En cas de négligence, les dirigeants peuvent non seulement recevoir des amendes, mais aussi être temporairement écartés de leur fonction. Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé.

La direction doit approuver l'analyse des risques, superviser l'exécution des mesures et suivre elle-même une formation en cybersécurité. « J'ai mon gars IT pour ça » n'est plus une excuse valable.

Trois échéances cette année à retenir

2026 sera l'année de la conformité numérique. Outre la loi sur la cybersécurité, il y a deux autres échéances qui touchent les PME :

T2 2026 : Loi sur la cybersécurité (NIS2). La loi entre en vigueur après approbation par les deux chambres. Effet direct pour les entités essentielles et importantes. Effet de chaîne pour les fournisseurs.

2 août 2026 : Obligation de formation AI Act européen. Toute entreprise utilisant des systèmes d'IA doit s'assurer que ses employés maîtrisent suffisamment l'IA. Amendes jusqu'à 35 millions d'euros.

Août 2026 : AI Act européen pleinement en vigueur. Les obligations complètes pour les systèmes d'IA à haut risque deviennent contraignantes. Cela inclut l'IA dans le recrutement, l'évaluation de crédit et le service client.

Trois lois, un message : la conformité numérique n'est plus optionnelle.

Cinq étapes pour vous préparer

Vous n'avez pas besoin d'obtenir une certification ISO 27001 pour commencer. Mais ne rien faire n'est plus une option. Voici ce que vous pouvez entreprendre ce mois-ci :

1. Déterminez si vous êtes concerné

Faites le NIS2-Quickscan sur le site de la RDI. Il vous dit en quelques minutes si votre organisation relève directement de la loi. Ce n'est pas le cas ? Vérifiez alors si vous fournissez à des organisations qui en relèvent.

2. Effectuez une analyse des risques

Cartographiez quels systèmes vous utilisez, où se trouvent vos données, qui y a accès et ce qui se passe si un système tombe en panne. Vous n'avez pas besoin d'engager un cabinet coûteux. Commencez par les bases : quels systèmes sont critiques ? Que se passe-t-il si votre e-mail est en panne pendant une semaine ? Que se passe-t-il si des données clients se retrouvent dans la nature ?

3. Établissez une procédure d'incident

Qui appelle qui quand ça va mal ? Qui a le mandat de fermer des systèmes ? Où sont les sauvegardes ? Si vous ne pouvez pas répondre à ces questions en cinq minutes, vous avez du travail. La loi exige une notification dans les 24 heures — alors vous devez savoir quoi faire.

4. Formez vos employés

Le maillon le plus faible en cybersécurité est presque toujours l'humain. Phishing, mots de passe faibles, appareils non sécurisés. Une courte formation fait une différence énorme. Cela rejoint aussi l'obligation de maîtrise de l'IA qui entre en vigueur en août.

5. Documentez tout

Sans documentation, vous ne pouvez pas prouver que vous avez pris des mesures. Consignez quels risques vous avez identifiés, quelles mesures vous avez prises et quand vous avez formé vos employés. Lors d'un contrôle ou après un incident, c'est votre preuve.

Que coûte l'inaction ?

Soyons honnêtes : la probabilité que la RDI frappe à votre porte demain est faible. Mais les risques sont plus réels que vous ne le pensez.

Un client qui demande si vous êtes conforme NIS2 et vous n'avez pas de réponse. Un incident cyber où vous ne savez pas qui appeler. Un dirigeant tenu personnellement responsable parce qu'il n'y avait pas de politique de sécurité. Une relation fournisseur qui s'arrête parce que vous ne pouvez pas répondre aux exigences de la chaîne.

Les coûts de la préparation sont une fraction des coûts d'un incident. Le dommage moyen d'une cyberattaque pour une PME se situe entre 50 000 et 250 000 euros. Une analyse des risques et une politique de sécurité, c'est une affaire.

Commencez aujourd'hui

La loi sur la cybersécurité n'est pas une surprise. L'UE a publié la directive NIS2 en 2022. Les Pays-Bas ont eu quatre ans pour la transposer en législation nationale. Les votes ont lieu maintenant. L'entrée en vigueur suivra rapidement.

Les entreprises qui se préparent maintenant ont trois avantages. Elles sont conformes quand la loi entre en vigueur. Elles peuvent montrer à leurs clients qu'elles prennent la cybersécurité au sérieux. Et elles sont résilientes face aux menaces qui existent de toute façon, loi ou pas.

Vous voulez savoir où en est votre entreprise ? Contactez-nous pour un Scan IA gratuit. Nous cartographions quels risques numériques vous courez, si vous relevez de la loi sur la cybersécurité et quelles étapes prendre en premier. Concret, pratique et sans jargon juridique.