La directive NIS2 est entrée en vigueur en Europe en octobre 2024. Sa transposition en droit français est en cours — et des milliers d’entreprises sont potentiellement concernées sans en avoir encore conscience.
Contrairement à son prédécesseur NIS1, qui ne touchait qu’une centaine d’opérateurs stratégiques, NIS2 étend considérablement son périmètre. On parle désormais de dizaines de milliers d’entités en France — des grandes entreprises mais aussi des ETI, des PME sous-traitantes et des administrations.
Ce guide détaille les obligations concrètes de NIS2, les entreprises concernées et les premières actions à entreprendre pour se mettre en conformité — sans attendre que les sanctions tombent.
Qu’est-ce que la directive NIS2 ?
NIS2 — Network and Information Security 2 — est une directive européenne adoptée en décembre 2022 et entrée en application en octobre 2024. Elle remplace et élargit considérablement la première directive NIS de 2016, dont le périmètre était jugé trop étroit face à l’évolution des cybermenaces.
Son objectif est clair : renforcer la résilience cyber des organisations européennes en imposant un socle commun d’exigences en matière de gestion des risques, de notification des incidents et de gouvernance de la sécurité.
En France, la transposition est pilotée par l’ANSSI. Le cadre légal définitif est attendu courant 2025-2026, mais les organisations ont tout intérêt à anticiper dès maintenant — les délais de mise en conformité sont courts et les obligations, substantielles.
Qui est concerné ?
NIS2 distingue deux catégories d’entités — les entités essentielles et les entités importantes — selon leur taille, leur secteur et leur criticité.
Les entités essentielles couvrent les secteurs hautement critiques : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, administration publique et espace.
Les entités importantes couvrent des secteurs critiques élargis : services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques et recherche.
Le critère de taille s’applique dans la plupart des cas — les entreprises de plus de 50 salariés ou plus de 10 millions d’euros de chiffre d’affaires dans ces secteurs sont potentiellement concernées.
Le point souvent oublié pour les PME : même si vous ne rentrez pas directement dans ces catégories, vous pouvez être concerné en tant que sous-traitant d’une entité essentielle ou importante. NIS2 impose en effet des exigences sur la sécurité de la chaîne d’approvisionnement — vos clients grands comptes peuvent vous demander de vous conformer.
Pour les entreprises d’Île-de-France qui souhaitent être accompagnées dans cette démarche, ce prestataire cybersécurité basé en Île-de-France propose des audits de conformité NIS2 adaptés à la taille et aux contraintes des PME et ETI.
Les obligations concrètes
NIS2 impose un socle d’obligations que les entités concernées doivent mettre en place. Voici les principales.
Gouvernance de la sécurité
Les dirigeants sont directement responsables de la mise en œuvre des mesures de cybersécurité. Ils doivent approuver les politiques de sécurité, superviser leur application et suivre des formations spécifiques. La cybersécurité n’est plus un sujet délégué au seul responsable IT — c’est une responsabilité de direction.
Gestion des risques
L’organisation doit mettre en place une analyse de risques formalisée, couvrant les systèmes d’information, les données critiques et les dépendances vis-à-vis des tiers. Cette analyse doit être documentée et révisée régulièrement.
Notification des incidents
En cas d’incident significatif, les délais de notification sont stricts — alerte initiale à l’ANSSI sous 24 heures, rapport détaillé sous 72 heures, rapport final sous un mois. Ces délais sont courts et nécessitent des procédures de détection et d’escalade préparées à l’avance.
Continuité d’activité
Les entités doivent disposer de plans de continuité et de reprise d’activité — sauvegardes testées, procédures de crise documentées, scénarios de reprise validés.
Sécurité de la chaîne d’approvisionnement
Évaluation de la sécurité des fournisseurs et sous-traitants, clauses contractuelles de sécurité, contrôle des accès tiers.
Mesures techniques minimales
Authentification multifacteur, chiffrement des données, gestion des correctifs, surveillance continue des systèmes.
Les sanctions en cas de non-conformité
NIS2 introduit un régime de sanctions significativement plus sévère que son prédécesseur.
Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel — le montant le plus élevé s’appliquant. Pour les entités importantes, le plafond est fixé à 7 millions d’euros ou 1,4% du CA mondial.
Mais la nouveauté la plus marquante de NIS2 est la responsabilité personnelle des dirigeants. En cas de manquement grave, les personnes physiques exerçant des fonctions de direction peuvent être tenues personnellement responsables — avec interdiction temporaire d’exercer des fonctions dirigeantes dans les cas les plus sérieux.
Ce n’est plus seulement l’entreprise qui est exposée. C’est le dirigeant lui-même.
Par où commencer ?
Face à l’étendue des obligations NIS2, la tentation est de repousser le sujet. C’est précisément ce qu’il ne faut pas faire — les délais de mise en conformité sont courts et les actions à mener sont nombreuses.
Première étape : savoir si vous êtes concerné
Vérifiez votre secteur d’activité, votre taille et vos relations avec des entités réglementées. L’ANSSI met à disposition des outils d’autoévaluation sur son site. En cas de doute, consultez un expert.
Deuxième étape : réaliser un audit de conformité
Cartographiez vos systèmes d’information, identifiez vos actifs critiques, évaluez vos pratiques actuelles face aux exigences NIS2. Cet audit révèle les écarts à combler et permet de prioriser les actions.
Troisième étape : construire un plan d’action priorisé
Gouvernance, gestion des risques, notification des incidents, continuité d’activité — chaque pilier nécessite des actions concrètes. Un plan priorisé par urgence et par impact permet d’avancer méthodiquement sans se disperser.
Conclusion
NIS2 n’est pas une contrainte administrative de plus — c’est un signal fort que la cybersécurité est désormais une responsabilité de direction, pas un sujet technique délégué au service informatique.
Les entreprises qui anticipent ont un avantage réel : elles construisent une posture de sécurité solide avant d’y être contraintes, évitent les sanctions et renforcent la confiance de leurs clients et partenaires.
Celles qui attendent s’exposeront à des délais de mise en conformité sous pression, des coûts d’urgence plus élevés — et potentiellement à des sanctions dont la responsabilité remontera jusqu’au dirigeant.
NIS2 entre en vigueur. La question n’est plus de savoir si vous devez vous conformer. C’est quand vous allez commencer.
À propos de l'auteur
