NIS2, c'est quoi en 30 secondes ?

NIS2 est une directive européenne de cybersécurité adoptée en 2022 qui remplace la directive NIS1 de 2016. Son objectif : obliger les entreprises et administrations qui font tourner l'économie européenne à prendre la cybersécurité au sérieux — avec des obligations concrètes et des sanctions en cas de non-conformité.

En France, la transposition est en cours via la « Loi Résilience », adoptée par le Sénat en mars 2025 et actuellement en cours d'examen à l'Assemblée nationale. L'entrée en vigueur effective est attendue courant 2026, avec un délai de mise en conformité de 3 ans après la promulgation de la loi.

Mais ne vous y trompez pas : l'ANSSI recommande de commencer dès maintenant. Les obligations de fond sont déjà définies dans la directive européenne, et les contrôles démarreront dès la fin du délai de transition.

Suis-je concerné ? Les 3 critères à vérifier

NIS2 fonctionne sur la combinaison de trois critères cumulatifs. Si vous cochez les trois, vous êtes dans le périmètre.

Critère 1 — Localisation

Votre entreprise fournit des services ou exerce ses activités au sein de l'Union européenne. Le siège peut être hors UE, c'est l'activité qui compte.

Critère 2 — Secteur d'activité

Votre activité relève de l'un des 18 secteurs listés dans les annexes de la directive. NIS2 distingue deux niveaux :

Secteurs hautement critiques (Annexe I) → « Entités Essentielles »

  • Énergie (électricité, gaz, pétrole, hydrogène, réseaux de chaleur)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Banque et infrastructures des marchés financiers
  • Santé (hôpitaux, labos, fabrication de médicaments, dispositifs médicaux)
  • Eau potable et eaux usées
  • Infrastructures numériques (Cloud, datacenters, DNS, CDN, hébergeurs)
  • Gestion des services TIC B2B (MSP, MSSP)
  • Administration publique
  • Espace

Autres secteurs critiques (Annexe II) → « Entités Importantes »

  • Services postaux et de courrier
  • Gestion des déchets
  • Chimie (fabrication, production, distribution)
  • Agroalimentaire (production, transformation, distribution en gros)
  • Fabrication (dispositifs médicaux, informatique, électronique, machines, véhicules)
  • Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
  • Recherche

Critère 3 — Taille de l'entreprise

Votre entreprise dépasse les seuils de la moyenne entreprise européenne :

  • Entité Importante (EI) : au moins 50 salariés OU chiffre d'affaires/bilan annuel supérieur à 10 M€
  • Entité Essentielle (EE) : au moins 250 salariés OU CA supérieur à 50 M€ ET bilan supérieur à 43 M€
Attention : certaines entités sont couvertes quelle que soit leur taille : fournisseurs de services DNS, registres de noms de domaine, prestataires de confiance qualifiés, opérateurs de télécommunications, administrations publiques. Et si vous êtes fournisseur d'une entité régulée, attendez-vous à ce que NIS2 vous impacte indirectement via des exigences contractuelles de cybersécurité imposées par votre client.

Pour vérifier rapidement votre situation, l'ANSSI met à disposition un outil d'autoévaluation gratuit : MonEspaceNIS2.

Entité Essentielle vs Entité Importante : quelle différence ?

Les obligations de fond sont les mêmes pour les deux catégories. Ce qui change, c'est l'intensité de la supervision et le niveau des sanctions :

Entité Essentielle (EE) Entité Importante (EI)
Supervision Proactive (contrôles et audits même sans incident) Réactive (contrôles déclenchés après un incident)
Sanctions max 10 M€ ou 2 % du CA mondial 7 M€ ou 1,4 % du CA mondial
Responsabilité des dirigeants Personnelle, avec possible interdiction d'exercer Personnelle

En résumé : si vous êtes « Essentielle », l'ANSSI peut venir vérifier vos mesures à tout moment. Si vous êtes « Importante », les contrôles viendront principalement en cas d'incident. Mais dans les deux cas, les obligations techniques sont identiques.

Que dois-je faire concrètement ?

La directive définit 10 mesures minimales de gestion des risques cyber (article 21), obligatoires pour toutes les entités régulées. En France, l'ANSSI les déclinera en 20 objectifs de sécurité pour les EE et 15 pour les EI. Voici ce que ça couvre concrètement :

1. Analyse des risques et politique de sécurité

Disposer d'une politique de sécurité formalisée, basée sur une analyse des risques documentée. Ce n'est pas un document qui dort dans un tiroir : il doit refléter vos risques réels et être revu régulièrement.

2. Gestion des incidents

Mettre en place des processus de prévention, détection et réponse aux incidents. NIS2 impose des délais de notification stricts à l'ANSSI :

  • 24 heures : alerte initiale après détection d'un incident significatif
  • 72 heures : notification détaillée avec évaluation d'impact
  • 1 mois : rapport final avec mesures de remédiation

3. Continuité d'activité

Plan de sauvegarde, plan de reprise après sinistre, gestion de crise. Vous devez pouvoir démontrer que vous avez anticipé les scénarios de rupture.

4. Sécurité de la chaîne d'approvisionnement

Évaluer et documenter les risques cyber de vos fournisseurs et prestataires critiques. C'est l'une des nouveautés majeures de NIS2 : vos fournisseurs deviennent votre responsabilité.

5. Sécurité de l'acquisition, du développement et de la maintenance

Intégrer la sécurité dans le cycle de vie de vos systèmes d'information, incluant la gestion des vulnérabilités et les mises à jour.

6. Évaluation de l'efficacité des mesures

Tester et auditer régulièrement vos mesures de cybersécurité. C'est ici que les tests d'intrusion et les audits de sécurité prennent tout leur sens.

7. Hygiène cyber et formation

Sensibiliser et former l'ensemble des collaborateurs, y compris les dirigeants. NIS2 rend les membres de la direction personnellement responsables de la validation des mesures de gestion des risques. Ils doivent suivre des formations en cybersécurité.

8. Cryptographie et chiffrement

Mettre en œuvre des politiques d'utilisation de la cryptographie, incluant le chiffrement des données sensibles.

9. Sécurité des ressources humaines et gestion des accès

Contrôle d'accès, gestion des identités, principe du moindre privilège, gestion des comptes à privilèges.

10. Authentification forte et communications sécurisées

Déployer l'authentification multi-facteurs (MFA), les communications chiffrées et les systèmes de communications d'urgence sécurisés.

Point clé : ISO 27001 est un bon point de départ mais ne couvre pas automatiquement NIS2. L'ANSSI a estimé qu'ISO 27001 seul ne couvre que 2 des 20 objectifs de sécurité définis pour les entités essentielles. Il faut aller au-delà.

Mon plan d'action en 5 étapes

Étape 1 — Déterminer si vous êtes dans le périmètre

Utilisez MonEspaceNIS2, l'outil officiel de l'ANSSI. Le test prend moins de 10 minutes. Identifiez si vous êtes EE ou EI.

Étape 2 — Nommer un responsable et impliquer la direction

NIS2 rend les dirigeants personnellement responsables. La cybersécurité ne peut plus rester « un sujet de la DSI ». Désignez un responsable du projet de conformité, assurez-vous que la direction est formée et impliquée.

Étape 3 — Réaliser un état des lieux

Cartographiez votre SI, identifiez vos actifs critiques, réalisez une analyse de risques. Documentez l'écart entre vos pratiques actuelles et les exigences NIS2. Un audit de sécurité externe est souvent le moyen le plus efficace et le plus rapide de poser ce diagnostic.

Étape 4 — Construire votre feuille de route de remédiation

Priorisez les actions par criticité et par coût. Concentrez-vous d'abord sur les quick wins à fort impact : gestion des accès, MFA, sauvegardes, procédure de gestion d'incident. Puis planifiez les chantiers plus longs (gouvernance, supply chain, audits réguliers).

Étape 5 — S'enregistrer et se préparer aux contrôles

Dès que la loi sera promulguée, vous devrez vous enregistrer auprès de l'ANSSI via MonEspaceNIS2 avec votre SIREN, vos secteurs d'activité, votre effectif et vos coordonnées de contact pour les incidents. Les audits de conformité de l'ANSSI débuteront 3 ans après la promulgation.

Calendrier : où en est-on en France ?

  • Octobre 2024 : date limite de transposition (non respectée par la France)
  • Mars 2025 : adoption du projet de loi par le Sénat
  • Mai 2025 : la Commission européenne adresse un avis motivé à la France pour retard de transposition
  • 2026 : adoption définitive attendue par l'Assemblée nationale, promulgation de la loi et publication des décrets
  • 2026 + 3 ans : début des audits et contrôles de conformité par l'ANSSI
Le retard de la France ne signifie pas que vous avez du temps devant vous. L'ANSSI a été claire : les menaces n'attendent pas la loi. Commencer maintenant, c'est prendre de l'avance — pas être en avance.

Liens utiles

← Retour aux articles

Besoin d'un audit de sécurité ou d'un accompagnement sur mesure ?

Découvrir nos services →