Si vous dirigez une entreprise de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans un secteur considéré comme critique ou important, la directive NIS2 vous concerne. Et les sanctions en cas de non-conformité peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. En 2026, ignorer NIS2 n'est plus une option — c'est un risque financier et juridique majeur. Pour approfondir, consultez notre article sur Attaques DDoS : comprendre, prévenir et réagir. Pour approfondir, consultez notre article sur Authentification à deux facteurs : pourquoi et comment la mettre en place. Pour approfondir, consultez notre article sur Comparatif des meilleurs antivirus pour entreprise en 2026.
NIS2, c'est quoi ?
NIS2 (Network and Information Security Directive 2) est la refonte de la directive européenne NIS de 2016. Adoptée en janvier 2023 et devant être transposée en droit national par octobre 2024, elle renforce considérablement les exigences de cybersécurité pour un nombre beaucoup plus large d'organisations.
Là où NIS1 ne concernait qu'environ 300 entités en France (les Opérateurs de Services Essentiels), NIS2 élargit le périmètre à environ 15 000 à 20 000 entités. C'est un changement d'échelle radical qui touche des secteurs entiers de l'économie.
Pour approfondir, consultez notre article : Attaques DDoS : comprendre, prévenir et réagir.
L'objectif est clair : face à la multiplication des cyberattaques (rançongiciels, attaques sur les chaînes d'approvisionnement, espionnage industriel), l'Union européenne veut imposer un socle minimum de cybersécurité à toutes les organisations qui jouent un rôle important dans l'économie et la société.
- Déterminer si votre entreprise est classée entité essentielle ou importante
- Réaliser une analyse de risques complète de votre système d'information
- Mettre en place un plan de gestion des incidents cyber avec notification sous 24 heures
- Sécuriser votre chaîne d'approvisionnement et auditer vos fournisseurs critiques
- Former vos dirigeants et employés aux obligations NIS2
Qui est concerné ?
NIS2 distingue deux catégories d'entités :
Voir également : Comparatif des meilleurs antivirus pour entreprise en 2026.
Entités essentielles (EE)
Les grandes organisations (250+ salariés ou CA > 50 M euros) opérant dans les secteurs hautement critiques : énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administrations publiques, espace.
Les entités essentielles sont soumises au régime de supervision le plus strict, avec des contrôles proactifs de l'ANSSI.
Entités importantes (EI)
Les organisations moyennes (50+ salariés ou CA > 10 M euros) dans les secteurs critiques et importants : services postaux, gestion des déchets, produits chimiques, denrées alimentaires, fabrication de dispositifs médicaux, produits informatiques et électroniques, machines, véhicules, recherche.
Les entités importantes sont soumises à un régime de supervision réactif — les contrôles n'ont lieu qu'en cas d'incident ou de signalement.
Point crucial : même si votre entreprise ne remplit pas directement les critères de taille, vous pouvez être concerné en tant que sous-traitant ou fournisseur d'une entité essentielle ou importante. NIS2 impose en effet une gestion des risques liés à la chaîne d'approvisionnement.
Les obligations concrètes
Gouvernance
La direction de l'entreprise est personnellement responsable de la conformité NIS2. Ce n'est plus uniquement l'affaire du RSSI ou du DSI. Les dirigeants doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité. En cas de manquement grave, ils peuvent être tenus personnellement responsables.
C'est un changement culturel majeur. La cybersécurité sort du domaine technique pour entrer dans la gouvernance d'entreprise, au même titre que la conformité financière ou le RGPD.
Mesures de gestion des risques
NIS2 impose un ensemble de mesures de sécurité que toute entité concernée doit mettre en œuvre :
Analyse de risques et politique de sécurité. Identifier les risques pesant sur vos systèmes d'information et définir une politique de sécurité proportionnée. Pas de modèle unique — les mesures doivent être adaptées à votre contexte.
Gestion des incidents. Des procédures de détection, de gestion et de notification des incidents de sécurité. Vous devez être capable de détecter un incident, de le contenir et de le résoudre dans des délais raisonnables.
Continuité d'activité. Plans de continuité et de reprise, gestion des sauvegardes, plans de gestion de crise. Si votre SI tombe, comment continuez-vous à opérer ?
Sécurité de la chaîne d'approvisionnement. Évaluer et gérer les risques liés à vos fournisseurs et sous-traitants. C'est l'une des nouveautés les plus impactantes de NIS2.
Sécurité dans l'acquisition et la maintenance des systèmes. Intégrer la sécurité dès la conception (security by design) et maintenir les systèmes à jour.
Chiffrement. Utilisation du chiffrement et de la cryptographie là où c'est approprié.
Contrôle d'accès et gestion des actifs. Savoir qui a accès à quoi, inventorier les actifs informationnels, appliquer le principe du moindre privilège.
Authentification multi-facteurs. MFA obligatoire pour les accès critiques.
Notification des incidents
C'est l'obligation la plus contraignante en termes de délais :
Alerte précoce : dans les 24 heures suivant la détection d'un incident significatif, vous devez notifier l'ANSSI avec une première évaluation.
Notification d'incident : dans les 72 heures, une notification complète avec évaluation initiale de la gravité et de l'impact.
Rapport final : dans le mois suivant la notification, un rapport détaillé incluant les causes, les mesures prises et les leçons tirées.
Ces délais sont stricts. Cela signifie que vous devez avoir les processus, les outils et les compétences pour détecter un incident, l'évaluer et rédiger une notification en moins de 24 heures. Pour beaucoup d'organisations, c'est un défi majeur.
Les sanctions
NIS2 a des dents. Les sanctions sont alignées sur le RGPD en termes de dissuasion :
Entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le plus élevé des deux).
Entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel.
Au-delà des amendes, les autorités peuvent ordonner la suspension temporaire de certaines activités, publier les manquements (name and shaming), et dans les cas les plus graves, interdire temporairement à un dirigeant d'exercer des fonctions de direction.
Comment se mettre en conformité
Étape 1 : Déterminer si vous êtes concerné
Vérifiez les critères de taille (50+ salariés ou 10M+ euros de CA) et le secteur d'activité. L'ANSSI met à disposition un outil d'auto-évaluation sur son site. Si vous êtes fournisseur d'une entité concernée, renseignez-vous sur les exigences contractuelles qui pourraient vous être imposées.
Étape 2 : Réaliser un audit de maturité
Évaluez votre niveau actuel de cybersécurité par rapport aux exigences NIS2. Identifiez les écarts. Cet audit peut être réalisé en interne si vous avez les compétences, ou par un prestataire spécialisé (des cabinets comme Wavestone, Orange Cyberdefense ou Sopra Steria proposent des audits NIS2).
Étape 3 : Élaborer une feuille de route
Priorisez les actions en fonction des risques et des écarts identifiés. Les quick wins d'abord (MFA, sauvegardes, mises à jour), puis les projets structurants (analyse de risques formelle, plan de continuité, gestion des incidents).
Étape 4 : Impliquer la direction
Présentez les enjeux (financiers, juridiques, opérationnels) à la direction. Obtenez leur engagement formel et les budgets nécessaires. Rappelez que leur responsabilité personnelle est engagée.
Étape 5 : Mettre en œuvre et documenter
Déployez les mesures techniques et organisationnelles. Documentez tout : politiques, procédures, preuves de mise en œuvre. La documentation est essentielle pour démontrer la conformité lors d'un contrôle.
Étape 6 : Tester et améliorer
Testez vos procédures d'incident avec des exercices de crise. Faites des tests d'intrusion. Vérifiez vos sauvegardes. La conformité n'est pas un état statique — c'est un processus d'amélioration continue.
NIS2 et RGPD : complémentaires, pas redondants
NIS2 et RGPD se chevauchent mais ne se remplacent pas. Le RGPD protège les données personnelles, NIS2 protège les systèmes d'information dans leur ensemble. Une entreprise peut être conforme RGPD mais pas NIS2, et inversement. Les deux exigent une analyse de risques, mais le périmètre est différent.
La bonne nouvelle : si vous êtes déjà conforme RGPD, vous avez une base solide pour NIS2. Les processus de gouvernance, la gestion des risques et la notification des incidents sont des concepts familiers.
| Critère | Entité essentielle | Entité importante |
|---|---|---|
| Taille minimale | 250 employés ou 50M€ CA | 50 employés ou 10M€ CA |
| Amende maximale | 10M€ ou 2% CA mondial | 7M€ ou 1,4% CA |
| Notification incident | 24h alerte + 72h rapport | 24h alerte + 72h rapport |
| Audit obligatoire | Oui, régulier | Sur demande |
L'opportunité derrière la contrainte
NIS2 est souvent perçu comme une contrainte réglementaire de plus. Mais c'est aussi une opportunité. Les entreprises qui investissent dans leur cybersécurité sont plus résilientes, plus attractives pour les clients et les partenaires, et mieux préparées face aux incidents qui, statistiquement, finiront par arriver.
Le coût de la conformité NIS2 est significatif, certes. Mais il est sans commune mesure avec le coût d'une cyberattaque réussie : en France, le coût moyen d'une violation de données atteint 4,2 millions d'euros en 2025. Sans compter la perte de confiance des clients, l'interruption d'activité et les éventuelles sanctions réglementaires. Investir dans la cybersécurité, c'est investir dans la pérennité de votre entreprise.