Quand on parle de NIS2 avec des dirigeants de PME, la réaction la plus courante c'est un haussement de sourcils perplexe suivi d'un "c'est quoi ce truc ?". Et pourtant. La directive NIS2 (Network and Information Security 2) est la plus ambitieuse réglementation européenne en matière de cybersécurité jamais adoptée. Transposée en droit français depuis octobre 2024, elle concerne potentiellement plus de 15 000 entités en France — et peut-être la vôtre.
NIS2 en 30 secondes : ce qui change
La directive NIS1 de 2016, c'était 300 opérateurs en France — les gros, les critiques, les évidentes (énergie, transport, santé). NIS2 multiplie le périmètre par 50. Pourquoi ? Parce que la chaîne de valeur numérique ne se limite pas aux grands groupes. Quand un sous-traitant d'un hôpital se fait pirater et que c'est le système de rendez-vous qui tombe, c'est NIS2 qui entre en jeu.
Pour les entreprises qui veulent comprendre le contexte global, notre guide cybersécurité 2026 pose les fondamentaux.
Êtes-vous concerné ? Les critères de classification
NIS2 distingue deux catégories d'entités :
Entités essentielles (EE)
Grandes entreprises (250+ salariés ou CA > 50M€) dans les secteurs critiques : énergie, transports, banque, santé, eau potable, infrastructures numériques, administration publique, espace. Les obligations sont maximales, les sanctions aussi.
Entités importantes (EI)
Moyennes entreprises (50+ salariés ou CA > 10M€) dans un spectre de secteurs élargi : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication, fournisseurs numériques (cloud, SaaS, marketplaces, moteurs de recherche), recherche. Les obligations sont similaires mais proportionnées.
Le piège des tailles
Attention : même si votre entreprise fait moins de 50 salariés, vous pouvez être concerné si vous êtes fournisseur de services DNS, registre de noms de domaine, prestataire de services de confiance, ou fournisseur de réseaux de communications électroniques. L'ANSSI peut aussi désigner des entités spécifiques indépendamment de leur taille si elles sont jugées critiques.
Les 10 obligations concrètes
Assez de théorie. Voici ce que NIS2 vous demande concrètement de mettre en place :
1. Gouvernance de la cybersécurité
La direction de l'entreprise doit approuver les mesures de cybersécurité et superviser leur mise en œuvre. Ce n'est plus le sujet du DSI seul — c'est un sujet de COMEX. Les dirigeants doivent suivre une formation en cybersécurité. Oui, le CEO aussi.
2. Analyse des risques
Identifier et évaluer les risques cyber qui pèsent sur vos systèmes d'information. Pas un audit one-shot : un processus continu, documenté, revu au moins annuellement.
3. Gestion des incidents
Mettre en place une procédure de détection, analyse et réponse aux incidents de sécurité. Ça inclut la capacité à détecter rapidement, à contenir l'incident, et à restaurer les services.
4. Notification des incidents
C'est l'obligation la plus contraignante. En cas d'incident significatif, vous devez notifier l'ANSSI dans un calendrier serré :
- 24 heures : alerte préliminaire ("on a un problème")
- 72 heures : notification complète (nature de l'incident, impact, mesures prises)
- 1 mois : rapport final détaillé
Un "incident significatif", c'est un incident qui cause une perturbation opérationnelle grave ou des pertes financières importantes. Le seuil exact est précisé par l'ANSSI pour chaque secteur.
5. Continuité d'activité
Plan de continuité (PCA) et plan de reprise d'activité (PRA) documentés et testés. Incluant la gestion des sauvegardes et la reprise après sinistre. Si votre PCA date de 2019 et n'a jamais été testé... c'est le moment.
6. Sécurité de la chaîne d'approvisionnement
Évaluer les risques liés à vos fournisseurs et prestataires. Ça signifie des clauses de sécurité dans les contrats, des audits de vos fournisseurs critiques, et une cartographie des dépendances. Si votre hébergeur cloud se fait pirater, c'est votre problème aussi.
7. Sécurité dans l'acquisition et le développement
Intégrer la sécurité dans le cycle de vie des systèmes : "security by design". Gestion des vulnérabilités, tests de sécurité, mises à jour documentées.
8. Évaluation de l'efficacité
Tester régulièrement l'efficacité de vos mesures de cybersécurité. Audits, tests d'intrusion, exercices de crise. Pas juste une checklist qu'on coche une fois par an.
9. Hygiène cyber et formation
Former vos collaborateurs aux bonnes pratiques. L'humain reste le maillon faible — 90% des attaques commencent par un email de phishing. NIS2 rend cette formation obligatoire, pas optionnelle.
10. Chiffrement et contrôle d'accès
Politiques de chiffrement des données sensibles, gestion des identités et des accès (IAM), authentification multi-facteurs. Notre guide sur la mise en place du 2FA est un bon point de départ.
Les sanctions : ça pique
NIS2 a des dents. Les sanctions possibles :
| Type d'entité | Amende maximale | Sanctions additionnelles |
|---|---|---|
| Entité essentielle | 10 M€ ou 2% du CA mondial | Suspension temporaire de certification, interdiction d'exercer pour les dirigeants |
| Entité importante | 7 M€ ou 1,4% du CA mondial | Injonctions de mise en conformité, astreintes |
Le montant retenu est le plus élevé entre le montant fixe et le pourcentage du CA. Pour une ETI à 100 millions de CA, l'amende peut atteindre 2 millions d'euros. Et la nouveauté NIS2 : les dirigeants peuvent être personnellement tenus responsables en cas de manquement grave. Ça change la perspective quand c'est votre patrimoine personnel qui est en jeu.
Calendrier de mise en conformité
La transposition française est effective depuis octobre 2024. L'ANSSI a prévu une période de mise en conformité progressive :
- 2025 : enregistrement des entités sur la plateforme MonEspaceNIS2 de l'ANSSI, nomination d'un référent cybersécurité
- 2026 : mise en œuvre des mesures techniques et organisationnelles, premiers contrôles de l'ANSSI sur les entités essentielles
- 2027 : pleine application, contrôles systématiques, premières sanctions possibles
Si vous n'avez pas encore commencé, vous êtes en retard. Mais pas désespérément — l'ANSSI a indiqué qu'elle privilégierait l'accompagnement à la sanction pendant la période de montée en puissance.
Plan d'action pour les PME/ETI
Concrètement, si vous êtes DSI ou dirigeant d'une entreprise potentiellement concernée, voici les premières étapes :
Mois 1-2 : Vérifiez si vous êtes dans le périmètre NIS2 (critères secteur + taille). Inscrivez-vous sur MonEspaceNIS2. Nommez un référent cybersécurité.
Mois 3-4 : Réalisez un état des lieux de votre posture cybersécurité. Gap analysis entre votre situation actuelle et les exigences NIS2. Identifiez les chantiers prioritaires.
Mois 5-8 : Lancez les chantiers : analyse de risques formalisée, procédures d'incident, PCA/PRA, formation des collaborateurs, revue de la chaîne fournisseurs.
Mois 9-12 : Test et audit des mesures mises en place. Exercice de crise cyber. Documentation complète pour l'ANSSI.
Budget à prévoir : comptez entre 50 000 et 200 000€ pour une ETI de taille moyenne, principalement en conseil, outillage et formation. C'est un investissement conséquent, mais c'est aussi le prix de la résilience face à des cyberattaques dont le coût moyen dépasse les 100 000€ en France.
NIS2 est contraignant ? Oui. Nécessaire ? Absolument. Quand on voit le nombre de PME françaises paralysées par des ransomwares chaque semaine, on se dit que la réglementation arrive même un peu tard. Autant la prendre comme une opportunité de structurer sa cybersécurité plutôt que comme une corvée administrative de plus.