La conformité NIS2 n’est pas une contrainte. C’est une décision.
Pendant longtemps, la cybersécurité a été perçue comme un coût. Une obligation subie. Un dossier qu’on ouvre après l’incident.
NIS2 change la donne : pas parce qu’elle l’impose, mais parce qu’elle oblige à regarder en face ce que beaucoup évitaient : une organisation qui ne maîtrise pas ses risques cyber est une organisation fragile. Fragile face aux attaquants, mais aussi face à ses clients, ses partenaires, ses assureurs.
Les entreprises qui abordent NIS2 avec sérieux ne font pas que cocher des cases. Elles construisent quelque chose de plus solide. Elles gagnent en clarté, en fiabilité, en capacité à tenir quand les autres vacillent.
C’est cela, la sérénité opérationnelle.
Ce que la conformité NIS2 attend de vous
NIS2 élargit le périmètre des organisations concernées et renforce les exigences sur quatre grands axes :
Ce n’est pas un texte réservé aux experts. C’est un cadre qui parle à votre COMEX, à vos équipes IT, à vos prestataires. Et qui, bien intégré, devient un avantage concurrentiel réel.
Notre accompagnement :
Nous travaillons sur NIS2 depuis ses premières versions. Nous connaissons ses exigences, ses zones de flexibilité, et les pièges dans lesquels tombent la plupart des organisations qui s’y attaquent seules.
Notre accompagnement se structure en trois temps, non pas pour respecter une méthodologie, mais parce que c’est l’ordre naturel des choses :
Comprendre avant d’agir. Nous commençons par évaluer votre niveau de maturité cyber réel : audit des pratiques, analyse de vos documents existants, cartographie de vos expositions. Sans ce diagnostic, toute mise en conformité est un pari.
Construire ce qui manque. Nous pilotons ou accompagnons la mise en place des mesures nécessaires — techniques, organisationnelles, contractuelles. Y compris la revue de vos contrats IT, souvent négligée et souvent problématique.
Tenir dans la durée. La conformité NIS2 n’est pas un projet avec une date de fin. C’est un état à maintenir. Nous assurons un suivi régulier, une validation annuelle, et la mise à jour de votre documentation au fil des évolutions.
Pour en savoir plus sur NIS2 :
L’organisation générale de NIS2
Les axes majeurs de NIS2 visent à renforcer la résilience, améliorer la gestion des risques, encourager la coopération transfrontalière, et garantir une réponse rapide aux cybermenaces. Le but est de sécuriser les infrastructures critiques tout en instaurant une approche harmonisée dans l’ensemble de l’Union européenne.
Pour cela, les axes majeurs de NIS2 sont :
- Renforcement des exigences de cybersécurité et mise en place d’un dispositif de gestion des risques liés aux TIC ;
- Signalement des incidents TIC et des cybermenaces ;
- Gestion de la chaîne d’approvisionnement et des risques liés aux prestataires ;
- Gestion des crises cyber ;
- Coopération renforcée au niveau européen.
Les types d’entreprises concernés par NIS2
NIS2 introduit des obligations en matière de cybersécurité pour un large éventail d’entreprises, mais elle inclut des dispositions spécifiques concernant la taille des entreprises soumises à ces obligations.
NIS2 cible principalement les grandes entreprises et certaines moyennes entreprises opérant dans des secteurs critiques. Les micro et petites entreprises sont généralement exemptées, sauf si elles jouent un rôle crucial dans des infrastructures essentielles. Les entreprises concernées doivent mettre en œuvre des mesures de gestion des risques de cybersécurité, notifier les incidents de sécurité, coopérer avec les autorités et partager les informations pertinentes pour améliorer la sécurité collective.
Grandes entreprises :
Le règlement NIS2 s’applique principalement aux grandes entreprises, définies comme celles qui remplissent au moins deux des critères suivants :
- Un effectif de plus de 250 personnes.
- Un chiffre d’affaires annuel supérieur à 50 millions d’euros.
- Un total de bilan annuel supérieur à 43 millions d’euros.
Entreprises moyennes :
Certaines entreprises de taille moyenne, qui remplissent les critères suivants, peuvent également être soumises aux obligations de la NIS2 si elles opèrent dans des secteurs critiques :
- Un effectif compris entre 50 et 250 personnes.
- Un chiffre d’affaires annuel entre 10 et 50 millions d’euros.
- Un total de bilan annuel entre 10 et 43 millions d’euros.
Les secteurs concernés :
Secteurs dits en « Annexe 1 »
- Secteur 01 : Énergie
- Secteur 02 : Transports
- Secteur 03 : Secteur bancaire
- Secteur 04 : Infrastructures des marchés financiers
- Secteur 05 : Santé
- Secteur 06 : Eau potable
- Secteur 07 : Eaux usées
- Secteur 08 : Infrastructure numérique
- Secteur 09 : Gestion des services TIC
- Secteur 10 : Administration publique
Secteurs dits en « Annexe 2 »
- Secteur 01 : Services postaux et d’expédition
- Secteur 02 : Gestion des déchets
- Secteur 03 : Fabrication, production et distribution de produits chimiques
- Secteur 04 : Production, transformation et distribution des denrées alimentaires
- Secteur 05 : Fabrication
- Secteur 06 : Fournisseurs numériques
- Secteur 07 : Recherche
Synthèse :
| Taille entité | Employés (X) | C.A. (M€) (Y) | Bilan (M€) (Z) | Annexe 1 | Annexe 2 |
|---|---|---|---|---|---|
| Intermédiaire et Grande | X>=250 | Y>= 50 | Z>= 43 | Entités Essentielles | Entités Importantes |
| Moyenne | 50>=X>=250 | 10>=Y>= 50 | 10>=Z>=43 | Entités Importantes | Entités Importantes |
| Micro et Petite | X<50 | Y<10 | Z<10 | Non concernées | Non concernées |
Quelques éléments « techniques »
Portée par la France pendant sa présidence du Conseil de l’Union européenne, cette directive, prise dans le prolongement de la directive dite « NIS1 » de 2016, prévoit un niveau commun plus élevé de cybersécurité dans l’ensemble de l’Union européenne applicable aux entités qualifiées comme essentielles ou importantes et l’étend à de nouvelles entités.
Cet élargissement est une conséquence de l’évolution de la menace cyber ses dernières années, qui était principalement étatique et vise à présent un nombre beaucoup plus élevé de victimes (PME, collectivités territoriales, hôpitaux, etc.). En France, le nombre d’entités concernées par cette directive passerait ainsi de 500 à près de 15 000, et de 6 secteurs d’activité à 18.
Le contexte politique français semblait avoir rendu cette adoption impossible dans le délai. « Le projet de loi de transposition est prêt depuis le printemps 2024, mais il n’a pas pu être examiné. On se donnera au moins trois ans avant d’exiger une conformité complète au cadre une fois qu’il sera posé, avant d’envisager des sanctions pour les manquements », explique Vincent Strubel, Directeur général de l’Anssi, dans une interview accordée à Banque Des Territoires en marge des Assises de la cybersécurité qui se sont déroulées du 9 au 11 octobre 2024.
Finalement la loi de transposition NIS2, nommée « Projet de loi résilience des infrastructures techniques et cybersécurité » a été présenté en Conseil des ministres le 16 octobre 2024. Cette loi ne sera d’application officielle qu’après son adoption définitive par les deux chambres (Assemblée Nationale et Sénat) puis le lendemain de sa publication au JORF. C’est donc à compter de la publication des décrets d’application ou des arrêtés que les mesures techniques de NIS 2 deviendront obligatoires entre entités régulées et prestataires sous-traitants.
Directive NIS2 :
- Entrée en vigueur : 16 janvier 2023.
- Transposition nationale : avant le 17 octobre 2024.
- NIS2 est la directive (UE) 2022/2555. Vous pouvez trouver son texte ici.
Projet de loi « Projet de loi résilience des infrastructures techniques et cybersécurité » :
- État de la transposition en France (mai 2026) : le projet de loi Résilience a été adopté au Sénat le 12 mars 2025, puis voté en commission spéciale à l’Assemblée nationale le 10 septembre 2025. Le vote en hémicycle est attendu pour juillet 2026, suivi des décrets d’application.
- L’ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), le document opérationnel de référence pour structurer une démarche de conformité NIS2 en France.
- Le projet de loi : Vous pouvez trouver son texte ici.
- L’exposé des motifs : Vous pouvez trouver son texte ici.
- L’avis du Conseil d’Etat : Vous pouvez trouver son texte ici.
- L’étude d’impact : Vous pouvez trouver son texte ici.
Processus 2025 d’Adoption / Transposition
Le contexte politique français semblait avoir rendu cette adoption impossible dans le délai. « Le projet de loi de transposition est prêt depuis le printemps 2024, mais il n’a pas pu être examiné. On se donnera au moins trois ans avant d’exiger une conformité complète au cadre une fois qu’il sera posé, avant d’envisager des sanctions pour les manquements », explique Vincent Strubel, Directeur général de l’Anssi, dans une interview accordée à Banque Des Territoires en marge des Assises de la cybersécurité qui se sont déroulées du 9 au 11 octobre 2024.
Finalement la loi de transposition NIS2, nommée « Projet de loi résilience des infrastructures techniques et cybersécurité » a été présenté en Conseil des ministres le 16 octobre 2024. Cette loi ne sera d’application officielle qu’après son adoption définitive par les deux chambres (Assemblée Nationale et Sénat) puis le lendemain de sa publication au JORF. C’est donc à compter de la publication des décrets d’application ou des arrêtés que les mesures techniques de NIS 2 deviendront obligatoires entre entités régulées et prestataires sous-traitants.
Signaux récents (2026) :
La transposition est toujours « en cours » et les obligations concrètes restent à finaliser.
Un report du calendrier a même été évoqué, avec une adoption potentiellement décalée.
Des travaux préparatoires existent (projets de décrets, référentiels ANSSI), mais ils ne sont pas juridiquement en vigueur.
NIS2 et le Digital Omnibus Package
La conformité NIS2 ne s’arrête pas au texte de la directive. Le Digital Omnibus Package, publié par la Commission européenne en novembre 2025, introduira quand il sera voté (fin 2026 ou 207, à l’état de proposition actuellement) une évolution majeure qui concernera directement toutes les entités soumises à NIS2, le guichet unique de signalement des incidents (SEP).
Aujourd’hui, le signalement des incidents significatifs sous NIS2 passe par votre CSIRT national (en France, l’ANSSI). Or, une même organisation peut être simultanément soumise à NIS2, au RGPD et, si elle opère dans le secteur financier, à DORA. Résultat : un seul incident peut déclencher plusieurs notifications parallèles, avec des délais, des formulaires et des seuils différents à chaque fois.
Le Digital Omnibus proposera un Single-Entry Point (SEP), géré par l’ENISA, permettant de notifier une seule fois pour satisfaire l’ensemble de ces obligations (NIS2, DORA, RGPD, eIDAS, CER). Le délai de notification serait en outre harmonisé à 96 heures au lieu de 72 heures actuellement sous le RGPD. Ce guichet unique n’existe pas encore : il sera opérationnel 18 à 24 mois après l’adoption du Digital Omnibus Regulation, attendue entre fin 2026 et 2027.
Ce qu’il faut retenir : ne figez pas vos procédures de gestion de crise. Si vous construisez actuellement vos playbooks de réponse aux incidents, documentez les obligations actuelles et anticipez la convergence vers le SEP. Vous éviterez une réécriture complète dans 24 mois et vous construirez dès maintenant des processus robustes, quelle que soit l’évolution du cadre.
Plus d’infos ?
Vous souhaitez savoir si nos services professionnels pourraient convenir à votre entreprise ?
Prenez rendez-vous avec nos experts pour une consultation de sécurité sans engagement.
Plus d’infos ? Des questions ? Contactez-nous !Partagez cette page via :