NIS2 – Directive sur un niveau élevé commun de cybersécurité

    1. Home  - 
    2. NIS2 – Directive sur un niveau élevé commun de cybersécurité

    Mise à jour (mai 2026) : la transposition française reste en cours. Le projet de loi Résilience, adopté au Sénat le 12 mars 2025 et voté en commission spéciale à l’Assemblée nationale le 10 septembre 2025, attend toujours son passage en hémicycle, désormais annoncé pour juillet 2026. La Commission européenne a envoyé un avis motivé à la France en mai 2025 pour défaut de transposition dans le délai du 17 octobre 2024.

    La directive NIS2 (UE 2022/2555) constitue le socle horizontal de la cybersécurité européenne. Elle remplace la directive NIS1 de 2016, élargit le périmètre des entités concernées en France d’environ 500 à près de 15 000, étend de 6 à 18 le nombre de secteurs couverts et fait basculer la cybersécurité dans le champ de la gouvernance d’entreprise avec une responsabilité personnelle des dirigeants.

    L’idée centrale : la cybersécurité ne se traite plus à la marge des directions informatiques. C’est un sujet de conseil d’administration, opposable juridiquement, et adossé à des sanctions financières comparables à celles du RGPD.

    Image de juriste étudiant NIS2, DORA, le cadre cyber européen

    NIS2 : ce qu’une entreprise doit comprendre immédiatement :

    • La cybersécurité devient un sujet de gouvernance, formellement validé par la direction.
    • Le périmètre couvert explose : PME, ETI, fournisseurs numériques, industriels, transport, santé, cloud, MSP, énergie, administrations.
    • Les mesures de sécurité deviennent opposables juridiquement, avec supervision, contrôle et sanctions financières.
    • La gestion des risques cyber doit être documentée, démontrable et mise à jour régulièrement.
    • La chaîne d’approvisionnement entre dans le champ : un fournisseur faible peut faire tomber l’entité principale.
    • Les incidents significatifs doivent être notifiés selon un calendrier serré : alerte initiale dans les 24 heures, notification complète dans les 72 heures, rapport final sous un mois.
    • Une PSSI ne suffit plus. Il faut prouver l’existence de mesures techniques et opérationnelles réelles.
    • NIS2 sert de texte socle autour duquel s’articulent DORA, le CRA, le Cybersecurity Act, l’AI Act et le RGPD.

    Qui est concerné ?

    Situation

    Concerné par eIDAS 2 ?

    Niveau d’attention

    Énergie, transport, santé, banque, eau, infrastructures numériques (≥ 250 salariés ou ≥ 50 M€ de CA)

    Oui, entité essentielle

    Très élevé

    Mêmes secteurs, taille moyenne (50-250 salariés, 10-50 M€)

    Oui, entité importante

    Élevé

    Fournisseurs numériques, industrie manufacturière, agroalimentaire, déchets, recherche

    Oui, entité importante

    Élevé

    Administration publique (État, certaines collectivités)

    Oui, entité essentielle

    Très élevé

    Sous-traitant d’une entité régulée NIS2

    Indirect, via clauses contractuelles

    Modéré à élevé

    Microentreprise ou petite entreprise (< 50 salariés et < 10 M€)

    Généralement non concernée

    Faible, sauf rôle critique avéré

    PME hors des 18 secteurs

    Non concernée directement

    Faible

    Entité financière déjà couverte par DORA

    NIS2 ne s’applique pas (DORA est lex specialis)

    Voir Conformité DORA

    Pour une lecture chiffrée détaillée des seuils (effectif, CA, bilan) et de leur croisement avec les annexes 1 et 2, voir Conformité NIS2.

    Nature juridique du texte

    Consulter directement la directive (UE) 2022/2555.

    Directive européenne, donc texte qui doit être transposé en droit national par chaque État membre. C’est une différence fondamentale avec un règlement comme le RGPD, DORA ou l’AI Act, qui s’imposent directement. NIS2 dépend, pour son application concrète, du contenu de la loi française de transposition et de ses décrets d’application.

    Publiée au Journal officiel de l’Union européenne le 27 décembre 2022, entrée en vigueur le 16 janvier 2023, la directive fixait au 17 octobre 2024 la date limite de transposition. Cette échéance n’a été tenue par presque aucun État membre. En mai 2025, la Commission a adressé un avis motivé à dix-neuf États dont la France, étape qui précède un recours en manquement devant la CJUE.

    En France, le projet de loi « Résilience des infrastructures techniques et cybersécurité » (présenté en Conseil des ministres le 16 octobre 2024) porte la transposition de NIS2, mais aussi celle de CER (directive sur la résilience des entités critiques) et de DORA. Adopté au Sénat le 12 mars 2025, voté en commission spéciale à l’Assemblée nationale le 10 septembre 2025, son vote en hémicycle est attendu pour juillet 2026. L’application opérationnelle ne deviendra effective qu’après la publication des décrets d’application et arrêtés sectoriels.

    L’ANSSI est l’autorité nationale compétente désignée. Elle a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), document opérationnel de référence pour structurer une démarche de mise en conformité, qui anticipe les obligations à venir et s’articule avec les standards ISO 27001 et SecNumCloud.

    Présentation générale

    NIS1, adoptée en 2016, visait quelques centaines d’opérateurs de services essentiels (OSE) et de fournisseurs de services numériques (FSN) en France. Son application est restée hétérogène d’un État membre à l’autre, son périmètre étroit, et sa logique de notification d’incidents limitée. Les analyses post-NIS1 ont mis en évidence trois faiblesses : un champ trop restreint, une fragmentation entre États membres, une absence de responsabilisation des dirigeants. NIS2 corrige les trois.

    L’élargissement de périmètre est massif. Là où la France comptait environ 500 entités sous NIS1, l’ANSSI estime la population couverte par NIS2 à 15 000 voire 18 000 entités. Le passage de 6 à 18 secteurs intègre désormais l’agroalimentaire, la gestion des déchets, la fabrication industrielle (dispositifs médicaux, électronique, machines, véhicules), les services postaux, la recherche et les fournisseurs numériques.

    La directive distingue deux catégories aux régimes de supervision différenciés :

    • Entités essentielles (EE) : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, gestion des services TIC (notamment MSP et MSSP), administrations publiques, espace. Supervision proactive : l’ANSSI peut diligenter des contrôles sans incident préalable.
    • Entités importantes (EI) : services postaux et de livraison, gestion des déchets, fabrication et distribution de produits chimiques, production alimentaire, fabrication industrielle, fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), organismes de recherche. Supervision réactive : contrôle après incident ou signalement.

    Le critère de taille joue un rôle structurant. Sont concernées les entités d’au moins 50 salariés ou réalisant un chiffre d’affaires ou bilan supérieur à 10 millions d’euros, sauf cas particuliers où une microentreprise critique (par exemple un fournisseur unique d’un service essentiel) peut être qualifiée par l’État membre.

    Le texte impose une logique de mesures techniques et organisationnelles « appropriées et proportionnées » plutôt qu’une liste figée. Cette approche par risque, comparable à celle du RGPD, laisse aux entités une marge d’appréciation, mais déplace la charge de la preuve : c’est à l’entité de démontrer que ses mesures sont adaptées à son profil de risque.

    Contexte et champ d’application

    NIS1 a été pensée à un moment où la cybercriminalité ciblait surtout les grandes entreprises et où les attaques étatiques restaient discrètes. Depuis 2020, le paysage a basculé. Industrialisation du rançongiciel, professionnalisation des courtiers en accès initial, attaques massives sur les chaînes d’approvisionnement (SolarWinds en 2020, Kaseya en 2021, MOVEit en 2023), montée des opérations hybrides menées par des acteurs étatiques, dépendance croissante au cloud, multiplication des cyberattaques contre les hôpitaux français (Corbeil-Essonnes, Versailles, Cannes, Brest, et la liste s’allonge). L’Union européenne a réagi en élargissant massivement le filet et en durcissant les exigences.

    Le champ d’application recouvre quatre dimensions cumulatives :

    Sectorielle. Dix-huit secteurs répartis entre annexe I (entités essentielles) et annexe II (entités importantes). Le découpage suit la logique des infrastructures critiques au sens large, en intégrant désormais l’industrie manufacturière et la chaîne alimentaire.

    Géographique. Toute entité qui fournit un service couvert sur le territoire d’un État membre, même si elle est établie ailleurs dans l’UE ou hors UE. Une entreprise américaine fournissant des services cloud à des hôpitaux français relève de NIS2. Une question d’établissement principal est définie pour déterminer l’autorité compétente.

    De taille. Seuils alignés sur la définition européenne des moyennes et grandes entreprises (≥ 50 salariés ou ≥ 10 M€ de CA/bilan). Les microentreprises et petites entreprises sont en principe hors champ, sauf désignation spécifique pour rôle critique.

    Indirecte, par la chaîne d’approvisionnement. Un sous-traitant non directement assujetti peut être contractuellement contraint d’appliquer des mesures NIS2 par son donneur d’ordre régulé. C’est l’un des effets de diffusion les plus structurants du texte : une PME prestataire d’une grande entreprise énergétique ou d’un hôpital se retrouve en pratique tenue d’élever son niveau, même si elle n’est pas elle-même entité essentielle.

    Le secteur financier mérite une mention particulière : les entités déjà couvertes par DORA (banques, assurances, fintech, prestataires TIC financiers critiques) sont exemptées de NIS2 sur les sujets où DORA s’applique. DORA est lex specialis. Une banque applique DORA, pas NIS2, sur la résilience opérationnelle numérique.

    Les obligations de NIS2 se concentrent sur quatre axes, encadrés par les articles 20 à 23 de la directive.

    Gestion des risques de cybersécurité (art. 21). Le cœur du texte. Les entités doivent adopter des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur leurs réseaux et systèmes d’information. La directive énumère explicitement (article 21§2) dix familles de mesures qui doivent figurer dans tout dispositif :

    • politiques d’analyse des risques et de sécurité des systèmes d’information ;
    • gestion des incidents ;
    • continuité d’activité, incluant gestion des sauvegardes et gestion des crises ;
    • sécurité de la chaîne d’approvisionnement, y compris les aspects de sécurité dans les relations avec les fournisseurs ;
    • sécurité dans l’acquisition, le développement et la maintenance des systèmes, y compris gestion et divulgation des vulnérabilités ;
    • politiques et procédures d’évaluation de l’efficacité des mesures de gestion des risques ;
    • pratiques de base d’hygiène cyber et formation à la cybersécurité ;
    • politiques et procédures relatives à l’utilisation de la cryptographie et du chiffrement ;
    • sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs ;
    • utilisation de solutions d’authentification multifacteur ou continue, de communication sécurisée et de systèmes de communication d’urgence.

    Cette liste est minimale, pas exhaustive. Un hôpital ne peut pas se limiter à cocher dix cases : il doit cartographier ses dossiers patients informatisés, ses équipements biomédicaux connectés, son système d’imagerie, identifier les vulnérabilités, et déployer des contrôles d’accès stricts. L’attaque par rançongiciel qui a paralysé Corbeil-Essonnes en août 2022, avec 12 jours de désorganisation et un coût estimé supérieur à 7 millions d’euros, illustre exactement ce que NIS2 cherche à prévenir.

    Notification d’incidents (art. 23). Calendrier serré et en trois temps.

    • Alerte préliminaire dans les 24 heures suivant la prise de connaissance de l’incident significatif. Cette alerte indique si l’incident est suspecté d’origine malveillante et s’il peut avoir un impact transfrontière.
    • Notification d’incident dans les 72 heures, avec évaluation initiale, indicateurs de compromission, gravité, impact.
    • Rapport final dans un délai d’un mois après la notification, décrivant l’incident, sa cause racine, les mesures correctrices appliquées et l’impact transfrontière.

    Un incident est « significatif » s’il provoque une perturbation opérationnelle grave ou des pertes financières importantes, ou s’il affecte d’autres personnes physiques ou morales par dommages matériels ou immatériels considérables. Les seuils précis seront affinés par les actes d’exécution et les guides de l’ANSSI.

    Concrètement, une entreprise de logistique entité importante qui découvre une intrusion à 9 h le mardi doit envoyer une alerte à l’ANSSI au plus tard le mercredi matin à 9 h, même si l’étendue exacte de l’attaque est inconnue. L’alerte initiale n’est pas un rapport circonstancié : elle déclenche le compteur et formalise l’engagement vis-à-vis de l’autorité.

    Gouvernance et responsabilité personnelle des dirigeants (art. 20). C’est l’une des innovations les plus structurantes. Les organes de direction (conseils d’administration, directoires, comités exécutifs) doivent approuver les mesures de gestion des risques, en superviser la mise en œuvre, et suivre une formation régulière en cybersécurité. Une formation équivalente doit être proposée aux salariés.

    En cas de manquement grave constaté par l’autorité, les dirigeants peuvent être tenus personnellement responsables. Pour les entités essentielles, la directive prévoit la possibilité d’une interdiction temporaire d’exercer des fonctions de direction. Un directeur général qui ignorerait les recommandations de son RSSI sur un risque documenté avant une attaque s’expose à une mise en cause personnelle, distincte de la sanction administrative de l’entité.

    Enregistrement auprès de l’ANSSI (art. 3 et 27). Toute entité dans le champ doit s’enregistrer auprès de l’autorité nationale compétente. C’est elle qui détermine son classement (EE ou EI), tient le registre national, et organise la supervision. Le formulaire et les modalités exactes en France seront précisés par les décrets d’application.

    Sécurité de la chaîne d’approvisionnement (art. 21§2(d)). Obligation transverse à toutes les autres. Les entités doivent évaluer et gérer les risques cyber liés à leurs fournisseurs et prestataires, intégrer des clauses de sécurité dans les contrats, et tenir compte du résultat des évaluations coordonnées au niveau européen pour les chaînes critiques (par exemple les évaluations menées sur la 5G). L’affaire SolarWinds (2020), où la compromission du logiciel de gestion informatique Orion a touché plus de 18 000 organisations dont des agences fédérales américaines, sert d’exemple type. Le sous-traitant devient un vecteur d’attaque assumé, et l’entité régulée doit pouvoir démontrer qu’elle a fait le travail d’évaluation.

    NIS2 ne prescrit pas une architecture de référence unique. Elle pose des thèmes techniques que les actes d’exécution et les référentiels nationaux viennent préciser. En France, le ReCyF v2.5 publié par l’ANSSI le 17 mars 2026 sert de cadre opérationnel de référence.

    Gestion des identités et des accès. MFA généralisée pour les accès distants, comptes à privilèges, applications critiques. Solutions IAM/PAM pour la gestion centralisée. Revues d’habilitations périodiques. Principe du moindre privilège.

    Gestion des vulnérabilités. Scans réguliers, processus de patch management, gestion des CVE avec critères de criticité, traitement coordonné des vulnérabilités (CVD) avec les chercheurs. L’ANSSI insiste sur le délai de remédiation des vulnérabilités critiques exploitées.

    Journalisation et supervision. Logs centralisés, conservation suffisante pour l’analyse post-incident, SIEM pour la corrélation, détection d’anomalies. Pour les entités essentielles, déploiement d’un SOC interne ou externalisé est en pratique attendu.

    Protection réseau. Segmentation, filtrage, IDS/IPS, protection DNS. La segmentation des environnements industriels (OT) par rapport à l’IT est un point d’attention spécifique pour l’industrie et l’énergie.

    Résilience opérationnelle. Sauvegardes régulières, idéalement isolées (offline ou immuables) pour résister aux rançongiciels, tests de restauration documentés, PRA et PCA testés en conditions réalistes, redondance des services critiques.

    Sécurité des développements. Pratiques SDLC sécurisées, gestion des dépendances logicielles (SBOM), revue des composants open source, sécurité des pipelines CI/CD. La convergence avec le CRA, qui impose des exigences directes aux produits, est nette.

    Gestion des fournisseurs. Due diligence à l’entrée en relation, clauses contractuelles de sécurité, droit d’audit, gestion des incidents tiers, plans de réversibilité. Identification des fournisseurs réellement critiques (souvent moins nombreux qu’on ne le pense).

    Chiffrement. Politique cryptographique documentée, chiffrement des données sensibles au repos et en transit, gestion des clés.

    Documentation. Capacité à prouver, à un moment donné, l’existence et le bon fonctionnement des mesures. PSSI, procédures, registres, rapports d’audit, comptes rendus de comités, traces des décisions. La conformité documentaire ne suffit pas, mais sans documentation, la démonstration devient impossible.

    L’approche du ReCyF s’articule en familles de mesures avec des niveaux d’exigence gradués selon la criticité. Pour une entité importante, la cible reste atteignable avec une équipe SSI modeste. Pour une entité essentielle, le niveau d’investissement et de structuration attendu est sensiblement plus élevé.

    DateÉtape
    6 juillet 2016Adoption de NIS1 (directive UE 2016/1148)
    16 décembre 2020Proposition de la Commission pour NIS2
    14 décembre 2022Adoption de NIS2 par le Parlement et le Conseil
    27 décembre 2022Publication au Journal officiel de l’Union européenne
    16 janvier 2023Entrée en vigueur de la directive
    17 octobre 2024Date limite de transposition par les États membres (non respectée par la plupart)
    16 octobre 2024Présentation en Conseil des ministres du projet de loi Résilience (France)
    12 mars 2025Adoption du projet de loi par le Sénat
    Mai 2025Avis motivé de la Commission à 19 États membres dont la France
    10 septembre 2025Vote en commission spéciale à l’Assemblée nationale
    17 mars 2026Publication du Référentiel Cyber France (ReCyF) v2.5 par l’ANSSI
    Juillet 2026 (prévu)Vote en hémicycle de la loi de transposition à l’Assemblée nationale
    2026-2027Publication des décrets d’application et arrêtés sectoriels
    2027-2029Montée en charge des contrôles et premières sanctions significatives

    Point de réalisme : le directeur général de l’ANSSI, Vincent Strubel, a indiqué en octobre 2024 qu’au moins trois ans seraient laissés aux entités pour atteindre une conformité complète avant que des sanctions ne soient envisagées pour les manquements. Cela ne dispense pas de la mise en route immédiate : la cartographie, la gouvernance et la chaîne d’approvisionnement prennent du temps, et les contrôles ANSSI sur les manquements graves peuvent intervenir avant la fin de la période de tolérance.

    DORA. Articulation par exclusion. Les entités financières couvertes par DORA sont exemptées de NIS2 sur le champ couvert par DORA (résilience opérationnelle numérique, gestion des risques TIC, notification d’incidents TIC majeurs, tests de résilience, gestion des prestataires TIC critiques). DORA est plus prescriptif que NIS2 et impose une supervision directe des prestataires TIC critiques par les autorités européennes (BCE, EBA, ESMA, EIOPA). Pour une banque, c’est DORA. Pour son fournisseur cloud, c’est potentiellement les deux : DORA si désigné critique au sens financier, NIS2 sinon.

    CRA (Cyber Resilience Act). Complémentarité forte sur la chaîne d’approvisionnement. NIS2 impose à l’entité régulée d’évaluer ses fournisseurs ; le CRA impose directement aux fabricants de produits numériques (matériels, logiciels) des exigences de cybersécurité tout au long du cycle de vie. Le CRA améliore donc, en amont, la qualité des briques que les entités NIS2 intègrent dans leurs SI. Le SBOM, les exigences de gestion des vulnérabilités et la notification des vulnérabilités exploitées font la jonction entre les deux régimes.

    Cybersecurity Act. Cadre européen de certification cyber, opéré par l’ENISA. Une entité NIS2 peut s’appuyer sur les schémas de certification européens (EUCC pour les produits, EUCS pour les services cloud lorsqu’il sera finalisé, EU5G) pour démontrer une partie de sa conformité. La certification n’est pas obligatoire en soi, mais constitue un élément de preuve pertinent.

    AI Act. Articulation sur les systèmes d’IA intégrés aux SI des entités NIS2. Un système d’IA à haut risque utilisé par une entité essentielle (par exemple un système de détection des fraudes dans une infrastructure de marché) cumule les obligations AI Act (gouvernance des données, supervision humaine, robustesse) et NIS2 (sécurité du système d’information qui l’héberge).

    RGPD. Articulation fonctionnelle. Un incident cyber qui touche des données personnelles déclenche les deux régimes : notification à la CNIL au titre du RGPD (sous 72 heures), notification à l’ANSSI au titre de NIS2 (alerte sous 24 heures). Les deux notifications coexistent aujourd’hui. Le Digital Omnibus prévoit de les unifier via le guichet unique SEP (voir ci-dessous).

    eIDAS 2. Les prestataires de services de confiance qualifiés (signatures électroniques, certificats web, attestations électroniques d’attributs, futurs émetteurs d’EUDI Wallet) sont classés entités essentielles au sens de l’annexe I de NIS2. Cumul intégral des obligations : exigences eIDAS 2 spécifiques au métier de confiance, et exigences NIS2 transverses de gestion des risques et de notification d’incidents.

    DSA, DMA, Data Act, DGA, ePrivacy. Pas d’articulation directe spécifique, hors cohérence générale du cadre numérique européen. Les très grandes plateformes en ligne (VLOP) au sens du DSA peuvent en revanche être assujetties à NIS2 au titre des fournisseurs numériques (entité importante).

    3CF (cadre cyber des collectivités). Déclinaison opérationnelle française pertinente pour les administrations publiques locales entrant dans NIS2. Le ReCyF de l’ANSSI s’articule avec le 3CF pour les collectivités territoriales.

    Pour une vue d’ensemble du cadre cyber européen et de ses articulations, voir Le cadre réglementaire cyber.

    Le paquet Digital Omnibus publié par la Commission le 19 novembre 2025 ne remet pas en cause l’architecture de NIS2. Périmètre, catégorisation EE/EI, obligations de gestion des risques, responsabilité des dirigeants restent intactes. L’omnibus introduit en revanche deux évolutions qui concernent directement toutes les entités NIS2 :

    Guichet unique de notification d’incidents (SEP). Création d’un Single Entry Point géré par l’ENISA, permettant à un acteur soumis à plusieurs régimes de notification (NIS2, DORA, RGPD, eIDAS 2, CER) de notifier un même incident une seule fois. Pour une entité essentielle qui subit une attaque touchant des données personnelles, l’allègement est tangible : aujourd’hui, une notification à l’ANSSI sous 24 h et une notification à la CNIL sous 72 h en parallèle. Demain, une notification unique au SEP avec routage automatique vers les autorités compétentes. Le SEP n’est pas encore opérationnel : sa mise en place est annoncée 18 à 24 mois après l’adoption du règlement omnibus, attendue entre fin 2026 et 2027.

    Harmonisation à 96 heures du délai de notification. L’omnibus harmonise à 96 heures les délais des notifications de violation entre RGPD, NIS2, DORA et CER. Pour NIS2, cela ne modifie pas le calendrier en trois étapes (24 h alerte initiale, 72 h notification, 1 mois rapport final) mais aligne la notification complète RGPD sur les 96 heures, supprimant l’asymétrie actuelle. Vérification utile à faire au moment du vote final.

    Conséquence pratique : si vous construisez actuellement vos playbooks de gestion d’incidents pour NIS2, documentez les obligations en l’état mais anticipez la convergence vers le SEP. Cela évite une réécriture complète des procédures dans 18 mois et favorise des processus déjà compatibles avec l’évolution du cadre.

    NIS2 a été pensée pour les grandes entités essentielles, mais c’est dans le tissu des PME et ETI que sa mise en œuvre est la plus complexe. Une grande entreprise dispose d’un RSSI, d’une équipe SSI, parfois d’un SOC interne. Une PME de 80 personnes dans l’agroalimentaire qui découvre qu’elle est entité importante a rarement plus d’un référent informatique partagé entre dix sujets. C’est pourtant elle qui doit produire la même démonstration de conformité.

    La bonne approche consiste à structurer la démarche par paliers, en commençant par ce qui est à la fois obligatoire et structurant.

    Positionner l’entreprise. Première étape, souvent négligée. Êtes-vous dans le champ ? Entité essentielle ou entité importante ? Quels seuils déclenchent l’application (effectif, CA, bilan, secteur d’annexe I ou II) ? Le travail prend quelques jours mais conditionne tout le reste. Certaines PME sortent du champ après analyse précise, d’autres y entrent par leur appartenance à un secteur (par exemple un transformateur agroalimentaire dépassant 50 salariés). Le doute ne se résout pas en cochant des cases : il faut une analyse argumentée, opposable.

    Gouvernance et formation des dirigeants. Désigner un responsable cybersécurité (interne ou externalisé via un RSSI à temps partagé), faire valider formellement les mesures par le COMEX ou la direction, organiser une formation cyber des dirigeants. Ce n’est pas un détail décoratif. C’est l’obligation de l’article 20 qui ouvre la porte à la responsabilité personnelle. Une PME peut s’appuyer sur un RSSI délégué quelques jours par mois plutôt que d’embaucher un profil senior à temps plein.

    Cartographier les actifs et les dépendances. Inventaire des systèmes critiques, des données sensibles, des flux entrants et sortants, des fournisseurs réellement critiques. Pour une PME, c’est souvent la première fois que ce travail est fait sérieusement. Les surprises sont fréquentes : un ERP hébergé chez un prestataire dont personne ne sait précisément où il opère, un fournisseur EDI sans contrat de sécurité, une sauvegarde qui n’a jamais été restaurée en conditions réelles.

    Mettre en place les mesures techniques minimales. Sans chercher l’exhaustivité de la première année :

    • MFA généralisée sur les accès distants, les comptes administrateurs, la messagerie ;
    • EDR sur les postes et serveurs (un antivirus classique ne suffit plus) ;
    • sauvegardes isolées du réseau de production, testées au moins deux fois par an ;
    • segmentation réseau minimale entre environnements bureautique, métier et production ;
    • journalisation centralisée des accès et des événements de sécurité ;
    • patch management discipliné, surtout sur les composants exposés à internet.

    Le ReCyF de l’ANSSI gradue ces exigences. Pour une entité importante, le niveau attendu reste atteignable avec un budget cyber annuel de l’ordre de 1 à 2 % du chiffre d’affaires, parfois moins selon le point de départ.

    Structurer la PSSI et les procédures clés. Une politique de sécurité documentée, courte et applicable. Une procédure de gestion des incidents adaptée aux ressources réelles. Un PRA-PCA minimal qui couvre les scénarios prioritaires (rançongiciel, indisponibilité prolongée d’un fournisseur cloud, perte d’accès à un site). Pour le détail de ce que doit contenir une PSSI utile, voir Le rôle d’une PSSI.

    Traiter la chaîne d’approvisionnement. Identifier les cinq à dix fournisseurs réellement critiques (pas les cinquante référencés). Pour chacun, exiger un minimum : questionnaire sécurité, certification ou audit de référence, clauses contractuelles couvrant la notification d’incidents, la confidentialité, la sortie. C’est probablement le chantier le plus inconfortable, parce qu’il oblige à rouvrir des contrats parfois anciens et à arbitrer sur des fournisseurs qu’on préfère garder.

    Préparer la gestion de crise. Une cellule de crise nommée à l’avance, des coordonnées à jour, un playbook simple, et au moins un exercice par an. Pas besoin de simulation à plusieurs millions d’euros : un exercice sur table de deux heures avec le COMEX, le DSI, la communication et un partenaire externe suffit à révéler les angles morts. C’est aussi le moment où la direction générale comprend pour de bon ce que NIS2 implique.

    Documenter pour pouvoir prouver. Tenir un registre des décisions de sécurité, des comptes rendus de comités, des incidents et de leur traitement, des audits et tests. La conformité documentaire seule ne suffit pas, mais sans documentation, la conformité opérationnelle devient indémontrable lors d’un contrôle.

    Calibrer la charge. Pour une PME entité importante partant d’un niveau de maturité moyen, comptez 12 à 18 mois de structuration initiale, avec un investissement concentré sur les six premiers mois (positionnement, gouvernance, cartographie, mesures techniques prioritaires), puis un rythme de croisière nettement plus léger pour le maintien. Pour une ETI entité essentielle, le projet est plus structurant : 18 à 24 mois pour atteindre un niveau démontrable, avec un effort significatif sur le SOC, la supervision et les exercices de crise.

    L’écueil le plus fréquent reste de traiter NIS2 comme une démarche purement documentaire, en produisant une PSSI épaisse sans rien changer aux pratiques. L’ANSSI a été claire : les contrôles porteront sur la réalité opérationnelle, pas sur l’épaisseur des classeurs. Une PME qui a fait dix mesures techniques solides et documenté ce qu’elle fait vraiment sera mieux placée qu’une ETI dotée d’une PSSI parfaite et d’un MFA inexistant.

    Pour structurer cette trajectoire concrètement, voir Conformité NIS2.

    NIS2 fixe, à la différence d’eIDAS 2, des plafonds harmonisés directement dans le texte. La transposition française précisera les modalités mais ne pourra pas descendre en dessous.

    Entités essentielles : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel (le montant le plus élevé). Niveau comparable au RGPD.

    Entités importantes : jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel (le montant le plus élevé).

    Au-delà des amendes, l’autorité dispose d’un éventail de mesures correctrices : injonctions de mise en conformité sous astreinte, audits imposés à la charge de l’entité, instructions de mise en œuvre des recommandations d’audit, désignation d’un officier de surveillance pour les entités essentielles, publication de la décision de manquement.

    Responsabilité personnelle des dirigeants. Pour les entités essentielles, possibilité d’interdiction temporaire d’exercer des fonctions de direction prononcée par l’autorité. C’est une rupture par rapport à l’historique de la régulation cyber : le risque pénalise désormais aussi le dirigeant individuellement, pas seulement la personne morale.

    Effet cumulatif avec le RGPD. Un même incident touchant des données personnelles peut déclencher des sanctions parallèles RGPD et NIS2. Les deux régimes ne s’absorbent pas, et le calcul des plafonds se fait séparément.

    Effet contractuel et assurantiel. Au-delà des sanctions formelles, les assureurs cyber intègrent désormais la conformité NIS2 dans leur souscription, et les grandes entreprises répercutent les exigences sur leurs sous-traitants par voie contractuelle. Une PME non assujettie directement peut donc subir un effet sanction indirect en perdant des marchés.

    À ce stade (mai 2026), aucune sanction NIS2 significative n’a été prononcée en France, le régime de transposition n’étant pas encore en vigueur. La période 2027-2029 verra la montée en charge effective.

    NIS2 fait basculer la cybersécurité dans le champ des sujets de direction générale. Le texte ne se contente pas d’imposer des mesures techniques. Il modifie la place de la cybersécurité dans l’organisation.

    Avant NIS2, dans beaucoup d’entreprises, la cybersécurité était un sujet IT, traité dans une logique de coût opérationnel, souvent réactif, parfois cantonné à la conformité documentaire. Après NIS2, c’est un sujet de gouvernance, opposable juridiquement, adossé à des risques financiers et personnels. La direction générale ne peut plus déléguer la connaissance du sujet : elle doit pouvoir en parler, en débattre, prendre des décisions arbitrées.

    Le texte pousse fortement plusieurs disciplines techniques et organisationnelles qui étaient parfois traitées en pointillé :

    • supervision et détection (SOC, SIEM, EDR/XDR) ;
    • gestion des identités et des accès (IAM, PAM, MFA généralisée) ;
    • résilience opérationnelle (PRA, PCA, sauvegardes isolées, tests de restauration) ;
    • gestion des tiers (cartographie des fournisseurs critiques, clauses, audits) ;
    • exercices de crise (avec implication réelle de la direction générale) ;
    • architecture Zero Trust (segmentation forte, vérification continue) ;
    • gouvernance documentaire (PSSI, procédures, registres, preuves).

    Le sujet supply chain est probablement celui qui change le plus de visage. Beaucoup d’entités découvrent, en faisant la cartographie, à quel point elles dépendent d’une poignée de fournisseurs SaaS, MSP ou cloud dont la défaillance les paralyserait. NIS2 force à regarder cette dépendance, à la documenter, et à structurer une réponse contractuelle et technique.

    Pour les entités importantes, l’enjeu est de structurer une démarche proportionnée, sans investir comme un opérateur d’importance vitale. Pour les entités essentielles, le niveau attendu se rapproche de celui des OIV historiques, avec un SOC opérationnel, une équipe SSI mature, et une capacité de gestion de crise testée.

    Plus d’infos ?

    NIS2 n’est ni une case à cocher, ni un projet ponctuel. C’est un changement durable dans la manière de piloter la cybersécurité d’une organisation. Les entreprises qui s’y prennent en avance gagnent sur deux tableaux : elles évitent la pression du dernier moment, et elles construisent un avantage concurrentiel sur les appels d’offres où la conformité cyber devient un critère d’éligibilité.

    Quelques questions concrètes pour situer votre maturité :

    • Vous êtes-vous formellement positionné sur votre éligibilité NIS2 (entité essentielle, entité importante, hors champ) ?
    • Votre direction générale serait-elle capable de présenter sa gouvernance cyber à un contrôleur de l’ANSSI ?
    • Connaissez-vous précisément vos fournisseurs numériques réellement critiques et leur propre niveau de maturité ?
    • Votre dispositif de détection est-il en mesure d’identifier un incident significatif dans des délais compatibles avec le calendrier de notification (24 h / 72 h / 1 mois) ?
    • Vos procédures de gestion de crise ont-elles été testées récemment dans un exercice réaliste impliquant la direction ?
    • Votre documentation existante (PSSI, procédures, comptes rendus) tient-elle face à une demande de preuves opérationnelles ?

    Radical-SSI accompagne les entreprises sur l’ensemble de la trajectoire NIS2 : positionnement, diagnostic de maturité, structuration de la gouvernance, mise en place des mesures techniques et organisationnelles, revue des contrats fournisseurs, exercices de crise, maintien en condition opérationnelle.

    Prenons rendez-vous pour une consultation sans engagement.

    Pour aller plus loin sur la mise en œuvre opérationnelle, voir Conformité NIS2.

    Pour le secteur financier, voir Conformité DORA.

    Pour la vue d’ensemble du cadre européen, voir Le cadre réglementaire cyber.

    Partagez cette page via :