Directive NIS2 : votre entreprise est-elle concernée par les nouvelles obligations de cybersécurité ?
La cybersécurité quitte le terrain des seuls grands opérateurs pour devenir une obligation de masse. Avec la directive NIS2, l'Union européenne impose un socle commun de sécurité numérique à un nombre considérable d'organisations. En France, près de 15 000 entités seraient concernées, réparties dans 18 secteurs d'activité, là où la première directive NIS n'en visait qu'environ 500.
La transposition française est entrée dans sa dernière ligne droite, sans être encore achevée. Cet article fait le point, de façon complète et vérifiée, sur ce qu'est NIS2, sur les entités concernées, sur l'état d'avancement du texte français, sur les obligations et les sanctions, et sur les premières actions à mener, même avant l'entrée en vigueur.
L'essentiel en une phrase : NIS2 concerne principalement les PME, ETI et collectivités d'une certaine taille dans 18 secteurs ; les très petites structures ne sont en général pas visées directement, mais peuvent l'être par effet de chaîne, et l'autorité française, l'ANSSI, invite à ne pas attendre la loi pour se préparer.
I. NIS2, qu'est-ce que c'est
NIS2 est la directive (UE) 2022/2555 du 14 décembre 2022. Elle remplace la première directive NIS, adoptée en 2016, et poursuit un objectif clair : assurer un niveau élevé et commun de cybersécurité dans toute l'Union européenne. La logique a changé de dimension. Là où la première directive ciblait quelques centaines d'opérateurs vitaux, NIS2 vise des milliers d'organisations, parce que les cyberattaques touchent désormais tout le tissu économique.
Le périmètre a été profondément élargi, en nombre d'entités comme en nombre de secteurs. La directive classe les organisations en deux catégories, les entités essentielles et les entités importantes, selon la criticité de leur activité et leur taille, et distingue les secteurs hautement critiques de son annexe I des secteurs critiques de son annexe II.
II. Suis-je concerné, et dans quelle catégorie
La réponse dépend de deux critères combinés : votre secteur d'activité et votre taille. En principe, sont concernées les entités à partir d'une taille moyenne, c'est-à-dire au moins 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires, exerçant dans l'un des 18 secteurs visés.
| Catégorie | Profil type |
|---|---|
| Entités essentielles (EE) | Secteurs hautement critiques et entités de grande taille, soumises aux exigences les plus strictes |
| Entités importantes (EI) | Secteurs critiques ou entités de taille moyenne, soumises à des exigences allégées par rapport aux EE |
Les 18 secteurs couvrent un champ très large : énergie, transports, banque et marchés financiers, santé, eau potable et eaux usées, infrastructures et services numériques, administration publique et espace pour les plus critiques ; services postaux, gestion des déchets, produits chimiques, agro-alimentaire, industrie manufacturière, fournisseurs de services numériques et recherche pour les autres. La France a par ailleurs fait le choix d'aller au-delà du minimum européen en incluant de nombreuses collectivités territoriales, avec un seuil abaissé.
Et si je suis une petite structure ? Une micro-entreprise ou une TPE n'est, en règle générale, pas directement soumise à NIS2. Mais attention à l'effet de chaîne : si vous êtes prestataire ou fournisseur d'une entité concernée, celle-ci devra sécuriser sa chaîne d'approvisionnement et vous demandera des garanties de cybersécurité. Être au clair sur vos pratiques devient alors un argument commercial, parfois une condition pour travailler avec ces clients.
III. Où en est la transposition en France
C'est un point essentiel, car il conditionne l'exigibilité des obligations. La directive devait être transposée par les États membres au plus tard le 17 octobre 2024. La France n'a pas tenu ce délai, ce qui lui a valu un rappel à l'ordre de la Commission européenne, sous la forme d'un avis motivé adressé en mai 2025.
La transposition prend la forme d'un texte plus large, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dit « loi Résilience », qui transpose simultanément trois directives européennes : NIS2, la directive sur la résilience des entités critiques et le règlement DORA pour le secteur financier. Présenté en Conseil des ministres le 15 octobre 2024, ce texte a été adopté en première lecture par le Sénat en mars 2025, puis examiné par une commission spéciale de l'Assemblée nationale en septembre 2025. À ce stade, il n'est pas encore promulgué, son passage en séance publique ayant été repoussé.
Ce que fait déjà l'ANSSI. Sans attendre la loi, l'autorité a ouvert le pré-enregistrement des entités sur sa plateforme MonEspaceNIS2 depuis novembre 2025, et publié le 17 mars 2026 un référentiel opérationnel, le ReCyF (Référentiel Cyber France), qui traduit les principes de la directive en objectifs de sécurité concrets. Ce sont des outils précieux pour se préparer dès maintenant.
IV. Obligations et sanctions
Pour les entités concernées, NIS2 impose une approche continue de gestion du risque, et non plus des actions ponctuelles. Les obligations s'articulent autour de quatre axes.
- Des mesures de gestion des risques. Politique de sécurité, gestion des incidents, continuité d'activité et reprise après sinistre, sécurité de la chaîne d'approvisionnement, contrôle d'accès et authentification renforcée, chiffrement, entre autres.
- La notification des incidents. Selon une procédure graduée : une alerte précoce sous 24 heures, une notification plus complète sous 72 heures, puis un rapport final sous un mois, auprès de l'ANSSI. La responsabilité de cette déclaration ne peut être transférée à un prestataire technique.
- L'implication de la direction. Les dirigeants doivent approuver et superviser les mesures de cybersécurité, et se former. Leur responsabilité est renforcée : la gouvernance cyber devient un sujet de direction, pas seulement un sujet technique.
- L'enregistrement auprès de l'ANSSI, qui tiendra le registre des entités régulées.
Les sanctions sont à la hauteur de l'enjeu. La directive prévoit des amendes pouvant atteindre, pour les entités essentielles, 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, et pour les entités importantes, 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. S'y ajoutent des mesures complémentaires possibles, comme la suspension de certifications ou l'interdiction temporaire d'exercer des fonctions de direction.
V. NIS2 et RGPD, une même logique de conformité
Si vous avez déjà engagé une démarche RGPD, NIS2 vous paraîtra familier. Les deux textes partagent une même logique : une gouvernance impliquant la direction, une analyse des risques, de la documentation, une gestion des incidents et la protection des données et des systèmes. Une organisation avancée sur le RGPD, ou certifiée selon une norme reconnue de sécurité de l'information, dispose d'un socle utile pour NIS2, même si ce socle ne suffit pas à lui seul, notamment sur les délais stricts de notification et la sécurité de la chaîne d'approvisionnement.
L'intérêt est donc de mutualiser les deux démarches plutôt que de les mener en silos. C'est précisément l'approche que le cabinet propose à travers son accompagnement à la conformité RGPD et son service de délégué à la protection des données externalisé, qui peuvent servir de point d'appui à votre préparation à NIS2.
Savoir si NIS2 vous concerne, et structurer votre conformité
Le cabinet vous aide à qualifier votre situation au regard de NIS2, à articuler cette démarche avec votre conformité RGPD, et à mettre en place une organisation documentée. Une question précise ? Notre juriste vous répond par écrit.
VI. Par où commencer
Que vous soyez directement concerné ou sollicité par un client qui l'est, voici un déroulé simple pour avancer sans attendre la promulgation.
- 1. Cartographiez vos services critiques. Recensez vos processus, vos systèmes d'information et vos dépendances, notamment vis-à-vis du cloud et de vos prestataires.
- 2. Qualifiez votre exposition. Croisez votre taille et votre secteur pour déterminer si vous relevez d'une entité essentielle, importante, ou d'aucune des deux.
- 3. Désignez un responsable et impliquez la direction. La gouvernance est au cœur de NIS2 : un pilote identifié et une direction sensibilisée sont indispensables.
- 4. Mettez à niveau vos mesures. Appuyez-vous sur le référentiel ReCyF de l'ANSSI pour combler les écarts entre vos pratiques et les objectifs de sécurité attendus.
- 5. Préparez la notification et l'enregistrement. Mettez en place la procédure 24h, 72h et un mois, et utilisez le pré-enregistrement sur MonEspaceNIS2.
Conclusion
NIS2 marque un changement d'échelle de la cybersécurité réglementée en France. La transposition n'est pas encore achevée, mais la direction est claire et l'ANSSI invite à ne pas attendre. Pour les entités concernées, l'enjeu est de structurer une démarche continue de gestion du risque ; pour les plus petites structures, c'est l'occasion de soigner des pratiques que leurs clients leur demanderont de plus en plus.
Le bon réflexe est de qualifier sa situation sans tarder, de mutualiser cette préparation avec sa conformité RGPD, et de s'appuyer sur les outils déjà publiés par l'ANSSI. Anticiper, ici, c'est à la fois se conformer et se protéger d'une menace bien réelle.
Sources officielles
Cet article s'appuie exclusivement sur des textes et publications officiels, vérifiés à la source.
- Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (NIS2), date limite de transposition fixée au 17 octobre 2024
- Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (loi Résilience), transposant NIS2, la directive sur la résilience des entités critiques et le règlement DORA, dossiers législatifs du Sénat et de l'Assemblée nationale
- Avis motivé de la Commission européenne à la France (mai 2025) pour défaut de transposition dans les délais
- Agence nationale de la sécurité des systèmes d'information (ANSSI) : portail cyber.gouv.fr, plateforme MonEspaceNIS2 et référentiel ReCyF publié le 17 mars 2026
Cet article relève d'une information juridique au sens de la loi n° 71-1130 du 31 décembre 1971. Le cabinet ne délivre pas de consultation juridique personnalisée. Les informations sont données à jour à la date de publication ; le contenu de la loi de transposition et de ses décrets peut évoluer.
Questions fréquentes
Qu'est-ce que la directive NIS2 ?+
NIS2 est la directive européenne (UE) 2022/2555 du 14 décembre 2022, qui remplace la première directive NIS de 2016. Elle vise un niveau élevé et commun de cybersécurité dans l'Union, en imposant des mesures de gestion des risques, des obligations de notification d'incidents et une supervision renforcée à un grand nombre d'organisations.
Mon entreprise est-elle concernée par NIS2 ?+
NIS2 concerne en principe les entités à partir d'une taille moyenne (au moins 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires) dans l'un des 18 secteurs visés, classées en entités essentielles ou importantes. Les très petites entreprises ne sont en général pas concernées directement, mais peuvent l'être indirectement via la chaîne d'approvisionnement de leurs clients soumis à NIS2.
NIS2 est-elle déjà applicable en France ?+
Pas encore pleinement. La directive devait être transposée au plus tard le 17 octobre 2024, mais la France a pris du retard. La loi de transposition, dite loi Résilience, a été adoptée par le Sénat en mars 2025 et examinée en commission à l'Assemblée nationale en septembre 2025, sans être encore promulguée à ce jour. L'ANSSI recommande de ne pas attendre pour engager sa mise en conformité.
Qui contrôle l'application de NIS2 en France ?+
L'autorité compétente est l'ANSSI. Elle tiendra le registre des entités régulées, définira le référentiel de sécurité et exercera le contrôle. Elle met déjà à disposition la plateforme MonEspaceNIS2, dont le pré-enregistrement est ouvert depuis novembre 2025, et le référentiel ReCyF, publié le 17 mars 2026.
Quels sont les délais de notification d'un incident ?+
La notification est graduée : une alerte précoce sous 24 heures, une notification plus complète sous 72 heures, puis un rapport final sous un mois, auprès de l'ANSSI. La responsabilité de cette déclaration ne peut être transférée à un prestataire technique, même s'il exploite le système concerné.
Quelles sanctions en cas de manquement ?+
La directive prévoit des amendes pouvant atteindre, pour les entités essentielles, 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, et pour les entités importantes, 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Des mesures complémentaires sont possibles, comme la suspension de certifications ou l'interdiction temporaire d'exercer des fonctions de direction.
Quel est le lien entre NIS2 et le RGPD ?+
Les deux relèvent d'une même logique de conformité : gouvernance impliquant la direction, analyse des risques, documentation, gestion des incidents et protection des données et des systèmes. Une organisation avancée sur le RGPD dispose d'un socle utile pour NIS2, sans que cela suffise à lui seul. Mutualiser les deux démarches fait gagner du temps.
Par où commencer sans attendre la loi ?+
Cartographiez vos services critiques et vos dépendances, qualifiez votre exposition selon votre taille et votre secteur, désignez un responsable et sensibilisez la direction, puis mettez à niveau vos mesures et préparez votre procédure de notification. Le pré-enregistrement sur MonEspaceNIS2 et la lecture du référentiel ReCyF de l'ANSSI sont de bons points de départ.