NIS2 est la directive européenne qui redéfinit en profondeur les exigences de cybersécurité pour des milliers d’organisations françaises. Publiée au Journal officiel de l’Union européenne en décembre 2022 sous la référence UE 2022/2555, elle élargit considérablement le périmètre de son prédécesseur NIS1 et impose des obligations concrètes en matière de gouvernance, de gestion des risques, de notification d’incidents et de sécurité de la chaîne d’approvisionnement. Si vous dirigez une PME opérant dans un secteur critique ou important, vous êtes très probablement dans le champ d’application. Cet article vous explique qui est concerné, ce que la directive exige concrètement, ce que vous risquez en cas de manquement, et comment engager votre mise en conformité de façon structurée.
Pourquoi NIS2 change la donne pour les PME françaises
La première directive NIS, adoptée en 2016, ne visait qu’un périmètre restreint : quelques centaines d’opérateurs de services essentiels (OSE) et de fournisseurs de services numériques (FSN) désignés par les États membres. Les PME en étaient largement exclues. NIS2 rompt avec cette logique d’exception : elle adopte une approche sectorielle et dimensionnelle qui fait entrer dans son champ des dizaines de milliers d’entités supplémentaires à travers l’Union européenne, dont une part significative de PME et d’ETI françaises.
Le changement n’est pas que quantitatif. La directive introduit une harmonisation renforcée des mesures minimales entre États membres, un mécanisme de responsabilité explicite pour les dirigeants, et un régime de sanctions administratives aligné sur celui du RGPD. Les organisations qui avaient jusqu’ici traité la cybersécurité comme une question purement informatique doivent désormais l’intégrer à leur gouvernance au plus haut niveau.
⚠ Attention : Contrairement à une idée reçue, NIS2 ne s’applique pas qu’aux grandes entreprises. Des PME de 50 salariés dans des secteurs comme l’énergie, les transports, la santé ou les services numériques peuvent être directement concernées. Ne présumez pas être hors périmètre sans vérification formelle.
Les 18 secteurs couverts par NIS2
NIS2 s’organise autour de deux annexes qui listent les secteurs d’activité concernés. L’annexe I regroupe les secteurs hautement critiques, l’annexe II les autres secteurs critiques. Appartenir à l’un de ces secteurs est une condition nécessaire mais pas suffisante : les seuils de taille entrent ensuite en jeu (voir section suivante).
| Annexe I — Secteurs hautement critiques | Annexe II — Autres secteurs critiques |
|---|---|
| Énergie (électricité, pétrole, gaz, hydrogène) | Services postaux et de messagerie |
| Transports (aérien, ferroviaire, maritime, routier) | Gestion des déchets |
| Secteur bancaire et infrastructures des marchés financiers | Fabrication, production et distribution de produits chimiques |
| Santé (hôpitaux, laboratoires, R&D pharmaceutique) | Production, transformation et distribution de denrées alimentaires |
| Eau potable et eaux usées | Fabrication (dispositifs médicaux, électronique, machines, véhicules…) |
| Infrastructure numérique (IXP, DNS, TLD, cloud, datacenters, CDN, TSP) | Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux) |
| Gestion des services TIC (B2B) | Recherche (organismes de recherche) |
| Administration publique et espace |
Un point souvent méconnu : la directive s’applique également aux sous-traitants et prestataires qui fournissent des services critiques à des entités couvertes. Si vous êtes intégrateur informatique, prestataire de maintenance industrielle ou fournisseur logiciel pour un acteur de l’énergie ou de la santé, votre niveau d’exposition mérite une analyse approfondie.
Entités essentielles vs entités importantes : quelles différences ?
NIS2 distingue deux catégories d’entités, qui déterminent le régime de supervision et le niveau de sanctions applicables. Les obligations de fond (mesures de sécurité, notification d’incidents) sont identiques pour les deux catégories.
| Critère | Entité Essentielle (EE) | Entité Importante (EI) |
|---|---|---|
| Secteur | Annexe I uniquement | Annexe I ou II |
| Taille | Grande entreprise (≥ 250 salariés ou > 50 M€ CA et > 43 M€ bilan) | Moyenne entreprise (≥ 50 salariés ou > 10 M€ CA) |
| Supervision | Contrôle a priori (proactif, audits, inspections) | Contrôle a posteriori (en cas d’incident ou de plainte) |
| Sanction max. | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
Le saviez-vous ? Certaines entités sont automatiquement qualifiées d’essentielles quelle que soit leur taille : les fournisseurs de réseaux publics de communications électroniques, les registres de noms de domaine de premier niveau (TLD), et les entités désignées par l’État comme critiques pour des raisons d’intérêt national.
Les obligations concrètes imposées par NIS2
L’article 21 de la directive fixe les mesures de gestion des risques de cybersécurité que toutes les entités concernées doivent mettre en œuvre. Ces obligations couvrent 10 domaines clés, qui correspondent à peu près aux exigences d’un référentiel de sécurité reconnu comme l’ISO 27001 ou le guide d’hygiène de l’ANSSI.
1. Gouvernance et responsabilité de la direction
C’est l’une des innovations majeures de NIS2 : les organes de direction (conseil d’administration, directoire, gérance) doivent approuver les mesures de gestion des risques cyber et peuvent être tenus personnellement responsables en cas de manquement. La cybersécurité ne peut plus être déléguée exclusivement à la DSI. Les dirigeants doivent suivre des formations adaptées pour comprendre les risques et les enjeux.
2. Analyse des risques et politique de sécurité
L’entité doit disposer d’une politique de sécurité des systèmes d’information (PSSI) documentée, fondée sur une analyse des risques formalisée. Il ne s’agit pas d’un document générique : la PSSI doit refléter les risques spécifiques à votre activité, vos systèmes, vos données et vos dépendances.
3. Gestion des incidents
NIS2 impose un processus structuré de détection, gestion et notification des incidents. En cas d’incident significatif, les délais sont stricts :
- 24 heures pour une alerte précoce à l’autorité compétente (en France, l’ANSSI)
- 72 heures pour une notification d’incident incluant une première évaluation
- 1 mois pour un rapport final détaillé
Cela suppose d’avoir en place des outils de supervision et de détection (SIEM, EDR, journalisation) permettant d’identifier et caractériser rapidement un incident.
4. Continuité d’activité et gestion de crise
Un plan de continuité d’activité (PCA) et un plan de reprise après sinistre (PRA) sont requis. Ces plans doivent être testés régulièrement. La question n’est pas si vous subirez une attaque, mais quand — et les attaques par ransomware font partie des scénarios que votre PCA doit impérativement couvrir.
5. Sécurité de la chaîne d’approvisionnement
Les entités couvertes doivent évaluer et gérer les risques de sécurité liés à leurs fournisseurs et prestataires. Cela inclut les fournisseurs de logiciels, de services cloud, de maintenance informatique ou de tout autre composant critique. Cette exigence a un effet cascade : même des PME non directement concernées par NIS2 peuvent être contraintes de démontrer leur niveau de sécurité à leurs clients.
6. Mesures techniques et organisationnelles
La directive liste une série de mesures techniques minimales attendues :
- Authentification multifacteur (MFA) pour tous les accès aux systèmes sensibles
- Chiffrement des données en transit et au repos
- Gestion des correctifs et des vulnérabilités (patch management)
- Segmentation des réseaux pour limiter la propagation en cas d’intrusion
- Contrôle des accès selon le principe du moindre privilège
- Sauvegardes régulières, testées et stockées hors ligne
- Sécurité de la messagerie électronique (filtrage, anti-phishing)
- Gestion des communications sécurisées d’urgence
À retenir : NIS2 ne prescrit pas de solutions techniques spécifiques. Elle impose un résultat de sécurité proportionné au risque. C’est à chaque entité de choisir les outils et les mesures adaptés, et de pouvoir le justifier. La documentation de vos choix est aussi importante que les mesures elles-mêmes.
Votre PME est-elle exposée ? Faites le point en 30 minutes.
Diagnostic cybersécurité offert, sans engagement.
Calendrier de transposition et situation en France
La directive NIS2 a été publiée au Journal officiel de l’UE le 27 décembre 2022 et est entrée en vigueur le 16 janvier 2023. Les États membres avaient jusqu’au 17 octobre 2024 pour la transposer dans leur droit national et identifier les entités concernées.
| Étape | Date | Contenu |
|---|---|---|
| Publication directive | 27 décembre 2022 | Directive UE 2022/2555 publiée au JOUE |
| Entrée en vigueur UE | 16 janvier 2023 | Début du délai de transposition de 21 mois |
| Date limite transposition | 17 octobre 2024 | Obligation de transposer dans le droit national |
| Transposition France | En cours (2025-2026) | Projet de loi piloté par l’ANSSI, montée en puissance des contrôles |
| Contrôles actifs | 2025-2026 | L’ANSSI intensifie les audits et la supervision des entités |
En France, c’est l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui pilote la transposition et assure le rôle d’autorité nationale compétente. Elle a engagé un dialogue avec les secteurs concernés dès 2023 pour préparer l’application de la directive. La montée en puissance des contrôles s’étale sur 2025 et 2026, ce qui laisse encore une fenêtre d’action — mais cette fenêtre se referme rapidement.
💡 Astuce : Même si la transposition française n’est pas finalisée, engager votre mise en conformité maintenant vous place dans une posture favorable vis-à-vis des autorités — et vous protège contre des cyberattaques qui, elles, n’attendent pas. Les exigences techniques de NIS2 recoupent largement les bonnes pratiques reconnues (ISO 27001, guides ANSSI).
Les sanctions : ce que vous risquez concrètement
NIS2 introduit un régime de sanctions administratives significativement renforcé par rapport à NIS1. Le cadre s’inspire délibérément de celui du RGPD pour en adopter la même structure en deux niveaux selon la gravité des manquements.
Amendes pour les entités essentielles
Pour les entités essentielles, les sanctions administratives peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel total de l’exercice précédent, le montant le plus élevé étant retenu. C’est le plafond maximum ; la sanction effective est proportionnée à la gravité du manquement, aux mesures prises pour y remédier, et aux éventuels dommages causés.
Amendes pour les entités importantes
Pour les entités importantes, le plafond est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel. Là encore, ce sont des maxima théoriques : les autorités de contrôle tiennent compte de nombreux facteurs atténuants ou aggravants.
Sanctions non financières
Au-delà des amendes, la directive prévoit des mesures d’une portée parfois plus lourde pour les entités concernées :
- Suspension temporaire des certifications ou autorisations nécessaires à l’activité
- Injonctions de mise en conformité avec délai imposé
- Publication de l’incident ou du manquement (mesure de name & shame)
- Responsabilité personnelle des dirigeants : les personnes physiques exerçant des fonctions dirigeantes peuvent être tenues responsables et faire l’objet d’une interdiction temporaire d’exercer
⚠ Attention : La responsabilité personnelle des dirigeants est une nouveauté majeure de NIS2. Si votre organisation subit un incident grave faute d’avoir mis en place des mesures de sécurité adéquates, vous pouvez être personnellement tenu responsable. C’est une raison supplémentaire pour que la cybersécurité figure à l’ordre du jour de vos instances dirigeantes.
NIS2 et RGPD : deux réglementations complémentaires
NIS2 et le RGPD poursuivent des objectifs distincts mais s’articulent étroitement. Le RGPD protège les données personnelles ; NIS2 protège la résilience des systèmes d’information. Dans les faits, un incident de cybersécurité — une intrusion, un ransomware — déclenche souvent les obligations de notification des deux textes simultanément : à l’ANSSI au titre de NIS2, et à la CNIL au titre du RGPD si des données personnelles sont compromises.
Les mesures techniques requises par NIS2 (chiffrement, contrôle des accès, gestion des correctifs) contribuent directement à votre conformité RGPD en entreprise. Bien pensé, un programme de mise en conformité NIS2 renforce simultanément votre posture vis-à-vis du RGPD — et inversement. Il n’y a aucune raison de traiter ces deux chantiers en silos.
Le saviez-vous ? En cas de violation de données personnelles consécutive à un incident de cybersécurité, une entreprise peut se retrouver à notifier simultanément l’ANSSI (NIS2), la CNIL (RGPD) et ses propres clients. Avoir un processus de gestion des incidents documenté et testé est le seul moyen de tenir ces délais multiples.
Comment une PME se met en conformité NIS2 : la méthode en 5 étapes
La mise en conformité NIS2 n’est pas un projet qui se réalise en quelques semaines, mais elle n’est pas non plus inaccessible pour une PME organisée. Voici une approche structurée qui permet d’avancer efficacement sans disperser ses ressources.
Étape 1 — Confirmer votre périmètre
La première question est simple mais essentielle : êtes-vous dans le champ d’application ? Cela suppose d’analyser votre secteur d’activité (annexe I ou II), vos seuils de taille (effectif, chiffre d’affaires, total de bilan), et vos éventuelles relations avec des entités couvertes. Un doute sur votre périmètre doit être levé par un expert qui connaît les nuances de la directive.
Étape 2 — Évaluer votre niveau de maturité actuel
Une fois le périmètre confirmé, il faut mesurer l’écart entre votre posture de sécurité actuelle et les exigences de NIS2. C’est l’objet d’un audit de conformité NIS2 : il cartographie vos systèmes, identifie les manquements les plus critiques, et produit un plan de remédiation priorisé. Sans cet état des lieux, vous risquez d’investir là où ce n’est pas nécessaire et de négliger des failles béantes.
Étape 3 — Construire et documenter votre politique de sécurité
NIS2 exige une PSSI documentée, approuvée par la direction, et revue régulièrement. Ce document n’a pas besoin d’être un traité de 200 pages : il doit être adapté à votre réalité opérationnelle, compris par vos équipes, et effectivement appliqué. La forme compte moins que la substance et la traçabilité.
Étape 4 — Déployer les mesures techniques prioritaires
Sur la base de l’audit, déployez les mesures techniques en commençant par celles qui réduisent le plus le risque : MFA généralisée, sauvegardes hors ligne testées, gestion des correctifs, segmentation réseau. Ces mesures de base réduisent drastiquement l’impact potentiel des attaques par ransomware et des autres vecteurs d’intrusion les plus courants.
Étape 5 — Mettre en place les processus continus
La conformité NIS2 n’est pas un état qu’on atteint une fois pour toutes. Il faut des processus récurrents : revue périodique des risques, exercices de gestion de crise, veille sur les vulnérabilités, formation des équipes. L’organisation doit développer une culture de la sécurité qui imprègne l’ensemble des collaborateurs, pas seulement les équipes IT.
Le rôle de l’ANSSI dans l’application de NIS2
L’ANSSI est l’autorité nationale compétente en France pour NIS2. Elle est chargée de la supervision des entités essentielles et importantes, de la coordination avec ses homologues européens au sein du réseau CyCLONe et du groupe de coopération NIS, et de la publication de guides méthodologiques pour aider les organisations à se mettre en conformité.
L’ANSSI publie régulièrement des ressources pratiques : guides sectoriels, référentiels techniques, questions/réponses sur le périmètre. Ces documents sont publics et constituent une base de travail précieuse. Pour autant, les interpréter correctement et les appliquer à votre situation spécifique requiert une expertise que toutes les PME n’ont pas en interne.
Un point important : l’ANSSI encourage les entités concernées à s’enregistrer proactivement sur la plateforme nationale dédiée. Cet enregistrement permet à l’autorité de disposer d’une cartographie des entités couvertes, et aux entités de s’inscrire dans le dialogue avec leur régulateur avant toute situation de crise.
FAQ — Questions fréquentes sur NIS2
Mon entreprise est-elle concernée par NIS2 ?
Vous êtes potentiellement concerné si votre entreprise emploie plus de 50 salariés et réalise plus de 10 millions d’euros de chiffre d’affaires annuel, ET si elle opère dans l’un des 18 secteurs couverts par la directive (énergie, transports, santé, eau, infrastructure numérique, finances, administration publique, etc.). Les entités de taille supérieure (250 salariés, 50 M€ CA) peuvent être classées « essentielles ». Un audit de conformité NIS2 permet de confirmer rapidement votre statut.
Quelle est la différence entre entité essentielle et entité importante ?
Les entités essentielles (EE) sont les organisations de grande taille dans les secteurs critiques à fort impact (énergie, transports, banque, santé…). Les entités importantes (EI) regroupent les entreprises de taille intermédiaire ou issues de secteurs dits « importants » (gestion des déchets, chimie, alimentation, fabrication industrielle…). Les deux catégories sont soumises aux mêmes obligations de fond, mais le régime de supervision et le niveau des sanctions diffèrent : les EE font l’objet de contrôles a priori, les EI d’un contrôle a posteriori.
Quelles sont les principales obligations concrètes imposées par NIS2 ?
Les organisations concernées doivent mettre en place : une gouvernance de la cybersécurité avec implication de la direction, une analyse des risques formalisée, des mesures techniques (MFA, chiffrement, segmentation réseau, gestion des correctifs), un plan de continuité d’activité et de reprise après sinistre, une gestion rigoureuse des incidents (notification à l’ANSSI sous 24 heures pour l’alerte initiale), et un programme de sécurité pour leur chaîne d’approvisionnement.
Quelles sont les sanctions en cas de non-conformité NIS2 ?
Pour les entités essentielles, les sanctions administratives peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel (le montant le plus élevé étant retenu). Pour les entités importantes, le plafond est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial. Au-delà des amendes, la directive prévoit la possibilité de suspendre temporairement les certifications ou autorisations nécessaires à l’activité, ainsi que des mesures de responsabilité personnelle des dirigeants.
Quel est le calendrier de transposition et d’application de NIS2 en France ?
La directive NIS2 (UE 2022/2555) devait être transposée par les États membres au plus tard le 17 octobre 2024. En France, l’ANSSI pilote la transposition via un projet de loi dédié. Les premières obligations de notification d’incidents et d’enregistrement des entités entrent progressivement en vigueur, avec un déploiement des contrôles qui monte en puissance en 2025-2026. Il est donc urgent d’entamer dès maintenant la mise en conformité.
Par où commencer pour se mettre en conformité NIS2 quand on est une PME ?
La première étape est de confirmer si votre organisation entre dans le champ d’application (secteur + seuils de taille). Ensuite, il faut réaliser une évaluation de votre niveau de maturité cybersécurité actuel par rapport aux exigences NIS2. Sur cette base, vous définissez un plan de mise en conformité priorisé. Un diagnostic cybersécurité offert, réalisé par un expert, est le point de départ le plus efficace pour ne pas partir dans la mauvaise direction.
Votre PME est-elle exposée ? Faites le point en 30 minutes.
Diagnostic cybersécurité offert, sans engagement.
Aller plus loin
- Réaliser un audit de conformité NIS2 — notre accompagnement dédié pour PME et ETI
- Conformité RGPD en entreprise — complémentaire à NIS2, mêmes enjeux de gouvernance
- Comprendre et se protéger des attaques par ransomware — le scénario de crise le plus fréquent
- Demander votre diagnostic cybersécurité offert — 30 minutes pour savoir où vous en êtes
Rédigé par l’équipe cyber-diagnostic.fr — mis à jour le 30 juin 2026.
Laisser un commentaire