Nous utilisons des cookies sur ce site web

En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil pour améliorer la navigation sur le site, analyser l'utilisation du site et contribuer à nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

Accepter
Refuser

NIS2 : c'est quoi ? Directive, conformité et obligations (2026)

NIS2, c'est quoi exactement ? Directive européenne, entités concernées, obligations et calendrier de conformité en France. Le guide clair pour les PME et ETI

NIS2 : c'est quoi ? Directive, conformité et obligations (2026)
Sommaire :
Example H2
Example H3
Example H4
Example H5
Example H6

La directive NIS2 va concerner près de 15 000 entreprises françaises, contre environ 500 sous la première directive NIS. Si vous dirigez une PME ou une ETI dans l'un des 18 secteurs visés, la question n'est plus de savoir si vous êtes concerné, mais quand vous devrez être en règle — et ce que cela implique concrètement.

Ce guide répond aux trois questions que tout le monde se pose : NIS2, c'est quoi ? Qui est concerné ? Et comment se mettre en conformité sans attendre la dernière minute ? Avec un focus sur ce qui compte vraiment pour une PME ou une ETI : non pas la théorie réglementaire, mais ce qu'il faut faire concrètement.

📌 Ce qu'il faut retenir

  • NIS2 est une directive européenne de cybersécurité (directive UE 2022/2555) qui remplace la directive NIS de 2016 et élargit massivement son périmètre.
  • Près de 15 000 entités françaises sont concernées dans 18 secteurs, réparties en deux catégories : entités essentielles (EE) et entités importantes (EI).
  • Une entreprise est concernée si elle opère dans un secteur visé et compte au moins 50 salariés ou réalise plus de 10 M€ de chiffre d'affaires.
  • Les sanctions atteignent 10 M€ ou 2 % du chiffre d'affaires mondial, avec une responsabilité personnelle engagée pour les dirigeants.
  • En France, la transposition n'est pas encore promulguée (loi Résilience attendue en 2026), mais l'ANSSI encourage à anticiper dès maintenant.

NIS2, c'est quoi exactement ?

NIS2 (pour Network and Information Security 2) est une directive européenne adoptée le 14 décembre 2022 et entrée en vigueur le 16 janvier 2023. Elle remplace la première directive NIS de 2016 et constitue le nouveau cadre de référence pour la cybersécurité des organisations dans l'Union européenne.

Son objectif : relever le niveau de sécurité informatique global face à des cyberattaques toujours plus fréquentes et coûteuses. Là où la directive NIS de 2016 ne visait qu'environ 500 opérateurs en France, NIS2 étend ses obligations à plusieurs milliers d'entités dans des secteurs jugés stratégiques pour l'économie et la société.

Concrètement, NIS2 impose aux organisations concernées de :

  • mettre en place une gestion des risques cyber documentée et proportionnée ;
  • notifier les incidents majeurs à l'autorité compétente dans des délais stricts ;
  • impliquer la direction dans le pilotage de la cybersécurité ;
  • sécuriser leur chaîne d'approvisionnement et leurs sous-traitants.

En France, l'autorité chargée du contrôle et de la supervision est l'ANSSI (Agence nationale de la sécurité des systèmes d'information).

À noter : NIS2 est une directive, pas un règlement. Elle doit donc être transposée en droit national par chaque État membre pour devenir pleinement applicable. C'est ce qui explique le décalage entre l'échéance européenne et l'entrée en vigueur réelle en France.

La directive NIS2 : ce qui change par rapport à NIS1

La directive NIS2 n'est pas une simple mise à jour. Elle marque un changement d'échelle sur trois plans : le périmètre, les obligations et les sanctions.

Critère Directive NIS (2016) Directive NIS2 (2022)
Entités concernées (France) ~500 opérateurs ~15 000 entités
Secteurs couverts 6 secteurs 18 secteurs
Catégories OSE et FSN Entités essentielles (EE) et importantes (EI)
Responsabilité des dirigeants Non engagée Responsabilité personnelle
Sanctions maximales Limitées Jusqu'à 10 M€ ou 2 % du CA mondial

Le changement le plus structurant concerne la responsabilité personnelle des dirigeants. Sous NIS2, un manquement grave aux obligations de cybersécurité peut désormais engager directement la responsabilité de la direction — une nouveauté qui fait de la conformité un sujet de comité de direction, et non plus seulement de la DSI.

Qui est concerné par NIS2 ? Entités essentielles et importantes

NIS2 distingue deux catégories d'organisations, en fonction de leur secteur d'activité et de leur taille. Une entreprise relève généralement du périmètre dès lors qu'elle opère dans l'un des 18 secteurs visés et qu'elle emploie au moins 50 salariés ou réalise plus de 10 M€ de chiffre d'affaires.

  Entités essentielles (EE) Entités importantes (EI)
Profil de secteurs Secteurs à criticité maximale (énergie, transport, banque, santé, eau, infrastructures numériques, administration…) Secteurs critiques étendus (services postaux, déchets, chimie, alimentation, industrie, fournisseurs numériques…)
Seuils indicatifs À partir de 250 salariés ou 50 M€ de CA Entre 50 et 249 salariés ou 10 à 50 M€ de CA
Niveau de supervision Contrôle proactif de l'ANSSI Contrôle a posteriori (sur incident ou signalement)

Cas particulier : certaines entités sont concernées quelle que soit leur taille — fournisseurs de services DNS, registres de noms de domaine, opérateurs de télécommunications. La taille n'est donc pas le seul critère : le rôle joué dans l'écosystème numérique compte aussi.

Comment savoir si vous êtes concerné ? L'ANSSI met à disposition la plateforme MonEspaceNIS2, qui propose un outil de pré-diagnostic gratuit. C'est le point de départ recommandé pour clarifier votre situation avant d'engager une démarche de mise en conformité.

👀 Ce qu'on voit chez nos clients PME

La plupart des entreprises de 50 à 250 salariés que nous accompagnons découvrent qu'elles sont concernées sans le savoir. Le réflexe « NIS2, c'est pour les grandes entreprises » est la première erreur. La seconde, c'est de croire qu'on est conforme parce qu'on a un antivirus et des sauvegardes. NIS2 demande de prouver sa démarche, pas seulement d'avoir des outils.

Les obligations NIS2 : que doit faire une entreprise concernée ?

Au-delà du périmètre, NIS2 fixe des obligations concrètes. Elles s'articulent autour de quatre piliers que toute entité concernée devra documenter et pouvoir prouver en cas de contrôle.

1. Gestion des risques cyber. Mettre en place des mesures techniques et organisationnelles proportionnées : politique de sécurité, gestion des accès, chiffrement, sauvegardes testées et plan de reprise d'activité, plan de continuité.

2. Notification des incidents. Signaler tout incident significatif à l'ANSSI dans des délais courts — typiquement une alerte précoce sous 24 heures et un rapport intermédiaire sous 72 heures.

3. Gouvernance et implication de la direction. Les organes de direction doivent être formés à la cybersécurité et valider les mesures de gestion des risques. C'est une obligation, pas une recommandation.

4. Sécurité de la chaîne d'approvisionnement. Évaluer et encadrer les risques liés aux fournisseurs et sous-traitants. Les risques de vos prestataires deviennent vos risques.

✅ Bon à savoir

Beaucoup de ces obligations recoupent des bonnes pratiques déjà couvertes par d'autres référentiels (RGPD, ISO 27001). Une entreprise déjà engagée dans une démarche de cybersécurité structurée part avec une longueur d'avance pour sa conformité NIS2.

Conformité NIS2 : calendrier et état de la transposition en France

C'est le point qui prête le plus à confusion. NIS2 est une directive européenne, mais elle n'est pas directement applicable en France tant que la loi de transposition n'est pas promulguée.

La France a dépassé l'échéance européenne du 17 octobre 2024. La transposition se fait via le projet de loi Résilience(relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité), qui couvre aussi les cadres DORA et REC.

Étape Date
Adoption de la directive NIS2 par l'UE 14 décembre 2022
Échéance européenne de transposition (non tenue par la France) 17 octobre 2024
Adoption au Sénat en première lecture (loi Résilience) Mars 2025
Examen en commission spéciale à l'Assemblée nationale 10 septembre 2025
Publication du Référentiel Cyber France (ReCyF) par l'ANSSI 17 mars 2026
Adoption définitive et promulgation (prévision) 2026

Une fois la loi promulguée, les entreprises concernées disposeront d'une période de transition (jusqu'à trois ans pour certaines catégories) pour atteindre la conformité complète. L'ANSSI a par ailleurs annoncé une approche progressive : sensibilisation, puis audits ciblés, puis sanctions pour les manquements persistants.

Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui détaille les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Bien que non contraignant à ce stade, ce référentiel permet aux futures entités assujetties de s'en prévaloir en cas de contrôle.

⚠️ Pourquoi ne pas attendre la promulgation

L'ANSSI encourage explicitement les futures entités concernées à ne pas attendre la finalisation de la transposition. La mise en conformité prend du temps (audit, gouvernance, mesures techniques), et anticiper évite le « rattrapage urgent » au moment où les sanctions deviendront effectives.

Par où commencer sa mise en conformité NIS2 ?

Voici une démarche pragmatique pour structurer votre conformité, sans attendre les derniers décrets.

1. Vérifier votre périmètre. Utilisez la plateforme MonEspaceNIS2 de l'ANSSI pour déterminer si vous êtes entité essentielle, importante, ou hors scope.

2. Réaliser un état des lieux. Auditez votre niveau de sécurité actuel : gestion des accès, sauvegardes, supervision, plan de reprise, sensibilisation des équipes.

3. Structurer la gouvernance. Impliquez la direction, désignez un responsable et planifiez une formation cybersécurité pour les dirigeants.

4. Combler les écarts. Déployez les mesures techniques manquantes (EDR, MFA, chiffrement, sauvegardes immuables, détection des incidents) en vous appuyant sur le ReCyF.

5. Encadrer vos sous-traitants. Intégrez des exigences de sécurité dans vos contrats fournisseurs.

Concrètement, ça ressemble à quoi pour une PME ?

Voici un exemple de trajectoire de mise en conformité pour une entité importante type (PME industrielle, environ 120 salariés).

Avant — l'état des lieux

Antivirus historique, sauvegardes non testées depuis des mois, aucune politique d'accès formalisée, dirigeants non formés, aucun process de notification d'incident. Conformité NIS2 réelle : proche de zéro, alors que l'entreprise est sous-traitante d'un donneur d'ordre du secteur de l'énergie.

Après — la trajectoire d'accompagnement

Audit de l'existant, déploiement EDR/MFA, mise en place de sauvegardes immuables avec tests de restauration mensuels, supervision continue, formation des dirigeants, et procédure de notification d'incident documentée. L'entreprise dispose d'un dossier de conformité opposable en cas de contrôle.

Combien ça coûte et combien de temps ? Tout dépend du point de départ, mais voici des ordres de grandeur indicatifs.

Profil Périmètre type Horizon de mise en conformité
Entité importante (mono-site, 50–250 salariés) Audit, gouvernance, EDR/MFA, sauvegardes testées, formation dirigeants, procédure incident 12 à 18 mois
Entité essentielle (multi-sites) Idem + SOC managé, RSSI externalisé, audit chaîne d'approvisionnement, exercices de crise 18 à 24 mois

Ordres de grandeur indicatifs basés sur les retours du secteur. Le budget réel dépend de la maturité de départ, du nombre de sites et de l'existant technique.

C'est là qu'un partenaire informatique expérimenté fait gagner du temps. Chez IT Systèmes, nous accompagnons les PME et ETI dans leur mise en conformité via notre offre cybersécurité et notre infogérance managée — qui intègre supervision 24/7, détection des menaces et pilotage par un RSSI externalisé, autant de briques directement utiles pour répondre aux exigences NIS2.

FAQ — Questions fréquentes sur NIS2

NIS2, ça veut dire quoi ?

NIS2 signifie « Network and Information Security 2 ». C'est la deuxième version de la directive européenne sur la sécurité des réseaux et des systèmes d'information, adoptée en décembre 2022 pour renforcer la cybersécurité dans l'Union européenne.

Mon entreprise est-elle concernée par NIS2 ?

Vous êtes probablement concerné si vous opérez dans l'un des 18 secteurs visés et comptez au moins 50 salariés ou réalisez plus de 10 M€ de chiffre d'affaires. Le pré-diagnostic gratuit sur la plateforme MonEspaceNIS2 de l'ANSSI permet de le vérifier précisément.

Quelles sont les sanctions en cas de non-conformité NIS2 ?

Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. NIS2 introduit aussi la responsabilité personnelle des dirigeants en cas de manquement grave.

Quand NIS2 entre-t-elle en vigueur en France ?

La directive n'est pas encore pleinement applicable en France : elle dépend de la promulgation de la loi Résilience, attendue en 2026. L'ANSSI recommande toutefois aux entreprises d'anticiper dès maintenant leur mise en conformité.

Quelle différence entre entité essentielle et entité importante ?

Les entités essentielles relèvent des secteurs les plus critiques et font l'objet d'un contrôle proactif de l'ANSSI. Les entités importantes opèrent dans des secteurs critiques étendus et sont contrôlées a posteriori, sur incident ou signalement.

Nos derniers articles

Voir plus
logiciel

"Je flippe d'installer un logiciel"

En 1996 je faisais mes premiers pas en informatique sur un poste où je faisais du tableau Excel pour classer les codes de triches de mes jeux vidéo préférés. 🕹️Le début d’une passion pour les outils bureautiques (chacun son truc 😅). Il y avait 3 000 machines connectées à internet ! 😶 Mais que s'est-il passé après ?
15/6/2026
fishing
Cybersécurité

Phishing en 2026 : Pourquoi 82% des entreprises se feront avoir cette année (et comment éviter d'en faire partie)

Spear phishing, BEC, deepfake vocal : pourquoi la formation seule échoue, ce que coûte vraiment un incident (275k€) et les protections qui marchent en 2026
12/6/2026
sauvegarde-vs-la-retention

Comparons la sauvegarde VS la rétention

La sauvegarde VS la rétention : voilà le match que tout le monde attendait !!! 🥊 (okai pas du tout mais il me fallait un titre accrocheur..🤫)
15/6/2026