NIS-2 : ce que la directive impose vraiment aux entreprises françaises
- Isabelle Eilam-Tedgui
- il y a 1 jour
- 4 min de lecture
La directive européenne NIS-2 redéfinit les règles du jeu en cybersécurité. Avec un périmètre trente fois plus large que NIS-1 et des sanctions pouvant atteindre 2 % du chiffre d'affaires mondial, elle concerne désormais entre 15 000 et 18 000 entreprises en France. Votre organisation en fait-elle partie ? Quelles sont vos obligations ?
De 500 à 15 000 entités : un changement d'échelle radical
Quand la première directive NIS est entrée en vigueur en 2016, elle ne ciblait qu'une poignée d'acteurs stratégiques : environ 500 organisations françaises, réparties dans 6 secteurs. NIS-2 change complètement la donne. Le périmètre s'étend désormais à 18 secteurs d'activité : énergie, transport, santé, finance, mais aussi agroalimentaire, gestion des déchets, services numériques, administrations publiques ou encore fabrication de dispositifs médicaux.
Le critère de désignation change lui aussi. Fini le système au cas par cas : NIS-2 repose sur des seuils automatiques liés à la taille de l'entreprise, son chiffre d'affaires et la criticité de ses services. Concrètement, des ETI et PME qui n'avaient jamais été soumises à un cadre réglementaire cyber se retrouvent directement dans le scope, souvent sans le savoir.
NIS-2 : deux catégories, un même socle d'exigences cybersécurité
La directive distingue les entités essentielles (EE) des entités importantes (EI). Les premières, grandes organisations dans les secteurs les plus critiques, font l'objet de contrôles plus stricts. Mais les deux catégories partagent un socle commun d'obligations qui ne laisse rien au hasard.
Gestion des risques et gouvernance.
L'entreprise doit mener une analyse de risques documentée et régulièrement mise à jour sur l'ensemble de ses systèmes d'information critiques. Ce n'est plus une recommandation, c'est une obligation. Et la direction est personnellement impliquée. NIS-2 exige une gouvernance explicite de la cybersécurité au plus haut niveau, avec formation obligatoire des dirigeants, ceux-ci pouvant voir leur responsabilité personnelle engagée.
Mesures techniques de protection.
Chiffrement, authentification forte, segmentation réseau, sauvegardes, journalisation des événements de sécurité, la directive impose la mise en œuvre de protections proportionnées au niveau de risque. Chaque entreprise doit documenter ses politiques couvrant la prévention, la détection, la réaction aux incidents et la gestion des vulnérabilités.
Plan de continuité et de reprise.
Avoir un PCA/PRA ne suffit plus : il faut l'avoir testé. NIS-2 impose des exercices réguliers de gestion de crise pour vérifier que l'organisation est réellement capable de reprendre ses activités après un incident majeur.
Sécurité de la chaîne d'approvisionnement.
Les exigences ne s'arrêtent pas aux murs de l'entreprise. Chaque organisation doit évaluer et contractualiser les garanties de cybersécurité de ses prestataires et sous-traitants. Un fournisseur vulnérable devient votre vulnérabilité.
Sensibilisation et formation.
Tous les collaborateurs, pas seulement les équipes IT, doivent être formés à une culture de sécurité. L'objectif : faire de la cybersécurité un réflexe partagé à tous les niveaux de l'entreprise.
La notification d'incidents, un exercice sous pression
NIS-2 durcit considérablement le régime de déclaration des incidents. Dès qu'un incident significatif est détecté – impact opérationnel, fuite de données, atteinte à un service essentiel – l'entreprise doit émettre une alerte précoce auprès de l'ANSSI dans les 24 heures, suivie d'un rapport détaillé dans un délai fixé par la transposition nationale.
Plus exigeant encore : l'entreprise doit informer ses clients et bénéficiaires lorsqu'une menace peut les affecter, en communiquant les mesures correctives à appliquer. Le tout en coopérant avec les réseaux européens de gestion de crise (CSIRT, EU-CyCLONe).
Autrement dit, il ne s'agit plus seulement de subir un incident, il faut être capable de le qualifier, le déclarer et le gérer en temps contraint, sous le regard des autorités.
Des sanctions qui visent aussi les dirigeants
Le volet sanctions de NIS-2 marque une rupture nette. Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % du CA pour les entités importantes. Mais, comme indiqué, le signal le plus fort est ailleurs : la directive prévoit explicitement la responsabilité personnelle des dirigeants en cas de manquements graves à la gouvernance cyber. Des suspensions de certifications et des interdictions temporaires d'exercer des fonctions de direction sont également envisagées.
Une transposition française en cours de finalisation
En France, le projet de loi Résilience, qui transpose NIS-2 aux côtés des directives REC et DORA, a été adopté par le Sénat en mars 2025 et examiné en commission spéciale à l'Assemblée nationale en septembre 2025. L'examen en séance publique et l'adoption définitive sont attendus dans les prochains mois. L'ANSSI prévoit d'accorder un délai de mise en conformité de trois ans après la promulgation de la loi, mais elle recommande sans ambiguïté de ne pas attendre : la menace, elle, est déjà là.
Car le paradoxe de NIS-2, c'est que ses exigences ne font que formaliser ce que toute entreprise devrait déjà avoir en place face au niveau de menace actuel. En 2023, l'ANSSI a traité 4 386 incidents de sécurité, en hausse de 15 % sur un an. Les attaques ne ciblent plus uniquement les grands groupes, elles frappent les ETI, les PME, les collectivités…
Le vrai défi : passer de la théorie à la pratique
La liste des obligations NIS-2 est claire. Ce qui l'est beaucoup moins, c'est comment une ETI ou une PME, avec ses contraintes de budget, de ressources et de compétences, peut les mettre en œuvre concrètement. Par où commencer ? Quels chantiers prioriser ? Comment structurer une démarche de conformité qui soit aussi un vrai levier de protection, et pas seulement un exercice administratif ?
C'est précisément ce que nous aborderons lors de notre webinaire « NIS-2 : Êtes-vous prêts ? », avec Frédéric Costa – CEO de ZeroTrust – et Marc Fesler – CEO de Carinel. L'objectif : vous donner les clés pour transformer NIS-2 en opportunité business et mettre en place une sécurité durable.
