NIS2 : êtes-vous prêt ?
La directive européenne qui change la donne pour la cybersécurité des entreprises.
CYBERESIST vous assiste pour comprendre vos obligations en 5 minutes
LA DIRECTIVE NIS2 EN 3 POINTS
QUOI
Une directive européenne qui impose des obligations de cybersécurité aux entreprises critiques et à leurs fournisseurs, soit~18 000 entités en France.
POURQUOI
Parce qu'une cyberattaque sur une entreprise critique peut paralyser tout un secteur économique. L'UE veut uniformiser la cyber-résilience de ses États membres.
QUAND
La loi française "Résilience" est en cours d'adoption en 2026 mais les menaces, elles, n'attendent pas. Vous avez 3 ans pour vous conformer après promulgation.
QUI EST CONCERNÉ ?
Entités Essentielles (Annexe 1)
Secteurs hautement critiques
- Eaux usées
- Infrastructures numériques
- Services IT (B2B)
- Administrations publiques
- Espace
Critères de classification
Grandes entreprises des secteurs Annexe 1
> À partir de 250 salariés ou
> Plus de 50M€ CA et > 43M€ bilan
Entités Importantes (Annexe 2)
Autres secteurs critiques
- Services postaux
- Gestion des déchets
- Chimie
- Alimentaire
- Fabrication
- Recherche
- Fournisseurs de services numériques
Critères de classification
Moyennes entreprises des secteurs Annexes 1 & 2
> À partir de de 50 salariés ou
> Plus de 10M€ de CA
AUTO DIAGNOSTIC
Répondez à 5 questions pour savoir si votre entreprise entre dans le périmètre NIS2.
LES RISQUES
Ce qui se passe si vous n'êtes pas conforme
ENTITÉS ESSENTIELLES
10M€ ou 2% du CA mondial. Le montant le plus élevé s'applique.
ENTITÉS IMPORTANTES
7M€ ou 1.4% du CA mondial. Le montant le plus élevé s'applique.
Au-delà des amendes
RESPONSABILITÉ
Les dirigeants peuvent être tenus personnellement responsables
SUSPENSION D'ACTIVITÉ
Interdiction temporaire d'exercer certaines fonctions.
ATTEINTE À LA RÉPUTATION
Publication des manquements.
Et sanctions.
DÉMYSTIFICATION NIS2
Les erreurs classiques
On n'est pas concerné
Réalité : Beaucoup plus d’organisations entrent dans le scope, et même hors-scope, l’effet rebond via vos clients/partenaires arrive vite.
Action : Vérifiez secteur / taille / rôle dans la chaîne de valeur / dépendances.
On est trop petit
Réalité : Raisonner « PME = PEU DE RISQUE » est un piège (exceptions + rôle critique + supply chain).
Action : Posez-vous la question en termes d’impact et de dépendances.
On verra en 2027
Réalité : En France, la transposition est en cours ; l’entrée en vigueur dépend de la promulgation des textes, et le projet de loi a déjà franchi plusieurs étapes.
Action : Démarrez maintenant ce qui est utile de toute façon : cartographie, risques, incidents, sauvegardes.
On a acheté un EDR / SIEM / Firewall
Réalité : Acheter ≠ maîtriser.
Action : Prouvez que ça marche : use-cases, alertes utiles, runbooks, ownership, métriques.
On a déjà un SOC
Action : Regardez ce qui casse en vrai : identités, backups, PRA, tiers, vulnérabilités.
ISO 27001 = NIS2
On est dans le Cloud, c'est le problème du fournisseur
Réalité : Vous externalisez un service, pas votre responsabilité (notamment sur la gestion des risques et des incidents).
Action : Clarifiez les « responsabilités partagées » + clauses + plan B.
C'est un sujet IT, pas COMEX
Réalité : NIS2 place la direction dans la boucle : validation des mesures, supervision, et responsabilité possible.
Action : 1 slide COMEX : risques business + 3 priorités + budget + preuves.
On fera un audit et ce sera réglé
Réalité : NIS2 = capacité continue, pas un PDF annuel.
Action : Transformez l’audit en backlog : owner, date, critères de réussite, preuves.
Les amendes, c'est du bluff
Réalité : Le texte fixe des plafonds clairs : jusqu’à 10M€ / 2% pour les Entités Essentielles (EE) et 7M€ / 1,4% pour les Entités Importantes (EI).
Action : Ne pilotez pas par la peur. Pilotez par le coût réel : arrêt d’activité, clients, assurance.
QUESTIONS FRÉQUENTES
La France est en retard, dois-je m'y mettre maintenant ?
Oui, absolument. Le projet de loi « Résilience » avance (passé au Sénat, travaux à l’Assemblée). Mais surtout : les menaces cyber n’attendent pas la loi. Commencer maintenant vous donne un avantage : vous aurez le temps de faire les choses bien plutôt que dans l’urgence. Et tout ce que vous mettez en place (cartographie, gestion des risques, procédures d’incident) vous protège dès aujourd’hui.
En tant que sous-traitant d'une entreprise régulée, sommes-nous concernés ?
Pas directement par la loi (sauf si vous entrez vous-même dans les critères), mais indirectement oui. NIS2 impose aux entités régulées de sécuriser leur chaîne d’approvisionnement. Concrètement, vos clients vont vous demander des garanties : questionnaires de sécurité, clauses contractuelles, preuves de conformité. Anticiper ces demandes est un avantage commercial.
Mon organisation est déjà certifiée ISO 27001, est-ce suffisant ?
Non. Selon l’ANSSI, ISO 27001 ne couvre que 2 des 20 objectifs NIS2. C’est un excellent socle, mais il manque notamment : les obligations de notification d’incidents (délais stricts), la sécurité de la chaîne d’approvisionnement, certaines mesures techniques spécifiques, et la dimension « preuves » que NIS2 impose. Utilisez votre certification comme fondation et construisez la passerelle vers NIS2.
Quel est le calendrier précis en France
La directive devait être transposée au 17 octobre 2024 — la France est en retard (comme 23 autres pays). Le projet de loi « Résilience » a été examiné au Sénat début 2025 et est en cours à l’Assemblée. Une fois la loi promulguée, les entreprises auront 3 ans pour se conformer. Les décrets d’application suivront. L’ANSSI publiera la liste des entités concernées.
Par où commencer ?
Notre recommandation en 4 étapes :
- Vérifiez votre éligibilité sur MonEspaceNIS2 (ou avec notre quiz)
- Cartographiez vos systèmes critiques et vos dépendances
- Évaluez vos écarts par rapport aux 20 objectifs (ou 15 pour les EI)
- Priorisez les actions à fort impact : incidents, backups, accès privilégiés
Quelle différence entre une Entité Essentielle et une Entité Importante ?
Les Entités Essentielles (EE) sont les grandes entreprises des secteurs hautement critiques (Annexe 1). Elles ont des obligations maximales : 20 objectifs de sécurité, contrôles proactifs de l’ANSSI, sanctions jusqu’à 10M€/2% du CA.
Les Entités Importantes (EI) sont les moyennes entreprises ou celles des secteurs Annexe 2. Obligations allégées : 15 objectifs (environ 60% des EE), contrôles réactifs, sanctions jusqu’à 7M€/1,4% du CA.
