NIS2 : êtes-vous prêt ?
La directive européenne qui change la donne pour la cybersécurité des entreprises françaises.
Comprenez vos obligations en 5 minutes.
MSP & MSSP : CYBERESIST® répond à vos enjeux
PROSPECTION : anticipez rapidement les premiers diagnostics sur vos clients ou prospects afin d’évaluer vos actions commerciales pour les organisations concernées.
DIAGNOSTICS AUTOMATISÉS : Gérez les diagnostics NIS2 et les audits de cybersécurité associés pour vos clients avec la résolution des failles de sécurité.
LA DIRECTIVE NIS2 EN 3 POINTS
QUOI ?
Une directive européenne qui impose des obligations de cybersécurité aux entreprises critiques et à leurs fournisseurs. Un périmètre 60x plus large que NIS1 (2016)
POURQUOI ?
Parce qu'une cyberattaque sur une entreprise critique peut paralyser tout un secteur économique. L'UE veut uniformiser la cyber-résilience de ses États membres.
QUAND ?
La loi française "Résilience" est en cours d'adoption (examen au Parlement). Mais les menaces, elles, n'attendent pas. 3 ans pour se conformer après promulgation.
Ce qui change
2016 NIS1
~300 entités en France. Opérateurs de Services Essentiels
ÉVOLUTION DU PÉRIMÈTRE
Extension de la directive aux Entités essentielles et Entités Importantes
2024-2025 NIS2
~18 000 entités en France.
QUI EST CONCERNÉ ?
Annexe 1 : Entités Essentielles
Secteurs hautement critiques
Énergie
Transports
Banques
Marchés financiers
Santé
Eau potableCritères de classification
Entités essentielles (EE)
Grandes entreprises des secteurs Annexe 1
> 250 salariés ou
> 50M€ CA et > 43M€ bilan
Obligations maximales 20 objectifs de sécurité -> impose des audits réguliers
Annexe 2 : Entités Importantes
Autres secteurs critiques
Critères de classification
Entités importantes (EI)
Moyennes entreprises des secteurs Annexes 1 & 2
> 50 salariés ou
> 10M€ CA
Obligations adaptées 15 objectifs de sécurité -> impose des audits réguliers
Le cas des sous-traitants
Même si vous êtes hors périmètre direct, vos clients régulés vont exiger des garanties. NIS2 impose aux entités de sécuriser leur chaîne d'approvisionnement. La pression redescend dans la chaîne de valeur.
SUIS-JE CONCERNÉ ?
Répondez à 5 questions pour savoir si votre entreprise entre dans le périmètre NIS2.
CONFORMITÉ
Concrètement, que dois-je faire ?
01
Votre direction doit valider la stratégie cyber et suivre une formation. La responsabilité remonte au COMEX.
02
Identifier ce qui peut vous mettre à terre et comment vous en protéger. Cartographie, évaluation, plan de traitement.
03
20 objectifs pour les Entités Essentielles (EE), 15 pour les Entités Importantes (EI). Attention : ISO 27001 seul n’en couvre que 2.
05
24h pour l’alerte initiale, 72h pour la notification, 1 mois pour le rapport final.
06
Vos prestataires deviennent votre responsabilité.
- Clauses contractuelles,
- Audits,
- Plan B.
07
Déclaration obligatoire sur MonEspaceNIS2 avec informations sur vos systèmes et contacts.
ISO 27001 ≠ NIS2
Selon l'ANSSI, la certification ISO 27001 ne couvre que 2 des 20 objectifs NIS2.
C'est un bon départ mais loin d'être suffisant. Il faut construire une passerelle entre ce qui est déjà couvert et ce qui manque.
Même si vous êtes hors périmètre direct, vos clients régulés vont exiger des garanties.
NIS2 impose aux entités de sécuriser leur chaîne d'approvisionnement.
RISQUES
Ce qui se passe si vous n'êtes pas conforme
ENTITÉS ESSENTIELLES
10M€ ou 2% du CA mondial. Le montant le plus élevé s'applique
ENTITÉS IMPORTANTES
7M€ ou 1.4% du CA mondial. Le montant le plus élevé s'applique
Au-delà des amendes
RESPONSABILITÉ PERSONNELLE
Les dirigeants peuvent être tenus personnellement responsables
SUSPENSION D'ACTIVITÉ
Interdiction temporaire d'exercer certaines fonctions.
ATTEINTE À LA RÉPUTATION
Publication des manquements et sanctions.
"Le coût moyen d'une cyberattaque représente 5 à 10% du CA annuel, quelle que soit la taille de l'entreprise."— Cour des Comptes, Juin 2025
NOTRE APPROCHE
Pourquoi CYBERESIST ?
LE PROBLÈME DES PLATEFORMES NIS2
Beaucoup d'outils vous promettent de "suivre votre conformité NIS2". Ils vous donnent des tableaux de bord, des checklists... mais vous laissent seul face à l'exécution.
NOTRE APPROCHE : L'ACCOMPAGNEMENT SUR VOS AUDITS
Pas une plateforme de suivi. Un partenaire qui fait le travail avec vous.
AUDITS TECHNIQUES
Nos outils automatisés détectent vos non-conformités sur l'Active Directory, le cloud, les applications web.
ORGANISATION
Audit des processus, de la gouvernance, de la gestion des risques. On structure ce qui manque.
JURIDIQUE
Validation de vos documents, politiques, contrats fournisseurs. Conformité documentée.
Prêt à passer à l'action ?
Obtenez le diagnostic personnalisé de votre situation NIS2
DÉMYSTIFICATION
Kit anti-bullshit : 12 mythes NIS2
On n'est pas concerné
Réalité : Beaucoup plus d’organisations entrent dans le scope, et même hors-scope, l’effet rebond via vos clients/partenaires arrive vite.
Action : Vérifiez secteur / taille / rôle dans la chaîne de valeur / dépendances.
On est trop petit
Réalité : Raisonner « PME = PEU DE RISQUE » est un piège (exceptions + rôle critique + supply chain).
Action : Posez-vous la question en termes d’impact et de dépendances.
On verra en 2027
Réalité : En France, la transposition est en cours ; l’entrée en vigueur dépend de la promulgation des textes, et le projet de loi a déjà franchi plusieurs étapes.
Action : Démarrez maintenant ce qui est utile de toute façon : cartographie, risques, incidents, sauvegardes.
On a déjà un SOC donc c'est bon
Action : Regardez ce qui casse en vrai : identités, backups, PRA, tiers, vulnérabilités.
ISO 27001 = NIS2
On a acheté un EDR / SIEM / Firewall
Réalité : Acheter ≠ maîtriser.
Action : Prouvez que ça marche : use-cases, alertes utiles, runbooks, ownership, métriques.
On est dans le Cloud, c'est le problème du fournisseur
Réalité : Vous externalisez un service, pas votre responsabilité (notamment sur la gestion des risques et des incidents).
Action : Clarifiez les « responsabilités partagées » + clauses + plan B.
On a jamais eu d'incident
Réalité : Ça veut souvent dire « on n’a jamais détecté/qualifié ».
Action : Tabletop ransomware + test de restauration (pas juste « on a des backups »).
C'est un sujet IT, pas COMEX
Réalité : NIS2 place la direction dans la boucle : validation des mesures, supervision, et responsabilité possible.
Action : 1 slide COMEX : risques business + 3 priorités + budget + preuves.
On fera un audit et ce sera réglé
Réalité : NIS2 = capacité continue, pas un PDF annuel.
Action : Transformez l’audit en backlog : owner, date, critères de réussite, preuves.
Les amendes, c'est du bluff
Réalité : Le texte fixe des plafonds clairs : jusqu’à 10M€ / 2% pour les Entités Essentielles (EE) et 7M€ / 1,4% pour les Entités Importantes (EI).
Action : Ne pilotez pas par la peur. Pilotez par le coût réel : arrêt d’activité, clients, assurance.
On avisera si on se fait attaquer
Réalité : Les notifications sont cadencées : alerte rapide (24h), notification (72h), puis rapport final (1 mois).
Action : Préparez votre « incident pack » (contacts, critères, modèles, chaîne de décision).
QUESTIONS FRÉQUENTES
La France est en retard, dois-je m'y mettre maintenant ?
Oui, absolument. Le projet de loi « Résilience » avance (passé au Sénat, travaux à l’Assemblée). Mais surtout : les menaces cyber n’attendent pas la loi. Commencer maintenant vous donne un avantage : vous aurez le temps de faire les choses bien plutôt que dans l’urgence. Et tout ce que vous mettez en place (cartographie, gestion des risques, procédures d’incident) vous protège dès aujourd’hui.
En tant que sous-traitant d'une entreprise régulée, sommes-nous concernés ?
Pas directement par la loi (sauf si vous entrez vous-même dans les critères), mais indirectement oui. NIS2 impose aux entités régulées de sécuriser leur chaîne d’approvisionnement. Concrètement, vos clients vont vous demander des garanties : questionnaires de sécurité, clauses contractuelles, preuves de conformité. Anticiper ces demandes est un avantage commercial.
Mon organisation est déjà certifiée ISO 27001, est-ce suffisant ?
Non. Selon l’ANSSI, ISO 27001 ne couvre que 2 des 20 objectifs NIS2. C’est un excellent socle, mais il manque notamment : les obligations de notification d’incidents (délais stricts), la sécurité de la chaîne d’approvisionnement, certaines mesures techniques spécifiques, et la dimension « preuves » que NIS2 impose. Utilisez votre certification comme fondation et construisez la passerelle vers NIS2.
Quel est le calendrier précis en France
La directive devait être transposée au 17 octobre 2024 — la France est en retard (comme 23 autres pays). Le projet de loi « Résilience » a été examiné au Sénat début 2025 et est en cours à l’Assemblée. Une fois la loi promulguée, les entreprises auront 3 ans pour se conformer. Les décrets d’application suivront. L’ANSSI publiera la liste des entités concernées.
Par où commencer ?
Notre recommandation en 4 étapes :
- Vérifiez votre éligibilité sur MonEspaceNIS2 (ou avec notre quiz)
- Cartographiez vos systèmes critiques et vos dépendances
- Évaluez vos écarts par rapport aux 20 objectifs (ou 15 pour les EI)
- Priorisez les actions à fort impact : incidents, backups, accès privilégiés
Quelle différence entre une Entité Essentielle et une Entité Importante ?
Les Entités Essentielles (EE) sont les grandes entreprises des secteurs hautement critiques (Annexe 1). Elles ont des obligations maximales : 20 objectifs de sécurité, contrôles proactifs de l’ANSSI, sanctions jusqu’à 10M€/2% du CA.
Les Entités Importantes (EI) sont les moyennes entreprises ou celles des secteurs Annexe 2. Obligations allégées : 15 objectifs (environ 60% des EE), contrôles réactifs, sanctions jusqu’à 7M€/1,4% du CA.
