En bref : La directive NIS2 est en vigueur depuis octobre 2024 en France. Elle impose des obligations de cybersécurité à environ 15 000 entités françaises — dont beaucoup d'ETI et de collectivités qui ne se pensaient pas concernées. Sanctions : jusqu'à 10M€ et responsabilité personnelle du dirigeant.
Qu'est-ce que NIS2 ?
NIS2 (Network and Information Security Directive 2) est la directive européenne de cybersécurité qui remplace et élargit considérablement NIS1 de 2016. Transposée en droit français, elle est applicable depuis octobre 2024.
Son objectif : élever le niveau de cybersécurité des entités critiques et importantes en Europe, en leur imposant des mesures techniques et organisationnelles mesurables, et en responsabilisant personnellement les dirigeants.
Qui est concerné par NIS2 ?
NIS2 distingue deux catégories d'entités dans 18 secteurs d'activité :
| Catégorie | Seuil | Exemples de secteurs | Amende max. |
|---|---|---|---|
| Entités Essentielles (EE) | +250 sal. ou +50M€ CA | Énergie, santé, transports, eau, infrastructures numériques | 10M€ ou 2% CA mondial |
| Entités Importantes (EI) | +50 sal. ou +10M€ CA | Services postaux, gestion des déchets, fabrication critique, services numériques | 7M€ ou 1,4% CA mondial |
⚠ Attention : Les PME sous-traitantes de ces entités sont également dans le périmètre via les exigences de la chaîne d'approvisionnement. Si vous travaillez pour une collectivité, un hôpital ou une ETI du secteur énergétique, vous pouvez être concerné indirectement.
En France, l'ANSSI estime que NIS2 s'applique à environ 15 000 entités — contre 500 sous NIS1. C'est un choc de périmètre considérable.
Quelles sont les obligations concrètes ?
NIS2 impose des mesures dans 10 domaines :
- Politique de sécurité des systèmes d'information — document formalisé, validé par la direction
- Gestion des risques — cartographie des actifs critiques, analyse des menaces
- Gestion des incidents — détection, notification à l'ANSSI sous 24h, rapport sous 72h
- Continuité d'activité — PRA/PCA documenté et testé
- Sécurité de la chaîne d'approvisionnement — évaluation de vos prestataires IT
- Sécurité du réseau et des systèmes — segmentation, contrôle des accès, MFA
- Gestion des accès et authentification — principe du moindre privilège, MFA obligatoire
- Chiffrement des données — en transit et au repos sur les actifs critiques
- Sécurité des ressources humaines — formation, sensibilisation, gestion des départs
- Utilisation de la cryptographie — algorithmes conformes aux recommandations ANSSI
Sanctions : à quoi s'exposer ?
Les sanctions NIS2 sont significativement plus élevées que NIS1, et surtout : elles impliquent la responsabilité personnelle des dirigeants.
| Type de sanction | Entité Essentielle | Entité Importante |
|---|---|---|
| Amende administrative | Jusqu'à 10M€ ou 2% CA mondial | Jusqu'à 7M€ ou 1,4% CA mondial |
| Responsabilité dirigeant | Oui — responsabilité personnelle | Oui — responsabilité personnelle |
| Mesures d'urgence ANSSI | Suspension d'activité possible | Mesures correctives imposées |
| Audit obligatoire | Audits réguliers ANSSI | Audits sur incident |
Point clé : La responsabilité personnelle du dirigeant signifie qu'en cas d'incident grave dû à une non-conformité NIS2, le directeur général peut être personnellement mis en cause — pas seulement l'entreprise.
Comment se mettre en conformité ?
La mise en conformité NIS2 n'est pas un projet qu'on règle en quelques semaines. C'est un processus structuré en plusieurs phases :
Phase 1 — Déterminer si vous êtes concerné
Vérifiez votre secteur, votre taille et vos liens avec des entités déjà soumises. L'ANSSI a publié un outil d'auto-évaluation sur son site. Si vous avez un doute, contactez votre prestataire IT ou un RSSI externe.
Phase 2 — Cartographier votre SI
Identifiez tous vos actifs critiques : serveurs, postes, applications métier, liens de communication, prestataires cloud. C'est la base sur laquelle tout le reste repose.
Phase 3 — Évaluer l'écart
Comparez votre situation actuelle avec les 10 domaines NIS2. Chaque manquement est une vulnérabilité réglementaire. Priorisez par criticité et par impact potentiel.
Phase 4 — Mettre en œuvre les mesures
Les mesures techniques prioritaires pour la grande majorité des entités :
- MFA obligatoire sur toutes les applications critiques
- EDR actif sur tous les postes et serveurs
- Segmentation réseau (VLAN) — isolation des environnements
- Backup 3-2-1 immuable (ex : Wasabi) — résistant au ransomware
- PRA documenté et testé — avec RTO mesuré
- Filtrage email (ex : Hornetsecurity) — 92% des attaques commencent par un email
Phase 5 — Documenter et maintenir
NIS2 exige de la documentation : politiques de sécurité, registres d'incidents, rapports d'audit, comptes rendus de tests PRA. Sans documentation, pas de conformité — même si les mesures techniques sont en place.
Bonne nouvelle : Les entreprises qui ont déjà un partenaire IT sérieux avec EDR, backup immuable et PRA testé sont souvent à 60-70% de conformité NIS2 sans le savoir. Un audit permet de mesurer l'écart réel en quelques heures.
Questions fréquentes sur NIS2
Je suis une PME de 30 salariés, suis-je concerné ?
Probablement pas directement — NIS2 commence à 50 salariés ou 10M€ de CA pour les entités importantes. Mais si vous sous-traitez pour une collectivité, un hôpital ou une grande entreprise dans un secteur sensible, vous pouvez l'être via la chaîne d'approvisionnement. À vérifier au cas par cas.
Mon prestataire IT actuel s'occupe-t-il de NIS2 ?
Posez-lui la question directement. Si la réponse est vague ou si NIS2 lui est inconnu, c'est un signal d'alerte. La mise en conformité NIS2 nécessite une expertise réelle — pas seulement de l'infogérance courante.
Quel est le délai pour se mettre en conformité ?
La directive est applicable depuis octobre 2024. Il n'y a pas de délai de grâce officiel, mais l'ANSSI a annoncé une phase de montée en maturité progressive. Plus vous tardez, plus vous vous exposez — notamment en cas d'incident.
Pour aller plus loin : L'ANSSI publie des guides sectoriels NIS2 sur son site officiel (ssi.gouv.fr). Pour une évaluation de votre situation, contactez notre équipe — l'audit initial est gratuit et inclut une analyse NIS2.
Conclusion
NIS2 n'est pas une contrainte administrative de plus. C'est une opportunité de mettre en place une cybersécurité sérieuse — avec des outils qui fonctionnent vraiment, documentés et testés. Les entreprises qui l'abordent comme tel s'en sortent mieux : elles sont plus résilientes, plus crédibles auprès de leurs clients, et moins exposées aux sanctions.
DELEG MEDIA accompagne les ETI et collectivités normandes et françaises dans leur mise en conformité NIS2 — de l'audit initial au déploiement des mesures techniques. Prenez contact pour un audit gratuit.