NIS2 en France : guide complet 2026 Directive, obligations, conformité

Près de 15 000 entités françaises sont concernées par la directive NIS2. Votre entreprise en fait-elle partie ?

Adoptée par l'Union européenne en décembre 2022, la directive NIS2 (Network and Information Security 2) représente le plus grand élargissement des obligations de cybersécurité jamais imposé aux entreprises et aux administrations en Europe. En France, sa transposition dans le droit national — portée par la Loi Résilience — est en cours de finalisation au premier semestre 2026.

Ce guide a pour objectif de vous donner une vision complète et actionnable de NIS2 en France : qui est concerné, quelles sont les obligations concrètes, quelles sanctions sont prévues, et surtout comment se mettre en conformité sans perdre de temps ni d'argent. Que vous soyez dirigeant, RSSI, DSI ou responsable conformité, vous trouverez ici les réponses dont vous avez besoin pour agir dès maintenant.

Qu'est-ce que la directive NIS2 ?

De NIS1 à NIS2 : pourquoi une nouvelle directive ?

La première directive NIS, adoptée en 2016, avait posé les bases d'un cadre européen de cybersécurité. Elle ne couvrait cependant qu'un périmètre restreint d'opérateurs de services essentiels (OSE) et de fournisseurs de services numériques. En France, environ 500 entités étaient concernées.

Le problème : face à l'explosion des cyberattaques — rançongiciels paralysant des hôpitaux, attaques sur les chaînes d'approvisionnement, compromission d'infrastructures critiques —, NIS1 s'est révélée insuffisante. Les niveaux de maturité cyber variaient considérablement d'un État membre à l'autre, et de vastes pans de l'économie restaient hors du radar réglementaire.

C'est dans ce contexte que la directive (UE) 2022/2555, dite NIS2, a été adoptée le 14 décembre 2022 et publiée au Journal officiel de l'Union européenne le 27 décembre 2022. Elle est entrée en vigueur le 16 janvier 2023, avec une date limite de transposition fixée au 17 octobre 2024 pour l'ensemble des États membres.

Les objectifs de NIS2

NIS2 poursuit trois objectifs fondamentaux. Le premier est l'élargissement massif du périmètre : passer de quelques centaines d'entités à des milliers par pays, en incluant 18 secteurs d'activité et en abaissant les seuils de taille. Le deuxième objectif est l'harmonisation des obligations : imposer un socle commun de mesures de gestion des risques et de signalement d'incidents à l'échelle de l'UE, pour éviter les disparités entre États. Le troisième est le renforcement de la supervision : donner aux autorités nationales (en France, l'ANSSI) des pouvoirs de contrôle, d'audit et de sanction significativement renforcés.

Dates clés de la directive NIS2

Le parcours de NIS2 suit une chronologie précise. Le 14 décembre 2022, la directive NIS2 a été adoptée par le Parlement européen et le Conseil. Le 16 janvier 2023, elle est entrée en vigueur. Le 17 octobre 2024, la date limite de transposition pour tous les États membres a été atteinte — la France n'a pas respecté ce délai. Le 7 mai 2025, la Commission européenne a envoyé un avis motivé à la France pour défaut de notification de transposition complète. En mars 2025, le Sénat a adopté en première lecture le projet de Loi Résilience. En septembre 2025, la commission spéciale de l'Assemblée nationale a voté une nouvelle version du texte. Début 2026, le vote final et la publication au Journal officiel sont attendus, suivis de la publication des décrets et arrêtés ANSSI au cours du premier semestre 2026.

Transposition en France : la Loi Résilience

Un accouchement au forceps

La France fait partie des États membres qui n'ont pas transposé NIS2 dans les délais. La transposition prend la forme du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, couramment appelé Loi Résilience. Ce texte ne se limite pas à NIS2 : il transpose également les directives REC (Résilience des Entités Critiques) et CER (Critical Entities Resilience).

Le texte a été présenté au Conseil des ministres le 15 octobre 2024. Il a ensuite suivi un parcours législatif mouvementé. Adopté en première lecture par le Sénat en mars 2025, il a été réexaminé par une commission spéciale de l'Assemblée nationale en septembre 2025. En mars 2026, la date de passage en séance à l'Assemblée reste incertaine — certaines sources évoquent un vote repoussé à juillet 2026.

Le rôle central de l'ANSSI

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est l'autorité nationale désignée pour superviser la mise en œuvre de NIS2 en France. Son rôle comprend plusieurs missions essentielles.

L'ANSSI sera chargée de la tenue du registre des entités régulées, c'est-à-dire le recensement de toutes les entités essentielles et importantes soumises à NIS2. Elle sera également responsable de la définition du référentiel de sécurité, à travers la publication des décrets et arrêtés précisant les normes techniques à respecter. Le contrôle et l'audit font aussi partie de ses attributions : l'ANSSI pourra réaliser des audits de sécurité, demander des preuves de conformité et effectuer des inspections. Enfin, elle disposera de pouvoirs de sanction pour imposer des amendes et mesures correctives en cas de non-conformité.

MonEspaceNIS2 : l'outil officiel d'auto-évaluation

L'ANSSI a mis en place MonEspaceNIS2, un portail numérique accessible sur monespacenis2.cyber.gouv.fr. Cet outil permet aux organisations de vérifier si elles sont concernées par NIS2 à travers un questionnaire en ligne, de déterminer leur classification (entité essentielle ou importante), et de procéder à leur inscription officielle auprès de l'ANSSI.

L'utilisation de MonEspaceNIS2 constitue la première étape concrète de mise en conformité. Même si la loi n'est pas encore définitivement adoptée, l'ANSSI recommande aux entités de s'y inscrire dès maintenant pour anticiper.

Qui est concerné par NIS2 en France ?

C'est la question que se posent des milliers de dirigeants et responsables informatiques en France. La réponse dépend de deux critères combinés : le secteur d'activité et la taille de l'organisation.

Les critères de taille

NIS2 introduit des seuils dimensionnels clairs pour déterminer si une organisation entre dans son périmètre.

Les entités essentielles (EE) sont les grandes entreprises des secteurs hautement critiques, répondant à au moins un des critères suivants : 250 salariés ou plus, chiffre d'affaires annuel supérieur ou égal à 50 millions d'euros, ou bilan annuel supérieur ou égal à 43 millions d'euros.

Les entités importantes (EI) sont les moyennes entreprises répondant à au moins un des critères suivants : 50 salariés ou plus, chiffre d'affaires annuel supérieur ou égal à 10 millions d'euros, ou bilan annuel supérieur ou égal à 10 millions d'euros.

Attention : certaines entités sont automatiquement classées comme essentielles quel que soit leur taille. C'est le cas notamment des fournisseurs de services DNS, des registres de noms de domaine de premier niveau, des prestataires de services de confiance qualifiés et des fournisseurs de réseaux de communications électroniques publics.

Les 18 secteurs concernés

NIS2 distingue deux catégories de secteurs.

Les secteurs hautement critiques (Annexe 1) regroupent l'énergie (électricité, pétrole, gaz, hydrogène, chauffage et refroidissement urbains), les transports (aérien, ferroviaire, maritime, routier), le secteur bancaire, les infrastructures des marchés financiers, la santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux, industrie pharmaceutique), l'eau potable, les eaux usées, les infrastructures numériques (DNS, IXP, cloud, data centers, CDN, prestataires de confiance), la gestion des services TIC interentreprises (MSP, MSSP), les administrations publiques et l'espace.

Les autres secteurs critiques (Annexe 2) comprennent les services postaux et de livraison, la gestion des déchets, la fabrication, production et distribution de produits chimiques, la production, transformation et distribution de denrées alimentaires, la fabrication (dispositifs médicaux, produits informatiques, électroniques, optiques, équipements électriques, machines, véhicules à moteur), les fournisseurs de services numériques (places de marché, moteurs de recherche, réseaux sociaux) et la recherche.

L'effet cascade sur les sous-traitants et prestataires

Un point souvent sous-estimé : même si votre entreprise ne dépasse pas les seuils de taille, vous pouvez être indirectement concerné par NIS2. La directive impose en effet aux entités régulées de sécuriser l'ensemble de leur chaîne d'approvisionnement. Concrètement, un prestataire informatique, un hébergeur cloud, un éditeur de logiciel ou tout fournisseur critique d'une entité soumise à NIS2 se verra imposer des exigences de sécurité par contrat.

C'est ce qu'on appelle l'effet cascade de NIS2. Les grands donneurs d'ordres reporteront mécaniquement leurs obligations vers leurs sous-traitants, créant une pression descendante sur l'ensemble de l'écosystème. Pour les PME et ETI, comprendre cet effet est essentiel : même sans être directement soumis à la directive, ne pas pouvoir justifier d'un niveau de sécurité suffisant pourrait signifier la perte de contrats majeurs.

Les obligations clés de NIS2

La directive NIS2 impose un ensemble de mesures de gestion des risques et de signalement des incidents. Ces obligations s'appliquent de manière proportionnée : les entités essentielles sont soumises à un niveau d'exigence plus élevé que les entités importantes.

Gouvernance et responsabilité des dirigeants

C'est l'une des grandes nouveautés de NIS2 par rapport à NIS1 et même par rapport au RGPD : la responsabilité personnelle des dirigeants est explicitement engagée.

L'article 20 de la directive prévoit que les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques cyber, superviser leur mise en œuvre et suivre des formations en cybersécurité. En cas de manquement grave ou répété, un dirigeant peut être tenu personnellement responsable. La sanction peut aller jusqu'à l'interdiction temporaire d'exercer des fonctions de direction.

En pratique, cela signifie que la cybersécurité n'est plus uniquement l'affaire du DSI ou du RSSI. Elle relève désormais de la responsabilité du comité de direction. Les dirigeants doivent pouvoir démontrer qu'ils comprennent les risques cyber, qu'ils ont pris les décisions appropriées et qu'ils ont alloué les ressources nécessaires.

Gestion des risques cyber

NIS2 impose la mise en place de mesures techniques, opérationnelles et organisationnelles de gestion des risques. Celles-ci doivent être proportionnées à la taille, à l'exposition au risque et à l'impact potentiel d'un incident sur la société et l'économie.

Les mesures minimales attendues incluent l'analyse des risques et la politique de sécurité des systèmes d'information (PSSI), la gestion des incidents (prévention, détection, réponse), le plan de continuité d'activité (PCA) et de reprise d'activité (PRA) avec gestion des sauvegardes, la sécurité de la chaîne d'approvisionnement y compris les aspects de sécurité liés aux relations avec les fournisseurs et prestataires, la sécurité dans l'acquisition, le développement et la maintenance des systèmes d'information incluant la gestion et la divulgation des vulnérabilités, les politiques et procédures d'évaluation de l'efficacité des mesures de gestion des risques, les pratiques de base en matière de cyber-hygiène et la formation en cybersécurité, les politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement, la sécurité des ressources humaines avec les politiques de contrôle d'accès et de gestion des actifs, et enfin l'utilisation de solutions d'authentification multifacteur (MFA) ou d'authentification continue.

Notification d'incidents : le protocole 24h / 72h

NIS2 instaure un régime strict de signalement des incidents de sécurité significatifs. Le protocole se déroule en trois temps.

L'alerte précoce doit être transmise dans les 24 heures suivant la prise de connaissance d'un incident significatif. Elle doit indiquer si l'incident est susceptible d'avoir été causé par un acte illicite ou malveillant et s'il pourrait avoir un impact transfrontalier.

La notification d'incident doit être envoyée dans les 72 heures. Elle doit fournir une évaluation initiale de l'incident, sa gravité et son impact, ainsi que les indicateurs de compromission le cas échéant.

Le rapport final est dû dans un délai d'un mois après la notification d'incident. Il doit contenir une description détaillée de l'incident, le type de menace ou la cause profonde, les mesures d'atténuation appliquées et en cours, et l'impact transfrontalier le cas échéant.

Un incident est considéré comme significatif s'il a causé ou est susceptible de causer une perturbation grave des services, des pertes financières pour l'entité, ou des dommages matériels ou immatériels considérables à d'autres personnes physiques ou morales.

Sécurité de la chaîne d'approvisionnement

NIS2 accorde une attention particulière à la sécurité de la supply chain. Chaque entité régulée doit évaluer les risques liés à ses fournisseurs et prestataires, intégrer des exigences de sécurité dans les contrats avec ses fournisseurs critiques, et surveiller en continu le niveau de sécurité de sa chaîne d'approvisionnement.

Cette obligation reflète une réalité opérationnelle : de nombreuses cyberattaques majeures de ces dernières années (SolarWinds, Kaseya, MOVEit) ont exploité des failles dans la chaîne d'approvisionnement logicielle. NIS2 oblige les organisations à ne plus considérer la sécurité comme un enjeu purement interne.

Plan de continuité et reprise d'activité

Les entités doivent être en mesure de démontrer qu'elles disposent de plans de continuité d'activité (PCA) et de reprise d'activité (PRA) testés et à jour. Cela inclut une politique de sauvegarde robuste et régulièrement vérifiée, des procédures de gestion de crise documentées, et des exercices de simulation (tests de restauration, exercices de crise cyber).

Sanctions en cas de non-conformité

NIS2 renforce considérablement le volet sanctions par rapport à NIS1. Les montants sont calibrés pour être dissuasifs, sur un modèle comparable à celui du RGPD.

Amendes financières

Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, les amendes peuvent atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial.

Ces montants sont des plafonds : l'ANSSI, en tant qu'autorité de supervision, appliquera les sanctions de manière proportionnée en tenant compte de la gravité du manquement, de la durée de l'infraction, des mesures correctrices prises et du degré de coopération de l'entité.

Responsabilité personnelle des dirigeants

Au-delà des amendes imposées à l'entité, NIS2 ouvre la voie à la mise en cause personnelle des dirigeants en cas de négligence grave. Les sanctions personnelles possibles incluent la responsabilité personnelle en cas de manquement grave ou répété, l'interdiction temporaire d'exercer des fonctions de direction, et la publication nominative des sanctions (name and shame).

C'est un changement de paradigme par rapport au RGPD, où la responsabilité est généralement portée par l'entité juridique. Avec NIS2, c'est la personne physique qui dirige l'entreprise qui peut être directement visée.

Autres mesures coercitives

L'ANSSI disposera également de pouvoirs d'injonction : obligation de mettre en œuvre des mesures correctives dans un délai donné, audits de sécurité obligatoires, suspension temporaire de certifications ou d'autorisations, et publication officielle des sanctions (impact réputationnel).

Comment se mettre en conformité NIS2 — Feuille de route

La mise en conformité NIS2 est un projet structurant qui peut prendre entre 12 et 24 mois selon la maturité cyber de l'organisation. Voici une feuille de route en cinq étapes.

Étape 1 : évaluation et gap analysis

La première étape consiste à établir un diagnostic clair de votre situation actuelle par rapport aux exigences de NIS2. Concrètement, il s'agit de vérifier votre éligibilité sur MonEspaceNIS2, de réaliser un audit de maturité cybersécurité (par rapport au référentiel ANSSI ou à ISO 27001), d'identifier les écarts entre votre niveau actuel et les exigences NIS2, et de prioriser les actions en fonction des risques et des ressources disponibles.

Le coût de cette phase dépend de la complexité de votre SI, mais il faut compter entre 10 000 et 50 000 euros pour un audit externe structuré.

Étape 2 : gouvernance et PSSI

NIS2 exige une gouvernance cyber formalisée. Cette étape inclut la désignation d'un responsable cybersécurité (RSSI) ou le renforcement de son mandat, la rédaction ou la mise à jour de la Politique de sécurité du système d'information (PSSI), la mise en place d'un comité de pilotage cybersécurité impliquant la direction, la formation obligatoire des dirigeants aux enjeux cyber, et la définition des rôles et responsabilités (matrice RACI).

Étape 3 : mesures techniques

C'est souvent la partie la plus coûteuse et la plus longue. Les mesures techniques à déployer comprennent la gestion des accès et l'authentification multifacteur (MFA), la segmentation réseau et la surveillance (SOC/SIEM), le chiffrement des données sensibles (au repos et en transit), la politique de sauvegarde et les tests de restauration réguliers, la gestion des vulnérabilités et le patching, et la protection des postes de travail et des serveurs (EDR/XDR).

L'ANSSI estime le coût de conformité entre 100 000 et 200 000 euros pour une entité importante, et entre 450 000 et 880 000 euros pour une entité essentielle. Ces montants sont des ordres de grandeur qui varient considérablement selon la taille du SI et le niveau de maturité initial.

Étape 4 : formation et sensibilisation

NIS2 insiste sur la dimension humaine de la cybersécurité. Il faut mettre en place un programme de formation obligatoire pour les dirigeants sur les risques cyber et la gouvernance, des campagnes de sensibilisation pour l'ensemble des collaborateurs (phishing, hygiène numérique), une formation technique pour les équipes IT et sécurité, et des exercices de simulation de crise cyber.

Étape 5 : inscription ANSSI et documentation

La dernière étape formalise votre conformité. Elle comprend l'inscription officielle sur MonEspaceNIS2, la constitution du dossier de conformité (PSSI, PCA/PRA, procédures de notification, preuves d'audit), la mise en place de la procédure de notification d'incidents (24h/72h), et la planification des revues périodiques et de l'amélioration continue.

NIS2 et les autres cadres réglementaires

NIS2 ne vit pas en vase clos. De nombreuses organisations sont soumises simultanément à plusieurs cadres réglementaires. Comprendre les interactions entre ces textes permet d'optimiser les efforts de conformité.

NIS2 vs RGPD

Le RGPD et NIS2 cohabitent mais poursuivent des objectifs distincts. Le RGPD protège les données personnelles des individus, tandis que NIS2 protège la sécurité des réseaux et systèmes d'information. Le RGPD s'applique à toute organisation traitant des données personnelles, NIS2 s'applique aux entités de secteurs définis dépassant certains seuils de taille. Le RGPD prévoit une notification à la CNIL sous 72 heures, NIS2 prévoit une alerte à l'ANSSI sous 24 heures puis 72 heures. En matière de sanctions, le RGPD prévoit jusqu'à 20 millions d'euros ou 4 % du CA, NIS2 prévoit jusqu'à 10 millions d'euros ou 2 % du CA. Sur la responsabilité, le RGPD vise l'entité juridique, NIS2 vise aussi les personnes physiques (dirigeants).

Les synergies sont réelles : une bonne partie des mesures techniques déployées pour le RGPD (chiffrement, contrôle d'accès, journalisation) contribuent directement à la conformité NIS2. Si votre organisation est déjà mature sur le RGPD, vous avez une avance significative.

NIS2 vs ISO 27001

ISO 27001 est une norme internationale volontaire de management de la sécurité de l'information. NIS2 est une obligation légale. Cependant, les deux cadres se chevauchent largement.

Une organisation certifiée ISO 27001 couvre déjà une grande partie des exigences de NIS2 en matière de gestion des risques, de gouvernance et de mesures techniques. Les principaux écarts portent sur la notification d'incidents (NIS2 impose des délais stricts que ISO 27001 ne prévoit pas), la supervision étatique (ISO 27001 repose sur des audits de certification, NIS2 sur le contrôle de l'ANSSI), la chaîne d'approvisionnement (NIS2 impose des obligations spécifiques de due diligence fournisseurs), et la responsabilité des dirigeants (absente en tant que telle dans ISO 27001).

En résumé : ISO 27001 est un excellent socle pour NIS2, mais ne suffit pas à elle seule.

NIS2 vs DORA

Le règlement DORA (Digital Operational Resilience Act) s'applique spécifiquement au secteur financier : banques, assurances, gestionnaires d'actifs, prestataires de services de paiement. DORA est entré en application le 17 janvier 2025.

Pour les entités du secteur financier, DORA constitue la réglementation spécifique (lex specialis) qui prévaut sur NIS2 en matière de cybersécurité. En pratique, une banque soumise à DORA n'est pas en plus soumise à NIS2 pour les mêmes obligations — DORA est considéré comme offrant un niveau de protection au moins équivalent.

En revanche, les prestataires de services TIC critiques du secteur financier (cloud, hébergement, logiciels métiers) peuvent être soumis à la fois à DORA (via leurs clients) et à NIS2 (directement).

Tableau comparatif synthétique

FAQ — 10 questions fréquentes sur NIS2

1. Ma PME de 30 salariés est-elle concernée par NIS2 ?

En principe non, si votre PME compte moins de 50 salariés et un chiffre d'affaires inférieur à 10 millions d'euros. Cependant, il y a deux exceptions. Premièrement, si vous opérez dans un secteur à désignation automatique (services DNS, registres de noms de domaine, prestataires de confiance qualifiés), vous êtes concerné quelle que soit votre taille. Deuxièmement, si vous êtes fournisseur ou prestataire d'une entité soumise à NIS2, vous pourriez être soumis à des obligations contractuelles de sécurité par effet cascade.

2. Quelle est la différence entre entité essentielle et entité importante ?

La classification détermine le niveau d'exigence et de supervision. Les entités essentielles sont les grandes entreprises des secteurs hautement critiques (Annexe 1) : elles sont soumises à un régime de supervision ex ante (contrôles proactifs de l'ANSSI) et à des sanctions plus élevées (jusqu'à 10 M€ / 2 % CA). Les entités importantes sont les moyennes entreprises des secteurs critiques : elles sont soumises à un régime de supervision ex post (contrôles sur incident ou signalement) et à des sanctions moins élevées (jusqu'à 7 M€ / 1,4 % CA).

3. Quand NIS2 entre-t-elle en vigueur en France ?

La directive NIS2 devait être transposée au 17 octobre 2024. La France n'a pas respecté ce délai. La transposition passe par la Loi Résilience, dont le vote final est attendu au premier semestre 2026. Les décrets d'application et le référentiel technique de l'ANSSI suivront. En attendant, l'ANSSI recommande aux entités de commencer à se préparer dès maintenant.

4. Mon entreprise est déjà certifiée ISO 27001. Suis-je conforme à NIS2 ?

Pas automatiquement, mais vous avez une longueur d'avance considérable. ISO 27001 couvre une grande partie des exigences de NIS2, notamment la gestion des risques et les mesures techniques. Les écarts portent principalement sur les obligations de notification d'incidents (24h/72h), la responsabilité personnelle des dirigeants, les exigences spécifiques sur la chaîne d'approvisionnement et l'inscription auprès de l'ANSSI.

5. Combien coûte la mise en conformité NIS2 ?

Le coût varie considérablement selon la taille de l'organisation et son niveau de maturité cyber actuel. L'ANSSI estime le coût entre 100 000 et 200 000 euros pour une entité importante, et entre 450 000 et 880 000 euros pour une entité essentielle. Ces montants incluent l'audit initial, la mise en place des mesures techniques, la formation et l'accompagnement. Pour une organisation déjà mature (certifiée ISO 27001, par exemple), le coût sera significativement inférieur.

6. Qui supervise la conformité NIS2 en France ?

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité compétente en France. Elle est responsable du registre des entités, de la publication du référentiel technique, des audits et inspections, et de l'application des sanctions. Le portail MonEspaceNIS2 est l'interface officielle entre les entités et l'ANSSI.

7. Que se passe-t-il si je ne me conforme pas à NIS2 ?

Les conséquences incluent des amendes financières pouvant atteindre 10 millions d'euros ou 2 % du CA mondial, la responsabilité personnelle des dirigeants pouvant aller jusqu'à l'interdiction d'exercer, des injonctions de l'ANSSI à mettre en œuvre des mesures correctives, la publication officielle des sanctions (impact réputationnel), et la perte potentielle de contrats si vos clients sont eux-mêmes soumis à NIS2.

8. Les collectivités territoriales sont-elles concernées ?

Oui, potentiellement. Les collectivités territoriales qui gèrent des services relevant des secteurs visés par NIS2 — comme la gestion de l'eau, des transports, des infrastructures numériques ou des services de santé — peuvent être classées comme entités essentielles ou importantes. Les intercommunalités et les grandes métropoles sont les plus susceptibles d'être concernées.

9. Comment NIS2 traite-t-elle les prestataires cloud et les hébergeurs ?

Les fournisseurs de services cloud, les opérateurs de centres de données et les fournisseurs de réseaux de diffusion de contenu (CDN) sont explicitement inclus dans le périmètre de NIS2 en tant qu'infrastructures numériques. Selon leur taille, ils seront classés comme entités essentielles ou importantes. De plus, en tant que prestataires de nombreuses entités régulées, ils seront soumis à des exigences contractuelles supplémentaires via les obligations de sécurité de la chaîne d'approvisionnement.

10. Par où commencer concrètement ?

La démarche la plus efficace suit cinq étapes immédiates. Rendez-vous sur MonEspaceNIS2 pour vérifier si votre entité est concernée. Désignez un responsable du projet NIS2 (RSSI, DPO ou responsable conformité). Réalisez un audit de maturité cyber pour identifier vos écarts. Formalisez une feuille de route de conformité avec des jalons clairs. Et impliquez votre direction générale dès le départ — c'est une obligation de NIS2 et un facteur clé de succès.

Conclusion : NIS2, une contrainte ou une opportunité ?

La directive NIS2 représente un changement de paradigme pour la cybersécurité en France. Avec 15 000 entités concernées, 18 secteurs couverts et des sanctions pouvant atteindre 10 millions d'euros, l'ampleur de cette réglementation est sans précédent.

Mais au-delà de la contrainte réglementaire, NIS2 est aussi une opportunité. C'est l'occasion de structurer une gouvernance cyber qui protège réellement votre activité. C'est un moyen de renforcer la confiance de vos clients et partenaires. Et c'est un avantage concurrentiel : dans un monde où les donneurs d'ordres exigent de plus en plus de garanties de sécurité, les entreprises conformes à NIS2 seront les partenaires de choix.

Le temps de l'attentisme est révolu. Que la Loi Résilience soit votée en mars ou en juillet 2026, les exigences de NIS2 sont connues et les outils sont disponibles. Les organisations qui commencent à agir maintenant seront celles qui traverseront la transition dans les meilleures conditions — et à moindre coût.