NIS 2 : êtes-vous concerné ? Guide complet pour les entreprises françaises

Vous avez entendu parler de NIS 2 sans vraiment savoir si ça vous concerne ? Vous n'êtes pas seul. Cette directive européenne sur la cybersécurité est l'une des réglementations les plus importantes de ces dernières années — et pourtant, elle reste largement méconnue des PME et ETI françaises qui sont dans son champ d'application.

La directive NIS 2 multiplie par 30 le nombre d'entreprises soumises à des obligations de cybersécurité en France. On passe de 500 entités sous l'ancien texte (NIS 1) à environ 15 000 entités. Et contrairement au RGPD, dont les obligations sont désormais bien connues, NIS 2 reste un angle mort pour beaucoup d'organisations.

Pourtant, les sanctions sont lourdes — jusqu'à 10 millions d'euros — et les responsabilités des dirigeants directement engagées. Dans ce guide, nous vous expliquons en termes clairs si vous êtes concerné, ce que vous devez faire, et comment NIS 2 s'articule avec le RGPD que vous connaissez déjà.

NIS 2 : de quoi parle-t-on exactement ?

L'historique en deux minutes

En 2016, l'Union européenne adopte la première directive sur la sécurité des réseaux et des systèmes d'information, dite NIS 1. Objectif : renforcer la cybersécurité des infrastructures critiques en Europe. Résultat : une réglementation utile, mais limitée à un périmètre trop restreint (opérateurs de services essentiels et fournisseurs de services numériques).

Six ans plus tard, le constat est sans appel : les cyberattaques explosent, les ransomwares paralysent des hôpitaux, des collectivités, des PME. NIS 1 ne suffit plus. En décembre 2022, l'UE publie la directive NIS 2 (Directive 2022/2555), avec une ambition bien plus large : couvrir l'ensemble des secteurs économiques stratégiques, élargir massivement le périmètre des entités concernées, et durcir les exigences.

Ce qui change concrètement par rapport à NIS 1

Quatre évolutions majeures distinguent NIS 2 de son prédécesseur :

• Un périmètre élargi : 18 secteurs concernés contre 7 sous NIS 1, avec des seuils de taille abaissés
• Des obligations renforcées : gestion des risques, sécurité des sous-traitants, notification des incidents accélérée
• Une responsabilité des dirigeants : les organes de direction peuvent être tenus personnellement responsables en cas de non-conformité grave
• Une harmonisation européenne : les règles sont désormais plus uniformes d'un État membre à l'autre, ce qui facilite la conformité pour les groupes internationaux

Êtes-vous concerné ? Les deux critères à vérifier

NIS 2 s'applique à vous si vous réunissez deux conditions : appartenir à un secteur listé par la directive, ET dépasser certains seuils de taille. Voyons ça en détail.

Critère 1 : votre secteur d'activité

NIS 2 distingue deux niveaux d'entités, selon le caractère critique de leur activité.

Les entités essentielles (EE) — secteurs les plus critiques :

• Énergie (électricité, gaz, pétrole, hydrogène, chauffage urbain)
• Transports (aérien, ferroviaire, maritime, routier)
• Secteur bancaire et infrastructures des marchés financiers
• Santé (hôpitaux, laboratoires, R&D pharmaceutique, fabrication de dispositifs médicaux)
• Eau potable et eaux usées
• Infrastructures numériques (datacenters, cloud, DNS, réseaux de télécommunication)
• Services TIC interentreprises (MSP, MSSP)
• Administrations publiques centrales et régionales
• Secteur spatial

Les entités importantes (EI) — secteurs élargis :

• Services postaux et de messagerie
• Gestion des déchets
• Fabrication, production et distribution de produits chimiques
• Production, transformation et distribution de denrées alimentaires
• Fabrication industrielle (dispositifs médicaux, équipements électroniques, machines, véhicules...)
• Fournisseurs de services numériques (places de marché, moteurs de recherche, réseaux sociaux)
• Organismes de recherche

Critère 2 : la taille de votre organisation

Bonne nouvelle pour les très petites structures : NIS 2 exempte en principe les TPE et microentreprises. Les seuils retenus sont :

• Entités moyennes : entre 50 et 249 salariés, OU entre 10 et 50 millions d'euros de CA annuel
• Grandes entités : 250 salariés et plus, OU plus de 50 millions d'euros de CA annuel

Les entités essentielles de grande taille ont les obligations les plus lourdes. Les entités importantes de taille moyenne bénéficient d'un régime légèrement allégé.

💡 Pas sûr d'être concerné ? L'ANSSI met à disposition des ressources pour vous aider à vous auto-évaluer. Mais dans tous les cas, une mise à niveau de votre politique de sécurité et de votre politique de confidentialité est un investissement utile, NIS 2 ou pas.

Les 4 grandes obligations de NIS 2

Si vous êtes concerné, voici ce que NIS 2 vous impose concrètement. La directive s'organise autour de quatre piliers.

1. Gestion des risques cyber

C'est le cœur du dispositif. Vous devez mettre en place une politique de sécurité formalisée, couvrant au minimum :

• L'analyse et la gestion des risques liés à vos systèmes d'information
• La sécurité physique et environnementale (accès aux locaux, serveurs...)
• La gestion des incidents : procédures de détection, réponse, récupération
• La continuité d'activité : plan de reprise, sauvegardes, gestion de crise
• La sécurité des ressources humaines : formations, habilitations, gestion des départs
• L'utilisation de la cryptographie et du chiffrement pour les données sensibles
• Le contrôle des accès et l'authentification multifacteur (MFA)

2. Sécurité de la chaîne d'approvisionnement

C'est la grande nouveauté de NIS 2. Vous ne pouvez plus vous contenter de sécuriser votre propre périmètre : vous devez également évaluer et maîtriser les risques cyber chez vos prestataires et sous-traitants.

Concrètement, cela signifie :

• Cartographier vos fournisseurs critiques (hébergeur, ESN, éditeurs de logiciels, prestataires cloud)
• Inclure des clauses de cybersécurité dans vos contrats
• Effectuer ou exiger des audits de sécurité chez vos prestataires stratégiques

À noter : si vous êtes un prestataire informatique d'une entité soumise à NIS 2, attendez-vous à ce que vos clients vous imposent de nouvelles exigences contractuelles dans les mois à venir.

3. Notification des incidents de sécurité

En cas d'incident significatif — cyberattaque, ransomware, fuite de données, interruption de service — NIS 2 impose un calendrier de notification strict auprès de l'ANSSI :

• 24 heures : pré-notification initiale (alerte rapide sur la nature de l'incident)
• 72 heures : rapport d'incident intermédiaire (évaluation préliminaire, mesures prises)
• 1 mois : rapport final complet (analyse approfondie, causes, impacts, mesures correctives)

4. Gouvernance et responsabilité des dirigeants

C'est peut-être le point le plus structurant de NIS 2 : les organes de direction sont directement impliqués. La directive impose que les dirigeants approuvent les mesures de gestion des risques cyber, supervisent leur mise en œuvre et suivent des formations sur les enjeux de cybersécurité.

En cas de manquement grave, les dirigeants peuvent être interdits temporairement d'exercer des fonctions de direction. C'est une responsabilité personnelle, pas seulement organisationnelle.

NIS 2 et RGPD : comprendre l'articulation

Si vous connaissez déjà le RGPD, voici comment NIS 2 s'y articule — et pourquoi les deux textes se renforcent mutuellement.

Deux textes, deux périmètres

Le RGPD protège les données personnelles des individus. Il s'applique à toute organisation qui traite des données de personnes physiques, quelle que soit sa taille ou son secteur. L'autorité compétente en France est la CNIL.

NIS 2 sécurise les réseaux et systèmes d'information des organisations. Il s'applique aux entités d'une certaine taille dans des secteurs spécifiques. L'autorité compétente en France est l'ANSSI.

Là où les deux textes se rejoignent

Une cyberattaque réussie crée presque toujours une situation de double conformité. Prenons un exemple concret : votre entreprise subit un ransomware qui chiffre vos données clients.

• NIS 2 vous impose de notifier l'ANSSI dans les 24 heures
• Le RGPD vous impose de notifier la CNIL dans les 72 heures si des données personnelles sont compromises
• Si les personnes concernées sont exposées à un risque élevé, vous devez également les informer directement

La bonne nouvelle : travailler votre conformité RGPD — politique de confidentialité, registre des traitements, gestion des accès, chiffrement — vous donne une bonne base pour aborder NIS 2. Les deux démarches partagent une logique commune : identifier les risques, les documenter et les gérer.

💡 Vous n'avez pas encore de politique de confidentialité conforme ? C'est la première brique. Générez la vôtre automatiquement en 3 minutes avec RGPDKit, en tenant compte de vos outils, de vos traitements et de votre secteur d'activité.

Les sanctions : ce que vous risquez concrètement

NIS 2 prévoit un régime de sanctions à deux vitesses selon la catégorie de l'entité.

Pour les entités essentielles

• Amendes administratives jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel (le montant le plus élevé des deux)
• Suspension temporaire des activités ou des certifications
• Interdiction temporaire pour les dirigeants d'exercer des fonctions de direction

Pour les entités importantes

• Amendes administratives jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial annuel
• Mesures correctives imposées avec calendrier contrôlé par l'ANSSI

Comparé au RGPD (20 millions d'euros ou 4% du CA mondial), les plafonds de NIS 2 sont légèrement inférieurs — mais ils viennent s'additionner en cas d'incident impliquant des données personnelles. Le cumul des deux peut rapidement dépasser 10% du chiffre d'affaires.

Par où commencer ? Les 4 étapes pratiques

Vous pensez être concerné et vous ne savez pas par où commencer ? Voici une feuille de route pragmatique.

Étape 1 : confirmer votre statut

Vérifiez votre secteur d'activité et votre taille. En cas de doute, l'ANSSI met à disposition des ressources pédagogiques sur son site (ssi.gouv.fr). Vous pouvez également consulter votre code NAF et le croiser avec les secteurs listés dans la directive.

Étape 2 : réaliser un état des lieux

Avant de mettre en place quoi que ce soit, faites un audit de votre maturité cyber actuelle. Quelques questions clés :

• Avez-vous une politique de sécurité informatique documentée ?
• Vos accès critiques sont-ils protégés par une authentification multifacteur (MFA) ?
• Vos données sont-elles sauvegardées régulièrement, avec des copies hors ligne ?
• Avez-vous un plan de réponse aux incidents (que faire en cas d'attaque ?)
• Vos contrats prestataires incluent-ils des clauses de cybersécurité ?

Étape 3 : prioriser les mesures techniques

Sans attendre la transposition définitive en droit français, les mesures suivantes sont incontournables :

• Déploiement du MFA sur tous les accès sensibles (messagerie, VPN, administration)
• Mise en place d'un plan de sauvegarde 3-2-1 (3 copies, 2 supports, 1 hors site)
• Segmentation réseau pour limiter la propagation d'une attaque
• Gestion des mises à jour : politique de patch management formalisée
• Journalisation des accès et détection des comportements anormaux

Étape 4 : mettre à jour votre documentation RGPD

Vos documents RGPD — politique de confidentialité, mentions légales, registre des traitements — doivent refléter vos nouvelles pratiques de sécurité. Un prestataire ou un client peut vous demander de justifier vos mesures de protection des données. Une documentation obsolète fragilise votre position.

En résumé

NIS 2 n'est pas réservée aux grandes entreprises du CAC 40. Avec 15 000 entités concernées en France, elle touche une large partie des PME et ETI actives dans les secteurs de l'énergie, de la santé, de l'industrie, du numérique ou de l'alimentation.

Si vous êtes dans son périmètre, les obligations sont claires : gestion des risques documentée, sécurité des sous-traitants, notification rapide des incidents, et engagement direct des dirigeants. Les sanctions, elles, peuvent atteindre 10 millions d'euros — cumulables avec celles du RGPD en cas d'incident impliquant des données personnelles.

La bonne nouvelle : si vous avez déjà travaillé votre conformité RGPD, vous avez posé une base solide. NIS 2 et RGPD partagent la même logique de gestion des risques. Commencez par vous assurer que votre documentation est à jour, puis adressez les mesures techniques dans l'ordre de priorité.

Vérifiez et mettez à jour votre politique de confidentialité gratuitement — c'est la première étape d'une conformité cohérente entre RGPD et NIS 2.

Questions fréquentes sur NIS 2 et la cybersécurité des entreprises

Qu'est-ce que la directive NIS 2 et à partir de quand s'applique-t-elle en France ?

La directive NIS 2 (Directive UE 2022/2555) est le nouveau cadre européen en matière de cybersécurité. Elle remplace la directive NIS 1 de 2016 et devait être transposée dans le droit national de chaque État membre avant le 17 octobre 2024. En France, c'est l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) qui pilote la transposition. NIS 2 concerne environ 15 000 entités en France, contre 500 sous NIS 1.

Mon entreprise est-elle concernée par NIS 2 ?

NIS 2 concerne les entreprises de deux catégories, à condition de dépasser 50 salariés OU 10 millions d'euros de CA annuel :

• Entités essentielles : énergie, transport, banques, santé, eau, infrastructures numériques, administrations publiques, espace
• Entités importantes : services postaux, chimie, alimentation, fabrication industrielle (électronique, machines, dispositifs médicaux...), fournisseurs numériques

En dessous des seuils de taille, les TPE sont généralement exemptées — sauf exceptions sectorielles. Pour vérifier votre statut, consultez les ressources de l'ANSSI sur NIS 2.

Quelles sont les obligations concrètes imposées par NIS 2 ?

NIS 2 impose quatre grandes catégories d'obligations :

• Gestion des risques cyber : politique de sécurité formalisée, MFA, chiffrement, sauvegardes, plan de continuité d'activité
• Sécurité de la chaîne d'approvisionnement : évaluation et contractualisation des exigences de sécurité chez vos prestataires et sous-traitants
• Notification des incidents : signalement à l'ANSSI dans les 24h (pré-rapport), 72h (rapport intermédiaire) et 1 mois (rapport final)
• Gouvernance : implication directe des dirigeants, formation obligatoire, responsabilité personnelle engageable

Quelles sont les sanctions en cas de non-conformité à NIS 2 ?

Les sanctions varient selon la catégorie :

• Entités essentielles : jusqu'à 10 millions d'euros ou 2% du CA mondial (le plus élevé des deux), plus possible suspension d'activité ou interdiction de diriger
• Entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA mondial

Ces sanctions s'ajoutent à celles du RGPD en cas d'incident impliquant des données personnelles. L'ANSSI est l'autorité de contrôle compétente en France.

Quelle est la différence entre NIS 2 et le RGPD ?

Le RGPD protège les données personnelles des individus (autorité : CNIL). NIS 2 sécurise les réseaux et systèmes d'information des organisations (autorité : ANSSI). Les deux textes se croisent lors d'une cyberattaque : si elle compromet des données personnelles, vous devez notifier l'ANSSI sous 24h (NIS 2) ET la CNIL sous 72h (RGPD). Ces obligations sont cumulatives et indépendantes.

NIS 2 concerne-t-elle les sous-traitants et prestataires informatiques ?

Oui, c'est l'une des grandes nouveautés de NIS 2. Les entités soumises doivent évaluer et contractualiser des exigences de cybersécurité avec leurs prestataires : hébergeurs, ESN, éditeurs de logiciels, fournisseurs cloud. Si vous êtes prestataire IT d'une entité NIS 2, attendez-vous à ce que vos clients vous imposent des audits, certifications ou clauses contractuelles spécifiques dans les mois à venir.

Comment se préparer à NIS 2 concrètement ?

L'ANSSI recommande une approche en 4 étapes : 1) Confirmer si vous êtes dans le périmètre NIS 2. 2) Réaliser un audit de votre maturité cyber (MFA, sauvegardes, accès, contrats prestataires). 3) Mettre en place les mesures techniques prioritaires : MFA, plan 3-2-1, segmentation réseau, patch management. 4) Mettre à jour votre documentation RGPD (politique de confidentialité, registre des traitements) pour refléter vos nouvelles pratiques de sécurité.

NIS 2 et RGPD : dois-je mettre à jour ma politique de confidentialité ?

Oui. Si vous êtes soumis à NIS 2, votre politique de confidentialité doit mentionner les mesures techniques et organisationnelles mises en place (chiffrement, contrôle des accès, sauvegardes), la procédure de notification en cas d'incident touchant des données personnelles, et les exigences imposées à vos sous-traitants. Une politique non mise à jour expose à une double sanction : CNIL pour le RGPD et ANSSI pour NIS 2. RGPDKit génère automatiquement une politique de confidentialité conforme en tenant compte de votre activité.