Qu'est-ce que NIS2 ?
NIS2 — Network and Information Security 2 — est une directive européenne adoptée en décembre 2022 et entrée en vigueur en octobre 2024. Son objectif est simple : forcer les entreprises des secteurs critiques à prendre la cybersécurité au sérieux, avec des obligations légales, des contrôles, et des sanctions.
En France, entre 15 000 et 18 000 entreprises seront concernées. C'est un changement d'échelle massif par rapport à NIS1 qui ne visait que 300 entités.
Le calendrier clé : La Loi Résilience française est en cours de finalisation au T1 2026. Les décrets ANSSI suivront au T2 2026. Les contrôles démarrent dès promulgation de la loi. L'ANSSI a publié son référentiel ReCyF le 17 mars 2026.
Qui est concerné ?
NIS2 classe les entreprises en deux catégories selon leur secteur et leur taille.
Entités Essentielles (EE)
Les entreprises de plus de 250 salariés ou plus de 50 millions d'euros de chiffre d'affaires dans les secteurs hautement critiques : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, services numériques, espace.
Sanctions maximales : 10 millions d'euros ou 2% du chiffre d'affaires mondial.
Entités Importantes (EI)
Les entreprises de plus de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires dans les secteurs critiques : services postaux, gestion des déchets, chimie, alimentation, fabrication (dispositifs médicaux, équipements électroniques, machines, véhicules), fournisseurs numériques, recherche.
Sanctions maximales : 7 millions d'euros ou 1,4% du chiffre d'affaires mondial.
Cas particulier : Vous êtes sous-traitant d'une entité régulée ? Même si vous ne franchissez pas les seuils, votre donneur d'ordre peut vous imposer contractuellement les exigences NIS2. C'est le cas de la quasi-totalité des fournisseurs des grands groupes pharmaceutiques et cosmétiques de Chartres Métropole.
Les 10 obligations concrètes — Article 21
NIS2 impose une approche "tous risques" couvrant au minimum :
- Politique de gestion des risques — Document signé décrivant comment vous identifiez et gérez les risques cyber
- Gestion des incidents — Procédure de détection et notification sous 24h à l'ANSSI
- Continuité d'activité — Plan de reprise après sinistre, sauvegardes testées
- Sécurité de la supply chain — Évaluation de vos fournisseurs et prestataires IT
- Sécurité des systèmes — Mises à jour, gestion des vulnérabilités
- Évaluation de l'efficacité — Tests réguliers de vos mesures
- Cyber-hygiène et formation — Formation obligatoire du personnel
- Cryptographie — Chiffrement des données sensibles, HTTPS
- Contrôle d'accès — Gestion des droits, révocation rapide
- Authentification MFA — Double facteur sur tous les accès sensibles
Ce que l'ANSSI évalue lors d'un contrôle
L'ANSSI ne cherche pas la perfection technique. Elle évalue votre démarche active et documentée de mise en conformité. Une entreprise qui a un dossier structuré montrant qu'elle a identifié ses risques et engagé des actions est beaucoup mieux protégée qu'une entreprise techniquement avancée mais sans documentation.
C'est pourquoi le dossier de conformité est l'enjeu central. Pas juste les mesures techniques.
Comment savoir si vous êtes concerné ?
L'ANSSI met à disposition le simulateur officiel sur monespacenis2.cyber.gouv.fr. En 5 minutes vous obtenez une première indication sur votre situation.
Pour une analyse précise tenant compte de votre chaîne de sous-traitance et de vos relations contractuelles avec vos clients, un diagnostic XG Secure de 20 minutes vous donnera une réponse définitive.
La règle d'or : Si vous hésitez entre "je suis concerné" et "je ne suis pas concerné", traitez-vous comme concerné. Le coût d'un audit préventif est infiniment inférieur au coût d'un incident non couvert ou d'une sanction ANSSI.