NIS 2 : ce qui change concrètement pour les entreprises françaises en 2026

Romain Fessard
03/05/2026
enjeux de la cybersécurité, Réglementation cyber

NIS 2 : ce qui change concrètement pour les entreprises françaises en 2026

La directive européenne NIS 2 (Network and Information Security) est entrée en application et élargit considérablement le périmètre des organisations concernées. Si votre entreprise compte plus de 50 salariés ou réalise un chiffre d’affaires supérieur à 10 millions d’euros dans un secteur couvert, vous êtes probablement concerné.

De NIS 1 à NIS 2 : un changement d’échelle

La première directive NIS de 2016 ne concernait que quelques centaines d’opérateurs en France. NIS 2 multiplie ce chiffre par plus de dix. Environ 15 000 entités françaises sont désormais soumises à des obligations de cybersécurité renforcées. Les secteurs couverts incluent désormais l’énergie, les transports, la santé, l’eau, les infrastructures numériques, mais aussi la gestion des déchets, l’industrie alimentaire, les services postaux et la fabrication de produits critiques.

Les obligations concrètes

Gouvernance de la cybersécurité. La direction de l’entreprise doit approuver les mesures de gestion des risques cyber et peut être tenue personnellement responsable en cas de manquement. La cybersécurité n’est plus seulement l’affaire du DSI.

Gestion des risques. Les entreprises doivent mettre en place des mesures techniques et organisationnelles proportionnées : analyse de risques, politique de sécurité des SI, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, et formation du personnel.

Notification des incidents. En cas d’incident significatif, l’entreprise doit envoyer une alerte précoce dans les 24 heures, suivie d’une notification complète sous 72 heures et d’un rapport final dans le mois. L’ANSSI est le point de contact en France.

Sanctions. Les amendes peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles. Les dirigeants peuvent être temporairement interdits d’exercer leurs fonctions de direction.

Comment se mettre en conformité ?

La mise en conformité commence par un état des lieux. Un audit de cybersécurité permet d’identifier les écarts entre votre posture actuelle et les exigences NIS 2. Ensuite, il s’agit de prioriser les actions correctives : souvent, la gestion des accès, la surveillance des événements de sécurité et la formalisation d’un plan de réponse aux incidents sont les premiers chantiers.

Chez RM3A, nous accompagnons les PME et ETI normandes dans leur mise en conformité NIS 2, avec une approche pragmatique qui tient compte de vos contraintes opérationnelles et budgétaires.