NIS 2 : ce qui change concrètement pour les entreprises françaises en 2026

La directive NIS 2 (Network and Information Security 2) est le texte européen le plus structurant en matière de cybersécurité depuis une décennie. Adoptée le 14 décembre 2022, elle devait être transposée dans le droit national de chaque État membre avant le 17 octobre 2024. En France, la transposition a pris du retard et la loi de transposition est attendue courant 2025-2026, mais l’ANSSI a déjà publié des recommandations et les entreprises concernées doivent se préparer dès maintenant.

NIS 2 remplace la directive NIS 1 de 2016, qui ne concernait qu’environ 500 entités en France (opérateurs de services essentiels et fournisseurs de services numériques). Avec NIS 2, le périmètre explose : entre 10 000 et 15 000 entités seront concernées en France, dont une majorité de PME et ETI qui n’avaient aucune obligation réglementaire en matière de cybersécurité jusqu’à présent.

Êtes-vous concerné ? Le test en 3 questions

Avant d’entrer dans le détail des obligations, voici un test rapide pour savoir si votre entreprise est potentiellement soumise à NIS 2 :

Question 1 : Votre secteur d’activité

NIS 2 couvre 18 secteurs répartis en deux catégories :

• Secteurs hautement critiques (Annexe I) : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administrations publiques, espace
• Autres secteurs critiques (Annexe II) : services postaux, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution alimentaire, fabrication de dispositifs médicaux, fabrication de produits informatiques et électroniques, fabrication de machines et équipements, fabrication de véhicules, recherche, fournisseurs numériques

Si votre activité entre dans l’un de ces secteurs, passez à la question 2.

Question 2 : Votre taille

Vous êtes concerné si votre entreprise dépasse l’un de ces seuils :

• 50 salariés ou plus, OU
• 10 millions d’euros de chiffre d’affaires annuel ou plus, OU
• 10 millions d’euros de bilan annuel ou plus

Attention : certaines entités sont concernées quelle que soit leur taille (fournisseurs de DNS, registres de noms de domaine, prestataires de services de confiance, administrations publiques).

Question 3 : Votre rôle dans la chaîne d’approvisionnement

Même si vous ne remplissez pas les critères ci-dessus, vous pouvez être concerné si vous êtes un sous-traitant ou fournisseur critique d’une entité soumise à NIS 2. La directive impose en effet aux entités concernées de gérer les risques liés à leur chaîne d’approvisionnement (voir section dédiée ci-dessous).

Entités essentielles vs entités importantes

NIS 2 distingue deux catégories d’entités, avec des niveaux d’obligations et de sanctions différents :

Entités essentielles (EE)

• Secteurs hautement critiques (Annexe I) avec 250+ salariés ou CA de 50M+ euros
• Soumises à une supervision proactive (contrôles réguliers, audits sur place)
• Sanctions maximales : 10 millions d’euros ou 2 % du CA mondial annuel
• Responsabilité personnelle des dirigeants (suspension temporaire possible)

Entités importantes (EI)

• Tous les secteurs couverts avec 50+ salariés ou CA de 10M+ euros
• Soumises à une supervision réactive (contrôles a posteriori, en cas de signalement ou d’incident)
• Sanctions maximales : 7 millions d’euros ou 1,4 % du CA mondial annuel
• Responsabilité personnelle des dirigeants (formation obligatoire)

La distinction est importante : les entités essentielles seront contrôlées régulièrement par l’ANSSI, même en l’absence d’incident. Les entités importantes ne seront contrôlées qu’en cas de suspicion de non-conformité ou suite à un incident.

Les 10 mesures de sécurité exigées par NIS 2

L’article 21 de la directive NIS 2 liste 10 domaines de mesures de sécurité que toutes les entités concernées doivent mettre en œuvre. Ces mesures doivent être proportionnées au risque, à la taille de l’entité et à la probabilité et la gravité des incidents.

1. Politiques d’analyse des risques et de sécurité des systèmes d’information : formaliser un cadre de gestion des risques cyber, réaliser des analyses de risques régulières, maintenir une PSSI à jour.
2. Gestion des incidents : mettre en place des procédures de détection, d’analyse, de classification et de notification des incidents. Former les équipes à la réponse aux incidents.
3. Continuité des activités et gestion de crise : élaborer un PCA/PRA, réaliser des sauvegardes régulières et testées, planifier la gestion de crise cyber.
4. Sécurité de la chaîne d’approvisionnement : évaluer les risques liés aux fournisseurs et prestataires, inclure des exigences de sécurité dans les contrats, auditer les prestataires critiques.
5. Sécurité de l’acquisition, du développement et de la maintenance des systèmes : intégrer la sécurité dans le cycle de développement, gérer les vulnérabilités, appliquer les correctifs de sécurité dans des délais raisonnables.
6. Évaluation de l’efficacité des mesures de gestion des risques : réaliser des audits de sécurité réguliers, des tests de pénétration, des revues de configuration.
7. Pratiques de cyberhygiène et formation : sensibiliser tous les collaborateurs à la cybersécurité, former les équipes techniques, mettre en place des campagnes de phishing simulé.
8. Politiques et procédures relatives à la cryptographie : chiffrer les données sensibles au repos et en transit, gérer les certificats et les clés de chiffrement.
9. Sécurité des ressources humaines, contrôle d’accès et gestion des actifs : politique de gestion des accès (principe du moindre privilège), revue régulière des droits, inventaire des actifs informatiques.
10. Authentification multifacteur (MFA) et communications sécurisées : déployer le MFA sur tous les accès critiques (VPN, messagerie, administration), utiliser des solutions de communication sécurisées.

Calendrier de mise en conformité

Voici un calendrier réaliste pour une PME qui démarre sa démarche de conformité NIS 2 :

• Mois 1-2 : Diagnostic — Déterminer si vous êtes concerné (EE ou EI), réaliser un état des lieux de maturité cyber, identifier les écarts par rapport aux 10 mesures de l’article 21.
• Mois 2-4 : Gouvernance — Nommer un responsable de la sécurité (RSSI ou référent), sensibiliser la direction, formaliser la PSSI et le cadre de gestion des risques.
• Mois 4-8 : Mesures techniques — Déployer le MFA, mettre en place un EDR, configurer les sauvegardes et tester les restaurations, segmenter le réseau, appliquer les correctifs de sécurité.
• Mois 6-10 : Documentation et processus — Rédiger les procédures de gestion des incidents, le PCA/PRA, la politique de gestion des fournisseurs, les processus de gestion des accès.
• Mois 10-12 : Tests et amélioration — Réaliser un test de pénétration, exercice de crise, audit interne. Corriger les non-conformités identifiées.
• En continu : Enregistrement — S’enregistrer auprès de l’ANSSI dès que la plateforme sera disponible (MonEspaceNIS2). Maintenir la conformité dans la durée.

NIS 2 et les PME sous-traitantes : l’effet cascade

C’est un aspect souvent méconnu de NIS 2 qui mérite une attention particulière. La mesure n°4 (sécurité de la chaîne d’approvisionnement) a un effet cascade sur l’ensemble du tissu économique.

Concrètement, une grande entreprise soumise à NIS 2 doit évaluer et gérer les risques cyber de ses fournisseurs et sous-traitants. Cela signifie que même une PME de 20 salariés non directement soumise à NIS 2 peut se voir imposer des exigences de cybersécurité par ses clients :

• Questionnaires de sécurité de plus en plus détaillés dans les appels d’offres
• Clauses contractuelles imposant le MFA, le chiffrement, les sauvegardes testées, la notification d’incidents
• Audits de sécurité réalisés par le client ou un tiers mandaté
• Exigences de certification (ISO 27001, SOC 2, Cyber Essentials)

Les PME qui ne seront pas en mesure de démontrer un niveau de sécurité acceptable risquent de perdre des marchés au profit de concurrents mieux préparés. NIS 2 transforme la cybersécurité en critère de sélection commerciale.

Par où commencer ? 5 étapes pratiques avec RM3A

Étape 1 : Évaluation de l’applicabilité

Nous déterminons ensemble si votre entreprise est directement soumise à NIS 2 (entité essentielle ou importante) et/ou indirectement concernée via sa chaîne de valeur. Nous identifions les systèmes d’information dans le périmètre.

Étape 2 : Diagnostic de maturité cyber

Nous évaluons votre niveau actuel de conformité par rapport aux 10 mesures de l’article 21, avec un scoring par domaine et une priorisation des actions selon le risque et l’effort.

Étape 3 : Plan d’action et gouvernance

Nous construisons un plan d’action réaliste et chiffré, en tenant compte de vos contraintes budgétaires et humaines. Nous aidons à structurer la gouvernance cybersécurité (RSSI, comité de pilotage, indicateurs).

Étape 4 : Mise en œuvre technique et documentaire

Nous accompagnons le déploiement des mesures techniques (MFA, EDR, SIEM, sauvegardes) et la rédaction de la documentation obligatoire (PSSI, procédures incidents, PCA/PRA, politique fournisseurs).

Étape 5 : Audit et amélioration continue

Nous réalisons un audit de conformité final, mettons en place les processus de surveillance continue (SOC managé, scans de vulnérabilités) et planifions les revues annuelles pour maintenir la conformité dans la durée.

Conclusion

NIS 2 représente un changement de paradigme pour la cybersécurité des entreprises françaises. Le passage de 500 à 15 000 entités concernées, les sanctions dissuasives et l’effet cascade sur les sous-traitants font que pratiquement toute entreprise de taille intermédiaire sera impactée, directement ou indirectement.

La bonne nouvelle : se mettre en conformité avec NIS 2 n’est pas seulement une obligation réglementaire. C’est une démarche qui renforce réellement la sécurité de votre entreprise et la confiance de vos clients et partenaires.

RM3A accompagne les entreprises françaises dans leur mise en conformité NIS 2, du diagnostic initial à la mise en œuvre opérationnelle. Contactez-nous pour un premier échange gratuit sur votre situation.

Pour aller plus loin

• Analyse de risque EBIOS RM — La méthode recommandée par l’ANSSI pour répondre aux exigences NIS 2.
• Règlement DORA — Découvrez l’autre grand règlement européen de cybersécurité complémentaire à NIS 2.
• Cybersécurité pour les PME — NIS 2 concerne aussi les PME : préparez-vous avec nos solutions adaptées.
• Conformité RGPD pour les PME — Alignez vos démarches NIS 2 et RGPD pour une conformité cohérente.