Directive NIS2 : quelles obligations pour les entreprises françaises en 2026 ?

La cybersécurité n’est plus une option pour les entreprises. Et la directive NIS2 vient de changer la donne pour des milliers de PME, ETI et grands comptes en France.

NIS2, c’est quoi exactement ?

NIS2, c’est la deuxième directive européenne sur la sécurité des réseaux et des systèmes d’information. Adoptée en décembre 2022, elle remplace la directive NIS de 2016 qui montrait ses limites face à la montée en puissance des cyberattaques.

La première directive avait un périmètre trop restreint. Seulement environ 500 entités étaient concernées en France. Beaucoup de secteurs critiques passaient entre les gouttes. Et les sanctions restaient symboliques d’un État membre à l’autre.

NIS2 change radicalement la donne. Environ 15 000 entités en France seront concernées. Les obligations de sécurité deviennent harmonisées dans toute l’Union européenne. Et les sanctions prennent une autre dimension.

Mais attention sur un point fondamental. La directive européenne existe déjà. Ce qui n’est pas encore figé, c’est la manière dont la France va la transposer dans son droit national. Le projet de loi Résilience est en cours d’examen à l’Assemblée nationale. Son calendrier d’adoption peut encore évoluer.

Concrètement, cela veut dire que les obligations européennes sont déjà connues. Mais les modalités françaises précises (procédures de déclaration, autorités compétentes, détails des sanctions nationales) seront confirmées au moment de la promulgation du texte français.

Quelles entreprises sont concernées par NIS2 ?

Les 18 secteurs d’activité

NIS2 couvre 18 secteurs. Si votre entreprise opère dans l’un d’entre eux, elle est potentiellement dans le scope :

• Énergie (électricité, gaz, pétrole, hydrogène)
• Transports (aérien, ferroviaire, maritime, routier)
• Banque et infrastructures financières
• Santé (établissements hospitaliers, laboratoires, fournisseurs de santé numérique)
• Eau potable et eaux usées
• Infrastructures numériques (DNS,IXP, fournisseurs de cloud, centres de données)
• Gestion des déchets
• Chimie et production de substances chimiques
• Agroalimentaire (production, transformation, distribution)
• Spatial
• Administration publique
• Défense
• Éducation
• Services numériques (moteurs de recherche, réseaux sociaux, plateformes de marché)
• Poste et courier
• Recherche
• Fabrication de dispositifs médicaux, équipements électriques, machines, véhicules
• Fournisseurs de services de sécurité et de défense

Les critères d’éligibilité

Appartenir à l’un de ces secteurs ne suffit pas toujours. L’éligibilité dépend de plusieurs facteurs combinés :

• Le secteur d’activité (liste ci-dessus)
• La taille de l’entreprise : seuils de 50 salariés et 10 millions d’euros de chiffre d’affaires pour les entités importantes ; 250 salariés et 50 millions d’euros pour les entités essentielles
• Le rôle dans la chaîne de valeur : un fournisseur critique peut être concerné même s’il est plus petit
• Les règles finales de transposition française : le projet de loi Résilience peut affiner les critères européens

Le chiffre de 15 000 entités provient de l’étude d’impact du projet de loi Résilience déposée au Sénat (pjl24-033-ei). C’est une estimation basée sur les seuils européens. Le nombre final pourra être ajusté par la transposition française.

Entités essentielles vs entités importantes

NIS2 distingue deux catégories. La distinction est importante car elle détermine le niveau de supervision et le montant des sanctions :

Les 7 obligations principales (article 21 de NIS2)

L’article 21 de la directive NIS2 liste les mesures de gestion des risques que les entreprises doivent mettre en place. Voici ce que cela signifie concrètement pour votre organisation.

1. Gouvernance des risques cyber

C’est le changement majeur de NIS2. Les dirigeants sont personnellement responsables de la cybersécurité de leur entreprise. Ils ne peuvent plus déléguer sans oversight.

Concrètement, la direction doit :

• Approuver la politique de gestion des risques cyber
• Superviser sa mise en oeuvre
• Organiser des formations régulières sur les risques cyber
• Assumer la responsabilité légale en cas de manquement

En France, cela rejoint une tendance forte. La condamnation de Free à 42 millions d’euros pour des failles de sécurité a montré que la CNIL ne plaisante pas avec la responsabilité des acteurs.

2. Analyse de risques et politiques de sécurité

Chaque entité doit réaliser une analyse de risques approfondie couvrant l’ensemble de ses systèmes d’information. Cette analyse doit être formalisée, mise à jour régulièrement et servir de base aux politiques de sécurité.

L’ANSSI a publié le référentiel ReCyF le 17 mars 2026. Ce référentiel permet aux entreprises de comparer leur niveau de sécurité aux attentes nationales. C’est un outil concret pour se positionner avant même l’adoption définitive du texte français.

3. Gestion des incidents

NIS2 impose un processus structuré en trois temps :

1. Détection : mettre en place des outils de surveillance et de détection des incidents de sécurité
2. Réponse : avoir un plan de réponse aux incidents testé et à jour
3. Récupération : garantir la restauration des systèmes après un incident (backups, plans de reprise d’activité)

Ce n’est pas théorique. En 2026, des entreprises comme Almerys ont subi des attaques massives touchant des millions de personnes. Avoir un plan de réponse n’est plus une option.

4. Sécurité de la chaîne d’approvisionnement

C’est l’une des nouveautés majeures de NIS2. Les entreprises doivent désormais évaluer la cybersécurité de leurs fournisseurs et prestataires.

Si un sous-traitant critique se fait pirater et que cela impacte vos systèmes, vous êtes responsable. Les attaques par supply chain se multiplient. NIS2 oblige à les prendre en compte formellement.

5. MFA, chiffrement et contrôle d’accès

NIS2 impose des mesures techniques concrètes :

• Authentification multifacteur (MFA) sur les accès critiques
• Chiffrement des données sensibles au repos et en transit
• Politiques de contrôle d’accès strictes (principe du moindre privilège)

Activer la double authentification sur les comptes administrateurs est une mesure de base que toute entreprise devrait avoir en place, NIS2 ou pas.

6. Formation et sensibilisation des équipes

La technique ne suffit pas. NIS2 exige que les employés reçoivent une formation régulière aux risques cyber. Les dirigeants doivent eux-mêmes suivre des sessions de sensibilisation.

Le phishing reste le vecteur d’attaque numéro un. Un employé formé reconnaît un email suspect. Un employé non formé clique dessus. La différence se mesure en millions d’euros de dommages.

7. Notification des incidents : 24h / 72h / rapport final

C’est le volet le plus opérationnel de NIS2. En cas d’incident significatif, l’entreprise doit :

1. Sous 24 heures : notification initiale à l’autorité compétente (en France, l’ANSSI). Cette alerte précoce signale l’existence de l’incident et son impact estimé. Il ne s’agit pas d’un rapport complet, mais d’une alerte rapide.
2. Sous 72 heures : rapport intermédiaire avec une évaluation actualisée de l’incident et les premières mesures prises.
3. Dans le mois suivant : rapport final détaillé incluant la description de l’incident, son impact réel, les mesures correctives appliquées et les leçons tirées.

Ces délais sont contraignants. Ils exigent d’avoir un processus rodé avant que l’incident ne survienne. Si vous ne savez pas que faire en cas de piratage, il est temps de vous y préparer.

Calendrier de transposition en France

Le calendrier français a été perturbé par la crise politique. L’examen du texte à l’Assemblée nationale est attendu en 2026, mais aucune date ferme n’est garantie. Les entreprises ne doivent pas attendre la promulgation définitive pour se mettre en conformité.

Sanctions : ce qui change par rapport à NIS1

Sous la première directive NIS, les sanctions variaient fortement d’un pays européen à l’autre. En France, elles restaient relativement modestes. NIS2 harmonise et alourdit considérablement la barre.

• Entités essentielles : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial total de l’exercice précédent (le montant le plus élevé étant retenu)
• Entités importantes : jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial total

Ajoutez à cela la responsabilité personnelle des dirigeants. Sous NIS2, un dirigeant peut être tenu personnellement responsable en cas de manquement grave aux obligations de cybersécurité. Cela peut inclure des sanctions individuelles, pas seulement des sanctions contre l’entreprise.

À titre de comparaison, la sanction record de la CNIL contre Free (42 millions d’euros) concernait le RGPD. Avec NIS2, les ordres de grandeur sont comparables, mais le champ d’application est beaucoup plus large.

Comment se préparer dès maintenant

Vous n’avez pas besoin d’attendre que le texte français soit promulgué. Voici les actions concrètes à engager dès aujourd’hui.

1. Vérifier votre éligibilité

Première étape : votre entreprise est-elle concernée ? Vérifiez :

• Votre secteur d’activité (18 secteurs NIS2)
• Votre effectif et votre chiffre d’affaires
• Votre rôle dans la chaîne de valeur (êtes-vous un fournisseur critique ?)

En cas de doute, le pré-enregistrement sur MonEspaceNIS2 (via MesServicesCyber) est ouvert depuis novembre 2025. C’est le point d’entrée officiel pour les entreprises qui veulent se positionner.

2. Consulter le référentiel ReCyF

Publié par l’ANSSI le 17 mars 2026, le référentiel ReCyF est disponible sur cyber.gouv.fr. Il permet de :

• Comprendre les mesures de sécurité attendues
• Évaluer votre niveau de conformité actuel
• Identifier les écarts à combler
• Comparer votre posture aux autres référentiels (ISO 27001, SecNumCloud…)

C’est l’outil le plus concret disponible aujourd’hui pour se préparer à NIS2 en France.

3. Réaliser un audit de conformité

Utilisez le référentiel ReCyF comme base d’audit. Passez en revue les 7 obligations de l’article 21. Identifiez les gaps. Priorisez les actions correctives.

Les mesures à mettre en place rejoignent les bonnes pratiques de cybersécurité existantes. Si votre entreprise respecte déjà le RGPD et la protection des données, vous avez déjà une base solide. NIS2 va plus loin sur la gouvernance et la chaîne d’approvisionnement, mais les fondations sont les mêmes.

4. Mettre en place la gouvernance

C’est souvent le point faible des PME et ETI. La cybersécurité est déléguée au service IT sans supervision de la direction. NIS2 change cela.

Nommez un responsable cybersécurité. Impliquez la direction. Organisez des revues régulières. Documentez les décisions. Ces gestes simples préparent le terrain pour la conformité NIS2.

5. Suivre l’actualité réglementaire

Le paysage réglementaire évolue rapidement. Entre le report de certaines dispositions de l’AI Act européen et l’examen du projet de loi Résilience, les entreprises doivent rester informées des évolutions qui les concernent directement.

Questions fréquentes sur NIS2

En bref

NIS2 n’est pas une option. C’est une obligation européenne qui va s’appliquer à des milliers d’entreprises françaises. Le texte national n’est pas encore promulgué, mais les entreprises qui anticipent auront une longueur d’avance significative.

Commencez par le pré-enregistrement sur MonEspaceNIS2. Consultez le référentiel ReCyF. Identifiez vos gaps. Et surtout, impliquez votre direction. La cybersécurité n’est plus un problème technique. C’est un sujet de gouvernance.