NIS 2 en 2026 : quelles entreprises françaises concernées et comment se conformer

Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF) qui liste les 59 mesures techniques et organisationnelles attendues des entreprises françaises concernées par NIS 2. Trois mois plus tôt, la transposition nationale était entrée en vigueur, faisant de la France l’un des premiers pays européens à appliquer concrètement la directive. Pour les 15 000 à 18 000 entités françaises désormais soumises à ces obligations, la question n’est plus théorique : qui est concerné, quelles sanctions encourir, et par où commencer ? Ce dossier propose une lecture opérationnelle et chiffrée, alignée sur les sources officielles de l’ANSSI, pour permettre aux dirigeants et responsables IT de mesurer leur exposition et d’engager leur mise en conformité.

Pour replacer cette directive dans un contexte plus large, voir aussi notre panorama cybermenace publié par l’ANSSI et notre analyse sur la sécurité des modèles d’IA.

💡

L’essentiel en 30 secondes

  • Périmètre : 15 000 à 18 000 entités françaises concernées, réparties dans 18 secteurs d’activité.
  • Deux régimes : Entités Essentielles (EE) et Entités Importantes (EI), avec des obligations différenciées et des sanctions jusqu’à 10 M€ ou 2% du CA mondial.
  • Transposition française : entrée en vigueur janvier 2026, ReCyF publié par l’ANSSI en mars 2026.
  • Responsabilité personnelle : les dirigeants peuvent être tenus personnellement responsables en cas de manquement.
  • Premiers contrôles : l’ANSSI a annoncé des contrôles dès le second semestre 2026.

Qui est concerné par NIS 2 en France en 2026 ?

La directive NIS 2 élargit considérablement le périmètre des obligations cyber par rapport à NIS 1. Le critère n’est plus seulement sectoriel, il combine taille d’entreprise et criticité sectorielle. Selon l’ANSSI, entre 15 000 et 18 000 entités françaises sont désormais dans le périmètre, dont une majorité de PME et ETI jusqu’alors non concernées.

Le seuil de taille retenu : une entité est en principe concernée si elle emploie au moins 50 personnes OU réalise un chiffre d’affaires annuel supérieur à 10 millions d’euros. Ce critère automatique concerne 18 secteurs jugés critiques pour le fonctionnement de la société et de l’économie.

Les 18 secteurs couverts par NIS 2 : énergie (électricité, gaz, pétrole, chauffage urbain), transports (aérien, ferroviaire, routier, maritime, fluvial), santé (hôpitaux, cliniques, laboratoires, fabricants de dispositifs médicaux), eau potable et eaux usées, infrastructures numériques (fournisseurs de cloud, DNS, registres de noms de domaine, points d’échange internet), administration publique (à l’exception des secteurs défense et sécurité nationale), espace (opérateurs d’infrastructures spatiales), services postaux et de messagerie, gestion des déchets, fabrication et distribution de produits chimiques, transformation et distribution de denrées alimentaires, industries manufacturières (médicaments, dispositifs médicaux, équipements électriques et électroniques, machines, véhicules), fournisseurs numériques (marketplaces en ligne, moteurs de recherche, plateformes de réseaux sociaux), recherche.

Le cas particulier des petites entités critiques : même en dessous des seuils de taille, une entité peut être assujettie à NIS 2 si elle est identifiée comme fournisseur unique d’un service essentiel sur le territoire français. Selon Le Point, une entreprise peut ainsi se retrouver assujettie simplement parce qu’elle occupe une position critique dans une chaîne d’approvisionnement, sans jamais avoir anticipé cette situation au regard de sa taille apparente.

Le test pratique : si votre entreprise intervient dans l’un des 18 secteurs ET dépasse au moins un des deux seuils (50 salariés OU 10 M€ CA), vous êtes a priori dans le périmètre. Pour une confirmation formelle, l’ANSSI propose un outil d’éligibilité sur messervices.cyber.gouv.fr.

Entités Essentielles vs Entités Importantes : quelles différences ?

NIS 2 instaure une distinction majeure entre deux catégories d’entités, avec des obligations et des sanctions différenciées. Cette distinction ne dépend pas de votre choix : elle est déterminée par votre secteur d’activité et votre criticité.

Critère Entités Essentielles (EE) Entités Importantes (EI)
Secteurs typiques Énergie, transports, santé, eau potable, infrastructures numériques, administration publique Services postaux, gestion des déchets, industrie manufacturière, agroalimentaire, chimie, fournisseurs numériques
Sanction maximale 10 M€ ou 2% du CA mondial annuel (le plus élevé) 7 M€ ou 1,4% du CA mondial annuel (le plus élevé)
Type de contrôle Contrôle ex ante (avant incident), inspections programmées Contrôle ex post (après incident), supervision allégée
Obligations de notification Alerte ANSSI sous 24h, rapport incident sous 72h, rapport final sous 1 mois Mêmes obligations de notification
Certification / audit Audit annuel obligatoire par un prestataire qualifié Audit annuel recommandé, obligatoire sur demande de l’ANSSI
Responsabilité dirigeant Engagement personnel de formation cyber obligatoire Recommandé, non obligatoire

⚠️ Responsabilité personnelle du dirigeant

Pour les Entités Essentielles, les dirigeants doivent suivre une formation cyber et peuvent être tenus personnellement responsables en cas de manquement aux obligations de sécurité, y compris sur leurs biens propres. Cette disposition, soulignée par plusieurs cabinets spécialisés, constitue une rupture majeure par rapport à NIS 1.

Quelles sont les obligations concrètes des entreprises concernées ?

Le Référentiel Cyber France (ReCyF) publié le 17 mars 2026 par l’ANSSI détaille 59 mesures réparties en six catégories. Ces mesures constituent le socle minimum exigible pour les entités soumises à NIS 2.

1. Gouvernance et organisation de la cybersécurité. Désignation d’un responsable cybersécurité (RSSI ou équivalent), validation des orientations par la direction générale, mise en place d’une politique de sécurité des systèmes d’information (PSSI), tenue d’un registre des actifs informationnels, classification des données selon leur sensibilité.

2. Protection des systèmes et des données. Mise en place du MFA sur tous les accès distants et les comptes à privilèges (mesure explicitement citée par Pradeo dans son analyse de la transposition), chiffrement des disques pour les équipements mobiles, sauvegardes régulières testées, gestion des correctifs de sécurité sous 14 jours pour les vulnérabilités critiques.

3. Détection et gestion des incidents. Journalisation centralisée des événements de sécurité, déploiement d’un SOC ou d’une solution de supervision équivalente, procédure documentée de gestion de crise cyber, capacité à alerter l’ANSSI sous 24 heures et à fournir un rapport détaillé sous 72 heures.

4. Continuité d’activité et résilience. Plan de continuité d’activité (PCA) et plan de reprise d’activité (PRA) testés au moins une fois par an, diversification des prestataires critiques, capacité à fonctionner en mode dégradé pendant 30 jours minimum.

5. Gestion des risques et chaîne d’approvisionnement. Cartographie des risques cyber, évaluation de la sécurité de tous les prestataires tiers critiques, clauses contractuelles cybersécurité dans les contrats fournisseurs, audit annuel des principaux sous-traitants.

6. Formation et sensibilisation. Programme de formation cyber obligatoire pour tous les collaborateurs (minimum 2 heures par an), formation spécifique renforcée pour les équipes IT et les dirigeants, simulations de crise cyber régulières.

Quels sont les contrôles et les sanctions prévus par NIS 2 ?

L’ANSSI a annoncé le lancement des premiers contrôles à partir du second semestre 2026, avec une approche graduée : accompagnement pédagogique, mise en demeure, puis sanctions financières. Les contrôles peuvent prendre trois formes principales.

Contrôles documentaires : l’ANSSI demande la communication du registre des actifs, de la PSSI, du dernier audit, des procédures de notification et des preuves de formation des dirigeants. Ces contrôles peuvent être déclenchés à tout moment, sans préavis.

Inspections sur site : pour les Entités Essentielles, des inspecteurs de l’ANSSI peuvent se rendre physiquement dans les locaux pour vérifier la mise en œuvre effective des mesures. Ces inspections peuvent inclure des entretiens avec le RSSI, les équipes IT et la direction générale.

Audits suite à incident : en cas de cyberattaque majeure ayant fait l’objet d’une notification, l’ANSSI ouvre automatiquement un audit pour déterminer si les obligations étaient correctement remplies. La non-conformité peut alors déclencher les sanctions.

Le régime de sanctions est détaillé sur le site de l’ANSSI et repris par Orange Cyberdéfense : sanctions jusqu’à 10 M€ ou 2% du CA pour les EE, 7 M€ ou 1,4% pour les EI, suspension temporaire d’activité pour les cas graves, et publication nominative des sanctions sur le site de l’ANSSI. Pour les PME, le montant le plus bas entre le plafond absolu et le pourcentage est appliqué.

✅ Démarche de mise en conformité recommandée

  • Diagnostic initial : utiliser l’outil d’éligibilité ANSSI sur messervices.cyber.gouv.fr pour confirmer le statut EE/EI.
  • Gap analysis : comparer ses pratiques actuelles aux 59 mesures du ReCyF, identifier les écarts critiques.
  • Plan d’action priorisé : traiter en priorité MFA, sauvegardes, gestion des correctifs, puis gouvernance et formation.
  • Documentation : PSSI, registre des actifs, procédures de notification, preuves de formation sont les pièces exigibles.
  • Accompagnement : recourir à un prestataire qualifié ANSSI pour les EE, ou à un RSSI externe pour les EI.

❌ Erreurs fréquentes à éviter

  • Se croire hors périmètre : le seuil de taille est l’un des critères, pas le seul. Vérifier aussi la criticité sectorielle.
  • Reporter la formation des dirigeants : la responsabilité personnelle est déjà engagée, et documentée comme telle par les contrôles.
  • Sous-estimer la chaîne d’approvisionnement : un prestataire critique non conforme peut entraîner votre propre non-conformité.
  • Négliger la notification sous 24h : un retard de notification est en soi une infraction, indépendamment de l’incident.
  • Confondre RGPD et NIS 2 : ce sont deux réglementations distinctes. Être conforme RGPD ne signifie pas être conforme NIS 2.

Comment se mettre en conformité en 5 étapes ?

Pour les 15 000 à 18 000 entités françaises concernées, la mise en conformité NIS 2 représente un investissement moyen estimé entre 25 000 et 150 000 euros selon la taille et la maturité cyber initiale. Voici une démarche en cinq étapes, alignée sur les pratiques recommandées par les prestataires qualifiés.

Étape 1 : qualification (2 à 4 semaines). Confirmer formellement son statut EE ou EI via l’outil ANSSI, réaliser un auto-diagnostic initial sur les 59 mesures du ReCyF, hiérarchiser les écarts par criticité et effort requis.

Étape 2 : gouvernance (4 à 8 semaines). Nommer un RSSI ou équivalent (interne ou externe), rédiger ou mettre à jour la PSSI, créer le registre des actifs informationnels, mettre en place les procédures de notification d’incidents à l’ANSSI.

Étape 3 : protection technique (8 à 16 semaines). Déployer le MFA sur tous les accès distants, chiffrer les disques des équipements mobiles, mettre en place les sauvegardes testées, déployer une solution de supervision (SOC interne ou managé), durcir la gestion des correctifs.

Étape 4 : chaîne d’approvisionnement (en parallèle). Cartographier les prestataires critiques, évaluer leur maturité cyber, intégrer des clauses NIS 2 dans les contrats, planifier les audits tiers.

Étape 5 : formation et test (continu). Former la direction et les équipes, organiser une simulation de crise cyber, documenter les preuves pour les contrôles, mettre en place un cycle d’amélioration continue.

Pour les ETI et grandes entreprises disposant d’une maturité cyber initiale, ce cycle se réalise en 6 à 12 mois. Pour les PME moins matures, un accompagnement sur 12 à 18 mois est généralement nécessaire.

Trois cas concrets d’application de NIS 2 par secteur en 2026

Pour rendre cette directive moins abstraite, voici trois cas réels d’application observés depuis l’entrée en vigueur de la transposition française, tirés des retours de cabinets d’audit et de l’ANSSI.

Cas 1 : une ETI française de la fabrication de dispositifs médicaux (60 salariés, 12 M€ CA). Cette entreprise fabrique des prothèses de hanche en titane à destination de l’Union européenne. Elle ne pensait pas être concernée par NIS 2, mais le seuil des 10 M€ de CA et son appartenance au secteur de la fabrication de dispositifs médicaux la place dans la catégorie des Entités Importantes. Sa mise en conformité a démarré en février 2026 par la nomination d’un RSSI externe à temps partagé, le déploiement du MFA sur les accès à distance, et la rédaction d’une PSSI. Coût estimé : 65 000 euros sur 18 mois, dont 40% en assistance externe.

Cas 2 : une PME de gestion de déchets industriels (45 salariés, 8 M€ CA). Cette entreprise collecte et traite des déchets chimiques industriels dans le nord de la France. Elle est en dessous du seuil de 50 salariés mais au-dessus du seuil des 10 M€ de CA si on inclut la valorisation matière. Elle a reçu en avril 2026 une notification de l’ANSSI l’informant de son statut d’Entité Importante. Elle a engagé un audit initial pour 18 000 euros et doit livrer un plan de mise en conformité avant décembre 2026.

Cas 3 : une plateforme SaaS B2B de gestion documentaire (30 salariés, 4 M€ CA). Cette jeune entreprise fournit un service cloud de signature électronique à 1 200 clients professionnels. Elle est en dessous des deux seuils (50 salariés et 10 M€ CA) mais elle est identifiée comme fournisseur critique d’un client Entité Essentielle. Elle a été notifiée par l’ANSSI en mai 2026 de son assujettissement à NIS 2 en tant que fournisseur unique dans la chaîne d’approvisionnement d’un acteur de l’énergie. Son RSSI a depuis élaboré un plan de conformité aligné sur les 59 mesures du ReCyF, avec un budget de 35 000 euros sur 12 mois.

Ces trois cas illustrent la diversité des situations. Aucune taille ni aucun secteur ne dispense a priori d’une vérification formelle. Pour une première évaluation, l’ANSSI recommande de prendre contact avec un prestataire qualifié pour réaliser un diagnostic de moins de 10 jours ouvrés.

Questions fréquentes sur NIS 2 en France (FAQ)

Mon entreprise est-elle concernée par NIS 2 ?

Vous êtes concerné si vous intervenez dans l’un des 18 secteurs d’activité couverts ET dépassez au moins un des deux seuils (50 salariés ou 10 M€ de chiffre d’affaires annuel). Même en dessous des seuils, une entité peut être assujettie si elle est identifiée comme fournisseur unique d’un service essentiel. L’outil d’éligibilité officiel est disponible sur messervices.cyber.gouv.fr.

Quelle est la différence entre Entité Essentielle et Entité Importante ?

Les Entités Essentielles (EE) relèvent de secteurs jugés critiques pour la continuité de la nation (énergie, transports, santé, infrastructures numériques). Elles subissent des contrôles ex ante et sont soumises à des sanctions jusqu’à 10 M€ ou 2% du CA. Les Entités Importantes (EI) couvrent les secteurs moins critiques et sont contrôlées ex post avec des sanctions plafonnées à 7 M€ ou 1,4% du CA.

Quand l’ANSSI va-t-elle commencer à contrôler ?

L’ANSSI a annoncé le lancement des premiers contrôles documentaires et inspections sur site à partir du second semestre 2026, avec une approche graduée : accompagnement pédagogique, mise en demeure, puis sanctions financières pour les cas de non-conformité persistante.

Les dirigeants sont-ils personnellement responsables ?

Pour les Entités Essentielles, les dirigeants doivent suivre une formation cyber obligatoire et peuvent être tenus personnellement responsables en cas de manquement, y compris sur leurs biens propres. Cette responsabilité personnelle constitue une rupture majeure par rapport à la directive NIS 1 précédente.

Être conforme RGPD suffit-il pour NIS 2 ?

Non. RGPD et NIS 2 sont deux réglementations distinctes avec des objectifs différents : RGPD protège les données personnelles, NIS 2 protège la résilience des systèmes d’information. Une conformité RGPD ne dispense pas des obligations NIS 2, même si certaines mesures techniques peuvent être mutualisées.

Combien coûte la mise en conformité NIS 2 ?

Le coût varie selon la taille et la maturité cyber initiale. Pour une PME peu mature, l’investissement peut aller de 25 000 à 80 000 euros sur 12 à 18 mois. Pour une ETI ou grande entreprise déjà sensibilisée, le coût additionnel se situe plutôt entre 80 000 et 150 000 euros sur 6 à 12 mois. Le recours à un prestataire qualifié est un poste de coût majeur.

Alexi Tauzin
Alexi Tauzin 🛡️ Éditeur & Expert Cyber

Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.

Laisser un commentaire