Conformité

NIS2 : transposition française, qui est concerné

La directive NIS2 a été transposée en droit français mi-2025. Quelles entreprises sont désormais soumises, à quelles obligations, et comment se mettre en conformité sans alourdir excessivement.

Aroua Biri 9 min

La directive européenne NIS2 (2022/2555) remplace NIS de 2016 et élargit massivement le périmètre des entreprises soumises à des obligations de cybersécurité. Transposée en France via la loi du 30 juillet 2025 et complétée par décret en novembre 2025, elle s'applique pleinement depuis 2026. Voici la lecture pratique pour savoir si vous êtes concernée et quoi préparer.

Le grand changement vs NIS1

NIS1 visait environ 500 entreprises en France (OIV — Opérateurs d'Importance Vitale, OSE — Opérateurs de Services Essentiels). NIS2 fait passer ce chiffre à plus de 15 000 entités, en intégrant deux catégories :

  • Entités essentielles (EE) : grandes entreprises de secteurs hautement critiques.
  • Entités importantes (EI) : taille intermédiaire ou secteurs critiques.

Avec la transposition française : 18 secteurs concernés, contre 7 sous NIS1.

Les secteurs concernés

Hautement critiques (annexe I)

  • Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain).
  • Transports (aérien, ferroviaire, maritime, routier).
  • Banque, infrastructures de marchés financiers.
  • Santé (hôpitaux, fabricants de médicaments, dispositifs médicaux).
  • Eau potable, eaux usées.
  • Infrastructures numériques (DNS, registre de noms, points d'échange).
  • Gestion des services TIC.
  • Administration publique.
  • Espace.

Critiques (annexe II)

  • Postes et services d'expédition.
  • Gestion des déchets.
  • Fabrication, production et distribution de produits chimiques.
  • Production, transformation et distribution de denrées alimentaires.
  • Fabrication de dispositifs médicaux, ordinateurs, équipements électriques, machines, véhicules, autres équipements de transport.
  • Fournisseurs numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux).
  • Recherche.

Les seuils de taille

NIS2 s'applique aux entreprises moyennes et grandes des secteurs concernés :

  • Moyenne : 50-249 employés ET (CA > 10 M€ OU bilan > 10 M€).
  • Grande : ≥ 250 employés OU (CA > 50 M€ ET bilan > 43 M€).

Les TPE et petites entreprises (< 50 employés et CA ≤ 10 M€) sont exclues du champ obligatoire — sauf cas particuliers (DNS providers, certains services administratifs).

Cas particuliers de désignation

Indépendamment de la taille, certaines entités peuvent être désignées :

  • Fournisseurs uniques d'un service essentiel.
  • Acteurs dont la perturbation aurait un impact sociétal/économique significatif.
  • Entités identifiées par l'ANSSI au cas par cas.

Si vous êtes une scale-up dans la santé numérique avec 30 personnes mais que vous opérez une plateforme utilisée par 80 hôpitaux, vous pouvez être désignée individuellement.

Êtes-vous concernée ? Le test rapide

  1. Votre secteur est-il dans les 18 listés ?
  2. Avez-vous au moins 50 employés OU > 10 M€ de CA ?
  3. Si non aux deux : exclue par défaut, sauf désignation spéciale.
  4. Si oui aux deux : oui, vous êtes concernée. EE ou EI dépend de votre secteur et taille.

Pour les éditeurs SaaS B2B : si vous êtes "fournisseur de services numériques" (cloud, place de marché, moteur de recherche) ET ≥ 50 employés, vous tombez dans EI minimum.

Les obligations

1. Mesures de gestion des risques (article 21)

  • Politiques d'analyse des risques et de sécurité de l'information.
  • Gestion des incidents.
  • Continuité d'activité (sauvegardes, plan de reprise).
  • Sécurité de la chaîne d'approvisionnement.
  • Sécurité de l'acquisition, du développement et de la maintenance.
  • Évaluation de l'efficacité.
  • Hygiène cyber (formation, MFA, etc.).
  • Cryptographie et chiffrement.
  • Sécurité des ressources humaines.
  • Politiques de contrôle d'accès.
  • MFA et solutions d'authentification continue.
  • Communications d'urgence sécurisées.

2. Gestion d'incidents et notification (article 23)

  • Early warning dans les 24 heures de la connaissance d'un incident significatif.
  • Notification d'incident dans les 72 heures avec analyse.
  • Rapport final dans le mois.

3. Gouvernance (article 20)

  • Approbation des mesures par les organes de direction.
  • Formation obligatoire des dirigeants sur les risques cyber.
  • Responsabilité personnelle des dirigeants engagée en cas de manquement.

4. Sanctions (article 34)

  • Pour les entités essentielles : amendes jusqu'à 10 M€ ou 2% du CA mondial.
  • Pour les entités importantes : amendes jusqu'à 7 M€ ou 1,4% du CA mondial.

C'est dans la même catégorie que le RGPD. La menace est sérieuse.

Roadmap pratique

Mois 1 — Évaluation

  • Statut : EE, EI, ou hors périmètre ?
  • Inscription auprès de l'ANSSI (obligatoire pour EE et EI).
  • Diagnostic des écarts par rapport aux 12 mesures de l'article 21.

Mois 2-6 — Mise en conformité

Pour la plupart des organisations, NIS2 = ISO 27001 + un peu plus. Les chantiers principaux :

  • Politiques sécurité écrites et validées par la direction.
  • Formation obligatoire des dirigeants (2-4h sur les risques cyber).
  • Gestion d'incidents avec délais NIS2 (24h / 72h / 1 mois).
  • Sécurité de la supply chain (DDQ fournisseurs, contrats, audit).
  • Tests de continuité documentés.

Mois 6-12 — Industrialisation

  • Outillage continuous compliance (Vanta, Drata avec module NIS2).
  • Reporting régulier au comité de direction.
  • Pre-audit interne ou externe.

Mois 12+ — Audits ANSSI possibles

L'ANSSI peut conduire des contrôles sur place ou sur pièces. Avoir la documentation prête.

Articulation avec les autres règlements

  • ISO 27001 : socle. Une organisation ISO 27001 a 70-80% du chemin NIS2 fait.
  • DORA : pour les entités financières. Recoupements forts avec NIS2 — la conformité doit être mutualisée.
  • CRA : produits logiciels. Si vos produits tombent sous CRA et vous êtes NIS2, double conformité.
  • AI Act : si vous opérez des systèmes IA à haut risque, troisième strate.

Le bon réflexe pour 2026-2027 : démarche ISO 27001 d'abord, qui couvre le socle de NIS2, puis adressage des spécificités sectorielles (DORA, CRA, AI Act).

Le piège : faire NIS2 en silo

Beaucoup d'organisations vont mettre en place des comités séparés pour chaque règlement. C'est une erreur. La sécurité de l'information est une discipline. Les règlements sont des cadres légaux différents qui exigent les mêmes contrôles fondamentaux.

Une équipe sécurité avec une démarche ISO 27001 alimentée par les exigences spécifiques des règlements applicables produit une conformité simultanée à coût optimisé.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéDORA SaaS financiers ConformitéCRA roadmap ConformitéAI Act haut risque

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt