NIS2 & PME #1 : NIS2, quoi, quand, qui, comment ?

La majorité des PME avec lesquelles nous échangeons n’ont jamais enten­du par­ler de NIS2 (Net­work and Infor­ma­tion Secu­ri­ty Direc­tive 2). C’est le cas même dans des secteurs sen­si­bles comme la san­té ou l’industrie.

Pour­tant, cette direc­tive européenne a un impact opéra­tionnel, organ­i­sa­tion­nel et juridique majeur. Elle vise plus de 160 000 entités dans l’UE, dont plus de 15 000 en France, et impose des oblig­a­tions de sécu­rité que vous devez pou­voir démon­tr­er. En cas de non-respect, les sanc­tions peu­vent être lour­des — jusqu’à 10 mil­lions d’euros ou 2 % du chiffre d’affaires mon­di­al — mais elles restent graduées en fonc­tion des cas.

C’est pourquoi, à l’approche de la pro­mul­ga­tion de la loi Résilience, qui trans­pose notam­ment NIS2 en droit français et atten­due après juil­let 2026, il nous sem­blait oppor­tun d’offrir ce mini-guide aux PME comme aux plus grandes organ­i­sa­tions.

En quelques min­utes, ce guide vous aide à savoir si vous êtes con­cerné, et par où com­mencer. Il vous donne les clés pour agir dès aujourd’hui, afin que NIS2 ne soit pas vécue comme une con­trainte de plus, mais comme une oppor­tu­nité.

Cet arti­cle inau­gure notre série spé­ciale “NIS2 & PME“, conçue pour vous offrir des clés de lec­ture prag­ma­tiques de la direc­tive.
Que vous soyez directe­ment soumis à ce cadre, four­nisseur d’une entité assu­jet­tie, ou hors périmètre, ces mini-guides vous accom­pa­g­nent pour con­stru­ire une cyber­sécu­rité alignée sur les derniers stan­dards.

C’est QUOI ?

La direc­tive NIS2 (UE 2022/2555) suc­cède à la direc­tive NIS1 de 2016. Elle a été adop­tée fin 2022 et vise à ren­forcer la cyber­sécu­rité dans l’Union européenne, à l’heure où les cyber­me­n­aces sont plus rapi­des, plus com­plex­es, et sys­témiques.

NIS2 a un dou­ble objec­tif : élever le niveau de cyber­sécu­rité des organ­i­sa­tions européennes et har­monis­er leurs pra­tiques.

Pour y par­venir, elle élar­git son périmètre d’application et impose des règles min­i­males com­munes aux entités assu­jet­ties.

Atten­tion à ne pas la con­fon­dre avec les autres textes cyber européens (DORA, CER, Cyber Resilience Act, RGPD) ni avec les référen­tiels volon­taires (ISO 27001, SOC 2). Cha­cun a un objet dis­tinct, NIS2 con­sti­tu­ant le « socle com­mun ».

Pour en savoir plus sur ce dernier point, lire notre arti­cle “NIS2 & PME #4 : NIS2, RGPD, DORA, CRA, CER : qui cou­vre quoi?”

QUAND va-t-elle s’appliquer en France ?

L’Europe a adop­té NIS2 fin 2022, avec une date lim­ite de trans­po­si­tion fixée au 17 octo­bre 2024.

En France, le pro­jet de loi Résilience, qui trans­pose notam­ment la direc­tive NIS2, suit encore son par­cours par­lemen­taire. Déjà adop­té par le Sénat, il doit être exam­iné en séance publique lors de la ses­sion de juil­let 2026.

Les oblig­a­tions s’appliqueront dès que la loi et ses textes d’application (décrets, arrêtés) seront pro­mul­gués, cer­taine­ment après juil­let 2026.

Faut-il atten­dre les décrets pour agir ?

Non, car une mise en con­for­mité NIS2 peut dur­er jusqu’à 3 ans en fonc­tion de la taille et de la com­plex­ité des entités.

Pour vous guider, l’ANSSI a déjà mis en ligne un test d’assujettissement et pub­lié, en mars 2026, le Référen­tiel Cyber France (ReCyF), encore en ver­sion de tra­vail, qui détaille les mesures recom­mandées pour attein­dre les objec­tifs NIS2.

QUI est concerné ?

NIS2 classe les entités en deux caté­gories : Entités Essen­tielles (EE) et Entités Impor­tantes (EI), selon leur taille et leur secteur. Elle s’applique automa­tique­ment aux entités moyennes et grandes opérant dans 18 secteurs cri­tiques.

 Secteur
haute­ment cri­tique
Secteur
cri­tique
Grande entité
Effec­tifs ≥ 250 ET (CA ≥ 50M€ OU bilan ≥ 43M€)
Essen­tielle (EE)Impor­tante (EI)
Moyenne entité
50 ≤ Effec­tifs < 250 ET (10M€ ≤ CA < 50M€ OU 10M€ ≤ bilan < 43M€)
Impor­tante (EI)Impor­tante (EI)

Source : Direc­tive UE2022/2555, Recom­man­da­tion 2003/361/CE, LINARIS

Il s’agit de secteurs dont la défail­lance a l’impact sys­témique le plus élevé, et beau­coup étaient déjà régulés sous NIS1.

La liste des 11 secteurs ci-dessous est issue de l’An­nexe I de la direc­tive NIS2.

  • Énergie (élec­tric­ité, réseaux de chaleur, pét­role, gaz, hydrogène);
  • Trans­ports (aériens, fer­rovi­aires, par eau et routiers);
  • Secteur ban­caire ;
  • Infra­struc­tures des marchés financiers ;
  • San­té (y com­pris recherche et fab­ri­ca­tion de pro­duits phar­ma­ceu­tiques);
  • Eau potable ;
  • Eaux usées ;
  • Infra­struc­ture numérique ;
  • Ges­tion des ser­vices TIC (Tech­nolo­gies de l’In­for­ma­tion et de la Com­mu­ni­ca­tion);
  • Admin­is­tra­tion publique (pou­voirs publics cen­traux et régionaux);
  • Espace.

NIS2 étend la cyber­sécu­rité à une plus grande par­tie de l’économie. Ces secteurs ont un impact sys­témique moin­dre que les secteurs haute­ment cri­tiques.

La liste des 7 secteurs est issue de l’An­nexe II de la direc­tive NIS2.

  • Ser­vices postaux et d’expédition.
  • Ges­tion des déchets.
  • Fab­ri­ca­tion, pro­duc­tion et dis­tri­b­u­tion de pro­duits chim­iques.
  • Pro­duc­tion, trans­for­ma­tion et dis­tri­b­u­tion de den­rées ali­men­taires.
  • Fab­ri­ca­tion (inclu­ant les dis­posi­tifs médi­caux, les pro­duits infor­ma­tiques, les équipements élec­triques, les machines, l’au­to­mo­bile et les autres matériels de trans­port).
  • Four­nisseurs numériques (places de marché, moteurs de recherche et réseaux soci­aux).
  • Recherche (organ­ismes de recherche).

Vous êtes con­cerné dès 50 salariés ET (10 M€ de chiffre d’affaires OU de bilan). Cela veut dire qu’il faut regarder 2 critères : effec­tifs et critères financiers, selon la déf­i­ni­tion de l’UE (Source : arti­cle 2 de la direc­tive UE 2022/25555, Recom­man­da­tion 2003/361/CE).

En dessous, vous n’êtes générale­ment pas assu­jet­ti, quel que soit votre secteur. Mais cer­taines activ­ités sont Essen­tielles quelle que soit leur taille (voir ci-dessous).

À not­er que NIS2 reprend la déf­i­ni­tion européenne des entre­pris­es, qui range les ETI français­es par­mi les grandes entités.

Il s’ag­it des four­nisseurs de noms de domaine (DNS), prestataires de ser­vices de con­fi­ance qual­i­fiés, four­nisseurs de réseaux de com­mu­ni­ca­tions élec­tron­iques publics et admin­is­tra­tions cen­trales.

Une PME A de 60 salariés et 11 M€ de CA (entité moyenne) dans l’agroalimentaire (secteur cri­tique) est a pri­ori une Entité Impor­tante (EI).

Une PME B de 60 salariés et 9 M€ de CA, mais 11 M€ de bilan (entité moyenne) dans la ges­tion des déchets (secteur cri­tique) est a pri­ori une Entité Impor­tante (EI).

Ces 18 secteurs et ces seuils de taille (avec des ET/OU) sont fixés par la direc­tive. Ces critères s’apprécient au niveau de l’entité ou de l’entreprise, avec des nuances. Pour savoir si votre activ­ité pré­cise (sous-secteur) et votre taille vous assu­jet­tis­sent, nous vous recom­man­dons d’utiliser le sim­u­la­teur offi­ciel de l’ANSSI.

COMMENT s’aligner ?

On peut dis­tinguer trois domaines d’ac­tion et un principe trans­ver­sal.

Les organes de direc­tion, c’est-à-dire les dirigeants du plus haut niveau de la hiérar­chie d’une organ­i­sa­tion, doivent approu­ver les mesures de ges­tion des risques et en super­vis­er la mise en œuvre. Les dirigeants doivent aus­si se for­mer pour com­pren­dre les enjeux de la cyber­sécu­rité et savoir décider de manière infor­mée. Source : arti­cle 20.

La direc­tive intro­duit aus­si une respon­s­abil­ité juridique et per­son­nelle des dirigeants en cas de man­que­ment.

Pour en savoir plus, lire notre arti­cle “NIS2 & PME #2 : les 4 oblig­a­tions cyber des dirigeants”

NIS2 impose un socle min­i­mal con­traig­nant, que toutes les entités assu­jet­ties doivent met­tre en œuvre, avec un accent par­ti­c­uli­er sur le pilotage (ges­tion des risques, poli­tiques et procé­dures), le con­trôle de l’é­cosys­tème (four­nisseurs), la respon­s­abil­ité humaine (for­ma­tion) et le déploiement d’outils tech­niques pré­cis (chiffre­ment, MFA).

La liste des 10 mesures min­i­males ci-dessous est issue de l’article 21 de la direc­tive NIS2.

Ces mesures doivent pro­téger les sys­tèmes et leur envi­ron­nement physique (incendie, vol, coupure d’alimentation). C’est l’ap­proche tous risques.

  • Poli­tiques d’analyse des risques et de sécu­rité des sys­tèmes d’information.
  • Ges­tion des inci­dents.
  • Con­ti­nu­ité des activ­ités (sauve­g­ardes, reprise des activ­ités, ges­tion de crise).
  • Sécu­rité de la chaîne d’approvisionnement.
  • Sécu­rité de l’acquisition, du développe­ment et de la main­te­nance des sys­tèmes.
  • Poli­tiques d’évaluation de l’efficacité des mesures de cyber­sécu­rité.
  • Pra­tiques de cyber­hy­giène de base et for­ma­tion du per­son­nel.
  • Poli­tique d’utilisation de la cryp­togra­phie et du chiffre­ment.
  • Sécu­rité des ressources humaines, con­trôle d’accès et ges­tion des act­ifs.
  • Authen­tifi­ca­tion (mul­ti­fac­teur et con­tin­ue) et com­mu­ni­ca­tions (internes et d’ur­gence) sécurisées.

NIS2 instau­re un cal­en­dri­er de noti­fi­ca­tion en trois étapes pour les inci­dents impor­tants*:

  • Sous 24 h, alerte pré­coce
  • Sous 72 h, noti­fi­ca­tion avec analyse
  • Sous un mois, rap­port final

Con­crète­ment, l’ANSSI met­tra en place une procé­dure d’alerte sur monespacenis2.gouv.fr.

* Un inci­dent impor­tant est un événe­ment qui com­pro­met un sys­tème et entraîne soit un blocage grave de l’ac­tiv­ité, soit un préju­dice sérieux pour des tiers (source : NIS2, arti­cle 23)

Le niveau d’exigence est élevé, mais il s’adapte à la matu­rité et au pro­fil de chaque entité : NIS2 liste des critères (taille, risque, impact) pour cal­i­br­er les mesures, la super­vi­sion et les sanc­tions.

Quelles SANCTIONS en cas d’inaction ?

NIS2 prévoit aus­si des mécan­ismes de con­trôle et des sanc­tions, dont l’in­ten­sité dépend du statut de l’en­tité et de la grav­ité du man­que­ment.

La super­vi­sion est proac­tive pour les entités essen­tielles (audits et inspec­tions réguliers) et unique­ment réac­tive (ex post) pour les entités impor­tantes.

Des aver­tisse­ments, injonc­tions de mise en con­for­mité et pub­li­ca­tion des sanc­tions et infor­ma­tion des clients s’appliquent à toutes les entités assu­jet­ties. Source : arti­cles 32 et 33.

Les amendes sont har­mon­isées et s’ap­pliquent à toutes les entités assu­jet­ties. Source : arti­cle 34.

  • jusqu’à 10 M€ ou 2 % du CA mon­di­al, le plus élevé des deux, pour les EE ;
  • jusqu’à 7 M€ ou 1,4 % du CA mon­di­al, le plus élevé des deux, pour les EI.

Elle est réservée aux EE, en dernier recours, l’interdiction tem­po­raire d’exercer des fonc­tions de direc­tion. Source : arti­cle 32.

Pour en savoir plus, lire notre arti­cle “NIS2 & PME #2 : les 4 oblig­a­tions cyber des dirigeants.”

Concrètement, comment êtes-vous concerné ?

Selon votre sit­u­a­tion, NIS2 peut vous touch­er de trois manières dif­férentes.

Notre con­seil : ne pas atten­dre la pro­mul­ga­tion des textes de trans­po­si­tion de NIS2 en droit français.

Pré-enreg­istrez-vous sur le site de l’ANSSI, lancez un diag­nos­tic de matu­rité NIS2 (gap analy­sis), déployez les mesures man­quantes, formez vos dirigeants et installez une véri­ta­ble gou­ver­nance de la cyber­sécu­rité.

Vous êtes four­nisseur ou sous-trai­tant d’une entité NIS2.

Même hors périmètre direct, vous subis­sez l’ « effet domi­no » juridique et opéra­tionnel. L’obligation de sécuris­er la chaîne d’approvisionnement (Ref. § Dix mesures min­i­males) pousse vos clients NIS2 à vous impos­er leurs exi­gences par con­trat.

Notre con­seil : prenez les devants. Démon­tr­er une cyber­sécu­rité alignée sur les objec­tifs de NIS2 devient un réel argu­ment com­mer­cial : non seule­ment vous gardez vos con­trats exis­tants, mais vous pou­vez aus­si en gag­n­er d’autres.

Pour en savoir plus sur l’ ”effet domi­no”, lire notre arti­cle “NIS2 & PME #3 : l’ef­fet domi­no du risque cyber four­nisseur”

Bien que la direc­tive ne vous soit pas directe­ment applic­a­ble, l’article 32 du RGPD vous impose déjà de met­tre en œuvre des mesures appro­priées pour garan­tir un niveau de sécu­rité adap­té à la pro­tec­tion de vos don­nées à car­ac­tère per­son­nel.

Nous pen­sons que NIS2 définit désor­mais l’« état de l’art » en matière de cyber­sécu­rité pour vous per­me­t­tre de rem­plir vos oblig­a­tions de sécu­rité sous le RGPD. Notez qu’en cas de fuite de don­nées à car­ac­tère per­son­nel suite à une cyber­at­taque, NIS2 et RGPD s’appliquent ensem­ble.

Notre con­seil : adoptez dès main­tenant les bonnes pra­tiques de NIS2 comme référence. C’est aujourd’hui votre meilleure assur­ance con­tre la fuite des don­nées et l’arrêt d’activité.  Demain, ce sera le niveau atten­du par vos clients, vos parte­naires et vos assureurs. Vous prenez une longueur d’avance sans y être con­traint.

Pour en savoir plus sur les Cas 2 et 3, lire notre arti­cle “NIS2 & PME #3 : l’ef­fet domi­no du risque cyber four­nisseur”

En résumé

NIS2 est le nou­veau socle de la cyber­sécu­rité en Europe. Elle hisse le sujet au niveau de la direc­tion générale qui doit la pilot­er de manière infor­mée et pou­voir la démon­tr­er. Elle fixe des mesures strictes et des con­traintes élevées mais ne demande pas la même chose à une PME qu’à une grande entre­prise. Elle per­met ain­si à cha­cune un niveau de pro­tec­tion cohérent avec son niveau d’exposition aux risques cyber pour garan­tir la con­ti­nu­ité de ses activ­ités.

Con­crète­ment, nous pen­sons que c’est la nou­velle norme de cyber­sécu­rité à suiv­re, que l’on soit con­cerné ou non. Car par le biais de l’exigence de sécuri­sa­tion de la chaîne d’approvisionnement, elle s’étendra de fait bien au-delà des entités directe­ment assu­jet­ties.

Bâtir une cyber­sécu­rité défend­able se compte en mois, voire en années, pas en semaines. La meilleure stratégie, c’est d’a­gir dès main­tenant, sans atten­dre la pro­mul­ga­tion des textes.

Auteur
Lai Ly
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME
Spé­cial­iste Secteur Ser­vices Financiers

Con­tribu­teur
Stéphane Hivert
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste Secteurs E‑Commerce, Indus­trie

Vos clients sont soumis à NIS2 ?
Préparez-vous sans tarder.


Ne risquez pas de per­dre des marchés à cause de votre cyber­sécu­rité.
Faites-en un argu­ment de vente et un gage de con­fi­ance pour vos parte­naires.

LINARIS accom­pa­gne les dirigeants de PME pour traduire la com­plex­ité de la cyber­sécu­rité de manière prag­ma­tique et adap­tée.

Pren­dre ren­dez-vous avec un con­seiller LINARIS

Note d’édi­tion : Pour alléger la lec­ture, le mas­culin est employé dans cet arti­cle comme genre neu­tre. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique ; nous ne faisons aucune inter­pré­ta­tion juridique ou antic­i­pa­tion de la trans­po­si­tion française (voir notre men­tion com­plète ci-dessous).

Disclaimer

Cet arti­cle est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à sa date de pub­li­ca­tion. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne saurait engager la respon­s­abil­ité de l’édi­teur quant à l’ex­haus­tiv­ité des infor­ma­tions fournies. Les men­aces cyber et les niveaux de risque évolu­ant con­stam­ment dans le temps, toute déci­sion prise sur la base de cette lec­ture relève de la seule respon­s­abil­ité du lecteur.
Note spé­ci­fique à la direc­tive NIS2 : Comme indiqué en intro­duc­tion, les élé­ments partagés dans cet arti­cle découlent directe­ment du texte européen (Direc­tive (UE) 2022/2555) et restent soumis aux décrets de la trans­po­si­tion française. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique. Il ne con­stitue pas un avis juridique et ne saurait en aucun cas rem­plac­er une analyse juridique per­son­nal­isée au cas par cas pour votre entre­prise.

Publications similaires