La directive NIS2 (Network and Information Security 2) est transposée en droit français depuis 2024. Elle élargit massivement le périmètre des structures soumises à des obligations de cybersécurité — bien au-delà des seules grandes entreprises critiques. Beaucoup de PME et collectivités sont concernées sans le savoir.
Critère 1 — Taille de votre structure
NIS2 s'applique dès que vous dépassez les seuils PME (50 salariés ou 10 M€ de CA / bilan annuel). En dessous, vous n'êtes pas formellement assujetti, mais nous recommandons fortement la conformité volontaire — les exigences cyber-assurance convergent vers le même socle.
Critère 2 — Votre secteur d'activité
NIS2 distingue deux catégories : « entités essentielles » (énergie, transport, banque, santé, eau, infrastructure numérique, espace, administration publique) et « entités importantes » (postes, gestion déchets, fabrication critique, agroalimentaire, fabrication, recherche, fournisseurs cloud, etc.).
Critère 3 — Vos obligations concrètes
Les structures dans le périmètre doivent mettre en place une gouvernance cyber documentée, une analyse des risques, des mesures techniques minimales (MFA, journalisation, sauvegarde immuable, formation), un plan de réponse à incident, et déclarer tout incident cyber significatif à l'ANSSI sous 24 heures.
Critère 4 — Sanctions
Les sanctions vont jusqu'à 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles, 7 millions ou 1,4 % pour les entités importantes. La responsabilité personnelle des dirigeants peut être engagée.
Critère 5 — Calendrier d'application
L'enregistrement des entités a démarré en 2025. Les contrôles ANSSI s'intensifient progressivement. Anticiper maintenant évite l'urgence et les sanctions.
Critère 6 — Vos sous-traitants
NIS2 introduit une responsabilité étendue sur la chaîne d'approvisionnement : vous devez vous assurer que vos sous-traitants critiques (ESN, hébergeur, éditeur SaaS) appliquent eux-mêmes un socle minimum de sécurité. Un audit de vos contrats fournisseurs est indispensable.
Critère 7 — Votre posture actuelle
Si vous n'avez pas réalisé d'audit cyber récent, si votre Active Directory n'a pas été durci, si vos sauvegardes ne sont pas testées trimestriellement, si vous n'avez pas formé vos équipes au phishing — vous êtes vulnérable, quel que soit votre statut NIS2.
Par où commencer ?
- Audit de positionnement NIS2 (1 journée) pour clarifier votre exposition
- Cartographie de la posture cyber actuelle vs exigences ANSSI
- Plan de remédiation chiffré et priorisé sur 6 à 18 mois
- Mise en place de la gouvernance documentaire SSI
- Formation des dirigeants et collaborateurs
- Préparation du plan de réponse à incident