Aller directement au contenu principal
Blog

Réglementation Nis2 : ce qu'il faut savoir pour être en règle

RécapitulatifLecture : 15 min

Préparez votre entreprise à la réglementation NIS2 ! Obligations, calendrier, sanctions : toutes les infos clés pour votre mise en conformité.

En 2025, plus de 40 % des entreprises déclaraient avoir subi au moins un incident de sécurité informatique s’ouvre dans un nouvel onglet significatif, révélant un niveau de cybermenace inédit sur les réseaux et systèmes d'information. Face à cette réalité, l'Union européenne a choisi de renforcer la cybersécurité au sein du marché européen. La réglementation NIS2 (Network and Information Security 2) constitue désormais le texte de référence pour protéger les infrastructures critiques et les services essentiels à l'échelle européenne.

Adoptée par le Parlement européen en décembre 2022 et entrée en vigueur le 17 octobre 2024, cette nouvelle directive élargit le champ d'application de son prédécesseur. En France, la transposition de la directive dans le droit national via le projet de loi « Résilience » est toujours en cours, mais l'ANSSI appelle les entreprises à ne pas attendre pour agir. Voici ce que chaque organisation doit savoir pour anticiper et structurer sa mise en conformité avec la directive.

Qu'est-ce que la directive NIS2 et pourquoi change-t-elle la donne ?

La directive NIS2 s’ouvre dans un nouvel onglet vise à assurer un niveau élevé et commun de cybersécurité dans toute l'Union européenne. Adoptée le 14 décembre 2022 et entrée en vigueur le 17 octobre 2024, elle abroge et remplace la première directive NIS, adoptée en 2016.

La première version du texte souffrait de plusieurs limites : un périmètre trop restreint, des obligations appliquées de manière inégale selon les États membres et des sanctions insuffisamment dissuasives. La réglementation NIS2 corrige ces lacunes en proposant un cadre harmonisé et renforcé. Son ambition est claire : faire de la cybersécurité des réseaux et systèmes d'information un enjeu stratégique pour toutes les organisations, et pas seulement les grandes infrastructures critiques.

Concrètement, la réglementation NIS2 impose aux entités concernées de mettre en œuvre des mesures de gestion des risques cyber avec 20 objectifs de sécurité définis dans la directive s’ouvre dans un nouvel onglet, de notifier les incidents significatifs aux autorités compétentes et engage la responsabilité des dirigeants dans la gouvernance de la cybersécurité.

Qui est concerné par la directive NIS2 en France ?

Entreprises concernées

L'un des changements majeurs de cette nouvelle réglementation réside dans l'élargissement du nombre d'entités régulées. Entre 15 000 et 18 000 entités en France entreront dans le périmètre de la directive, réparties en deux catégories :

  • Entités essentielles (EE) : si elles emploient au moins 250 personnes ou ont un chiffre d'affaires annuel supérieur à 50 millions d'euros et un bilan annuel supérieur à 43 millions d'euros.

  • Entités importantes (EI) : si elles ne sont pas entités essentielles et emploient au moins 50 personnes ou ont un chiffre d’affaires et un bilan annuel supérieur à 10 millions d'euros.

Ces seuils constituent un repère, mais le secteur d’activité et le rôle de l’entité restent déterminants.

Secteurs d'activité concernés

La réglementation NIS2 ne cible plus seulement les opérateurs vitaux mais des milliers de PME, ETI et grandes entreprises. La directive couvre désormais 18 secteurs d'activité répartis en deux groupes :

  • Secteurs hautement critiques : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, gestion des services TIC, administrations publiques, espace.

  • Autres secteurs critiques : services postaux, gestion des déchets, fabrication et distribution de produits chimiques, production alimentaire, industrie manufacturière, fournisseurs numériques, recherche.

Toute entité de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires, opérant dans l'un de ces secteurs, est potentiellement soumise à la directive. Fait notable : les sous-traitants et fournisseurs peuvent également être concernés indirectement, leurs donneurs d'ordres étant tenus d'intégrer des exigences de sécurité dans leurs contrats.

Les obligations clés imposées par la réglementation NIS2

La directive impose une approche systémique de la cybersécurité, inspirée des référentiels ISO/IEC 27001 et IEC 62443. Les obligations NIS2 se structurent autour de plusieurs piliers fondamentaux.

Enregistrement auprès de l'autorité nationale compétence

Une fois qu’une entité a évalué qu’elle entrait dans le périmètre de la directive NIS 2, celle-ci devra s’enregistrer sur un dispositif en cours de déploiement par l’ANSSI.

Gouvernance et responsabilité des dirigeants

La direction générale doit désormais valider personnellement les politiques de sécurité. Cette responsabilité des dirigeants constitue un tournant. Pour cause, en cas de manquement, les responsables peuvent faire l'objet de sanctions NIS2 directes, y compris des interdictions d'exercer. La cybersécurité devient ainsi un sujet de conseil d'administration, et non plus un simple enjeu technique délégué aux équipes IT.

Gestion des risques et mesures de sécurité

Les entités doivent réaliser un inventaire exhaustif de leurs actifs, segmenter leurs réseaux, mettre en place un processus de gestion des correctifs et établir des politiques de sécurité couvrant l'ensemble de leur système d'information. Le projet de décret français définit 20 objectifs de sécurité pour les entités essentielles et 15 pour les entités importantes.

Notification des incidents

L'une des exigences majeures concerne la déclaration rapide des incidents de cybersécurité : une notification préliminaire dans les 24 heures suivant la découverte, une notification détaillée sous 72 heures et un rapport final dans un délai d'un mois.

Sécurité de la chaîne d'approvisionnement

Les organisations doivent intégrer des clauses de cybersécurité dans les contrats avec leurs fournisseurs et réaliser des évaluations continues de leurs prestataires critiques.

Des sanctions financières dissuasives

Le régime de sanctions prévu par la réglementation NIS2 marque une rupture nette avec le cadre précédent. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Le montant le plus élevé est retenu. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial.

Au-delà des amendes, les autorités compétentes pourront émettre des avertissements publics et des instructions contraignantes. En France, c'est l'ANSSI qui assurera le rôle de superviseur et de contrôleur, avec la possibilité de forcer une organisation non conforme à communiquer publiquement sur ses manquements.

Où en est la transposition en France ?

La France a choisi d'intégrer la transposition de NIS2 dans un projet de loi de transposition (souvent appelé “loi Résilience”). Celle-ci couvre également les directives DORA et REC. Le Sénat a adopté ce projet de loi en première lecture le 12 mars 2025. Le texte a poursuivi son parcours à l'Assemblée nationale, mais début 2026, le processus législatif restait en cours.

Les États membres devaient transposer la directive avant le 17 octobre 2024, mais la France n'a pas respecté cette échéance. Cela a conduit la Commission européenne à engager une procédure d'infraction. Après une première vague de mises en demeure en novembre 2024, 19 États membres ont reçu un avis motivé en mai 2025. À ce jour, 20 des 27 États membres ont officiellement achevé la transposition, selon le suivi réalisé par Wavestone s’ouvre dans un nouvel onglet.

Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF) pour accélérer la mise en œuvre de la directive NIS2. Ce référentiel, bien que non obligatoire à ce stade, permet aux futurs assujettis de s'en prévaloir en cas de contrôle. Concernant la réglementation DORA et conformité numérique, le projet de loi Résilience traite ces deux directives en parallèle. Cela renforce la cohérence du dispositif réglementaire européen.

Quel est le coût de la mise en conformité ?

Se mettre en conformité représente un investissement significatif, mais il doit être mis en perspective avec le coût des cyberattaques. Selon l'ANSSI et le SGDSN, le coût initial de mise en conformité est estimé entre 100 000 et 200 000 euros pour les entités importantes. Concernant les entités essentielles, il est estimé entre 450 000 et 880 000 euros. À cela s'ajoute environ 10 % de ce montant chaque année, comme le rapporte la SPAC Alliance s’ouvre dans un nouvel onglet.

Selon la Cour des comptes française (juin 2025), le coût moyen d'une cyberattaque est estimé entre 5 et 10 % du chiffre d'affaires annuel, quel que soit le secteur ou la taille de l'entreprise. L'investissement dans un plan de conformité apparaît donc comme un choix économiquement rationnel, bien au-delà de la simple obligation réglementaire.

L'ANSSI a d'ailleurs prévu un délai de trois ans après la promulgation de la loi pour atteindre la conformité totale. Elle insiste sur la nécessité de démarrer immédiatement les travaux préparatoires.

Comment préparer votre organisation dès maintenant ?

Malgré l'absence de transposition à ce jour, l'ANSSI appelle l'ensemble des entités assujetties à ne pas attendre pour commencer leur mise en conformité. Elle rappelle que l'objectif premier est de protéger son organisation face aux cybermenaces qui, elles, n'attendent pas.

Voici les étapes prioritaires à engager :

  1. Évaluer votre périmètre : utilisez le simulateur NIS2 proposé par l'ANSSI s’ouvre dans un nouvel onglet pour déterminer si votre organisation est concernée et sous quelle catégorie (entité essentielle ou importante).

  2. Enregistrer votre entité auprès de l'ANSSI : accédez au service de pré-enregistrement en ligne.

  3. Réaliser un diagnostic de maturité : cartographiez vos actifs critiques, identifiez les vulnérabilités et évaluez votre posture de sécurité actuelle par rapport aux 20 objectifs du ReCyF.

  4. Impliquer la direction générale : la gouvernance cyber ne peut plus être déléguée. Les dirigeants doivent comprendre leurs responsabilités personnelles et valider la stratégie de sécurité.

  5. Sécuriser la chaîne d'approvisionnement : intégrez des exigences de cybersécurité dans vos contrats fournisseurs et réalisez des audits réguliers de vos prestataires critiques.

  6. Préparer la gestion des incidents : mettez en place un plan de réponse permettant de respecter les délais de notification (24 heures, 72 heures, un mois).

  7. Former le personnel : sensibilisez l'ensemble des collaborateurs aux risques numériques et aux

    bonnes pratiques de cybersécurité.

Sur le plan contractuel, la conformité implique de revoir les accords avec les fournisseurs, les partenaires et les clients. Pour gérer ce volume de contrats et garantir leur traçabilité, découvrez notre article "normes de gouvernance des données et sécurité".

NIS2 dans l'écosystème réglementaire européen

La réglementation NIS2 ne fonctionne pas en vase clos. Elle s'inscrit dans un ensemble de textes européens qui se renforcent mutuellement :

  • Cyber Resilience Act (CRA), qui impose des exigences de sécurité pour les produits comportant des éléments numériques.

  • RGPD, qui régit la protection des données personnelles et partage avec NIS2 l'obligation de notification des incidents.

  • Règlement DORA, spécifique au secteur financier et complémentaire à la réglementation NIS2 sur la résilience opérationnelle numérique.

  • Directive CER, qui traite de la résilience physique des entités critiques.

En mars 2026, le CEPD et le Contrôleur européen de la protection des données ont adopté un avis conjoint soutenant le renforcement du rôle de l'ENISA et l'introduction d'un point d'entrée unique pour les notifications d'incidents. Ce dernier vise à harmoniser les obligations de déclaration entre NIS2, DORA et le RGPD. Cette convergence réglementaire facilite la vie des entreprises soumises à plusieurs textes simultanément. Pour suivre les nouvelles réglementations européennes à venir, une veille proactive est indispensable.

Réglementation NIS2, conclusion

La réglementation NIS2 constitue un tournant majeur pour la cybersécurité en France et en Europe. Avec un périmètre couvrant jusqu'à 18 000 entités françaises et des sanctions pouvant atteindre 10 millions d'euros, le coût de l'inaction dépasse largement celui de la mise en conformité. Chaque mois de retard augmente l'exposition aux risques cyber et alourdit la facture finale.

La clé réside dans une approche transversale, intégrant gouvernance, technologie et gestion contractuelle, pour bâtir une résilience durable. Notre plateforme Docusign IAM vous aide à centraliser, sécuriser et automatiser l'ensemble de vos accords. Un levier essentiel pour répondre aux exigences de traçabilité et de sécurité de la chaîne d'approvisionnement. Pour structurer votre démarche de conformité, découvrez notre plateforme Docusign IAM et simplifiez la gestion de vos accords dès aujourd'hui.

Questions fréquentes

Quelle est la différence entre NIS et NIS2 ?

La directive NIS (2016) posait les bases de la sécurité des réseaux et des systèmes d’information, avec un périmètre limité à certains secteurs critiques.

La directive européenne NIS2 (entrée en vigueur en octobre 2024) va plus loin :

  • un champ d’application élargi (plus d’entreprises, y compris des PME),

  • des exigences de cybersécurité renforcées (gestion des risques, réponse aux incidents, contrôle d’accès),

  • des sanctions plus strictes et une responsabilité accrue des dirigeants.

En résumé, NIS initiait la démarche, NIS2 impose une cyber résilience à grande échelle dans toute l’Union européenne.

Quand la directive NIS2 est-elle entrée en vigueur ?

Le texte réglementaire devient applicable depuis le 17 octobre 2024 dans toute l'Union européenne. Les États membres disposent jusqu'en octobre 2024 pour transposer ses dispositions dans leur droit national. La France travaille actuellement sur sa transposition via le projet de loi Résilience, dont l'adoption définitive est attendue courant 2026. Une fois promulguée, l'Agence nationale de sécurité des systèmes d'information (ANSSI) activera pleinement son dispositif de contrôle et de sanctions.

Quelles sont les exigences de la directive NIS2 pour le secteur du transport ?

Le secteur du transport fait face à des exigences renforcées sous NIS2, particulièrement pour les opérateurs ferroviaires, aériens et maritimes. Les entreprises doivent notamment sécuriser leurs systèmes de contrôle industriel et leurs interfaces de gestion du trafic. La protection des données passagers devient prioritaire, avec des mesures spécifiques pour les systèmes de réservation et de billetterie.

Quels sont les 4 critères de sécurité de l'information selon la réglementation NIS2 ?

La réglementation NIS2 structure sa approche sécuritaire autour de quatre piliers fondamentaux :

  • La confidentialité, garantissant que seules les personnes autorisées accèdent aux informations sensibles.

  • L'intégrité, assurant que les données restent exactes et complètes tout au long de leur cycle de vie.

  • La disponibilité, veillant à ce que les systèmes et informations demeurent accessibles quand les employés en ont besoin.

  • La traçabilité, permettant de suivre et documenter toutes les actions effectuées sur les systèmes d'information.

Quels sont les délais pour se mettre en conformité ?

Une fois la loi française promulguée (attendue courant 2026), les entreprises disposeront de trois ans pour atteindre la conformité totale. Toutefois, certaines obligations comme la notification des incidents devront être respectées plus rapidement. L'ANSSI recommande de commencer les travaux sans attendre.

Quelles sont les bonnes pratiques en matière de cybersécurité ?

​La directive sur la sécurité des réseaux et des systèmes d’information impose un socle de mesures de gestion pour élever le niveau de cybersécurité :

  • Déployer une politique de sécurité informatique couvrant la gestion des risques et la protection des données

  • Mettre en place un plan de réponse aux incidents et une organisation de gestion de crise

  • Sécuriser les réseaux et systèmes (authentification forte, contrôle d’accès, supervision)

  • Assurer la continuité des activités en cas d’attaque

  • Former les équipes et impliquer les organes de direction dans la stratégie cyber

  • Etc.

Ces bonnes pratiques visent à structurer une cyber résilience durable au sein de chaque organisation.

Quelles sanctions en cas de non-conformité NIS2 ?

En cas de non-conformité, une entreprise s’expose à des amendes pouvant atteindre plusieurs millions d’euros ou un pourcentage du chiffre d’affaires annuel mondial. Le montant le plus élevé étant retenu. Au-delà de l’aspect financier, la responsabilité des dirigeants peut être engagée. Les autorités compétentes au niveau national disposent également de pouvoirs de contrôle renforcés.

Qui pilote la mise en œuvre de la réglementation NIS2 en France ?

En France, la mise en œuvre et le suivi de la cybersécurité au sein des organisations sont coordonnés par des autorités nationales comme l’ANSSI. Au niveau européen, la Commission européenne et le groupe de coopération entre États membres assurent l’harmonisation des pratiques. Cette gouvernance vise à garantir une application de la directive homogène et efficace dans toute l’Europe.

Pourquoi anticiper dès maintenant la directive NIS2 ?

Anticiper la NIS2, ce n’est pas seulement répondre à une obligation légale. C’est aussi renforcer la sécurité des systèmes d’information, protéger votre infrastructure numérique et instaurer une relation de confiance avec vos clients et partenaires. Dans un contexte de cybermenace croissante, chaque entreprise a intérêt à structurer dès aujourd’hui sa démarche de cybersécurité. Audit, évaluation des risques, choix d’outils adaptés, formation des équipes, mise en place d’un plan de réponse robuste... Une approche proactive permet de transformer la contrainte réglementaire en avantage stratégique.

Comment sécuriser les contrats fournisseurs dans le cadre de NIS2 ?

NIS2 exige d'intégrer des clauses de cybersécurité dans les contrats avec les fournisseurs critiques et de réaliser des audits réguliers. Notre plateforme Docusign IAM permet de centraliser ces accords, d'automatiser les workflows de validation et d'assurer la traçabilité complète requise par la directive.

Articles connexes

  • Insights pour les dirigeants

    AMLR : Ce qui va changer en 2027 ?

    forest, ocean, money

Docusign IAM est la plateforme contractuelle dont votre entreprise a besoin

Inscrivez-vous gratuitementDécouvrez Docusign IAM
Person smiling while presenting