Blog

Qui est concerné par NIS2 ? Votre guide pratique.

18 novembre 2025

La directive européenne NIS2 redéfinit les règles du jeu en matière de cybersécurité. Plus stricte, plus large et plus structurante, elle fixe de nouvelles exigences pour renforcer la protection des réseaux et des systèmes d’information. Qu’il s’agisse d’entreprises privées, d’administrations ou de prestataires, beaucoup sont désormais concernés. L’enjeu : transformer la cybersécurité en réflexe collectif, au cœur de la gouvernance. Mais alors, qui est concerné et comment s’y préparer ? Ce guide pratique fait le point sur les secteurs visés, les obligations à anticiper et les étapes clés pour aborder sereinement cette nouvelle réglementation. 

NIS2, rappel : qu’est-ce que c’est – comment ça marche ? 

Adoptée au niveau européen, la directive NIS2 (Network and Information Security 2) vise à renforcer la cybersécurité et la résilience des organisations publiques et privées. Elle succède à la première directive NIS en élargissant son périmètre, en renforçant les exigences et en introduisant des sanctions plus strictes. 

Ses principaux objectifs : 

  • Renforcer la préparation des États membres face aux cybermenaces grâce à la création d’équipes d’intervention en cas d’incident de sécurité informatique (Computer Security Incident Response Team ou CSIRT) et d’autorités nationales dédiées à la cybersécurité. 
  • Favoriser la coopération européenne via un groupe de coordination chargé de partager les informations et de soutenir les États membres en matière de cybersécurité. 
  • Développer une culture de la sécurité numérique dans les secteurs critiques dépendant des technologies de l’information et de la communication. 

La directive devait être transposée dans le droit national au plus tard le 18 octobre 2024. En France, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été adopté au Sénat le 12 mars 2025. Celle-ci assure la transposition de NIS2, de la directive REC et de la directive accompagnant DORA. 

La montée en charge de NIS2 s’étendra jusqu’en 2027, selon le plan établi par l’ANSSI. Les notifications d’incidents sont déjà obligatoires, tandis que les autres mesures feront l’objet d’une mise en conformité progressive, afin de laisser aux organisations le temps d’adapter leurs processus et leur gouvernance selon leurs complexités.

Qui est concernépar NIS2 ?

La directive s’applique à 18 secteurs d’activité, regroupés en deux grandes catégories : 

  • Les entités essentielles (EE) 
  • Les entités importantes (EI) 

Pour être concernée, une organisation doit : 

  • Employer 50 personnes ou plus, ou bien ; 
  • Réaliser un chiffre d’affaires annuel supérieur à 10 millions d’euros, sauf exceptions pour certains acteurs critiques comme les télécoms, les administrations ou les opérateurs DNS. 

Les entités essentielles (EE) : 

Ces entités fournissent des services indispensables à la société et à l’économie. Elles sont soumises à des exigences de sécurité et de supervision plus strictes, et figurent parmi les premières à devoir se mettre en conformité. 

Secteurs concernés : 

  •  Énergie : production, distribution, pétrole, gaz… 
  • Transports : aérien, ferroviaire, maritime, routier, transports publics. 
  • Banque et finance : banques, bourses, infrastructures de paiement. 
  • Santé : hôpitaux, cliniques, laboratoires, e-santé. 
  • Eau potable et assainissement : production et distribution. 
  • Infrastructures numériques : opérateurs télécom, data centers, cloud.
  • dministrations publiques : ministères, agences, services publics. 
  • Espace : satellites, lanceurs, centres de contrôle. 

Les entités importantes (EI) : 

Les entités importantes ne sont pas des organisations critiques au sens strict, mais leur activité reste essentielle au bon fonctionnement de l’économie. 

Secteurs concernés pas NIS2 : 

  • Services numériques : plateformes en ligne, e-commerce, hébergeurs, réseaux sociaux. 
  • Poste et messagerie : logistique, livraison de colis. 
  • Recherche et développement : notamment en cybersécurité et innovation technologique. 
  • Industries manufacturières critiques : agroalimentaire, chimie, pharmacie, etc. 
  • Gestion des déchets : collecte, traitement, élimination. 

Les cas particuliers 

Certaines organisations sont soumises à NIS2 quelle que soit leur taille, notamment : 

  • Les fournisseurs de réseaux ou de services de communications électroniques publics. 
  • Les prestataires de services de confiance. 
  • Les registres de noms de domaine et services DNS. 
  • Certaines administrations publiques stratégiques. 

De plus, la directive s’applique même aux entreprises situées non européennes si elles fournissent des services au sein de l’Union européenne. 

Les obligations principales de NIS2

Les entités concernées doivent : 

  • Mettre en place une politique de gestion des risques couvrant l’ensemble des systèmes et des réseaux d’information. 
  • Définir des procédures de détection, de signalement et de traitement des incidents de cybersécurité. 
  • Garantir la continuité d’activité et disposer d’un plan de gestion de crise régulièrement actualisé. 
  • Sécuriser la chaîne d’approvisionnement et les relations avec les prestataires critiques. 
  • Intégrer la cybersécurité dès la conception, le développement et la maintenance des systèmes informatiques. 
  • Mettre en œuvre un dispositif de traitement et de divulgation encadrée des vulnérabilités. 
  • Évaluer régulièrement l’efficacité des mesures de sécurité et des politiques de gestion des risques. 
  • Renforcer la formation et la sensibilisation cybersécurité de l’ensemble du personnel, y compris la direction. 
  • Encadrer l’usage de la cryptographie et du chiffrement pour protéger les données sensibles. 
  • Contrôler strictement les accès aux systèmes et gérer les actifs liés aux utilisateurs. 
  • Déployer des solutions d’authentification renforcée (multifacteurs ou continue). 
  • Respecter les obligations de notification d’incidents : alerte précoce sous 24 h et rapport complet sous 72 h.

Comment vous préparer ?

 Déterminer si votre organisation est concernée. 
Commencez par identifier si votre secteur et votre taille vous placent dans le champ d’application de la directive. Évaluez ensuite vos risques et votre niveau d’exposition pour construire un plan d’action adapté.

Réaliser un audit ou diagnostic de conformité NIS2. 
Cet audit permet d’évaluer votre niveau de maturité et de repérer les écarts entre vos pratiques actuelles et les exigences de NIS2. C’est la première étape pour définir une feuille de route de mise en conformité.

Renforcer la gouvernance cybersécurité et actualiser le plan de gestion de crise.
La conformité NIS 2 repose sur une gouvernance claire et solide. Ce que cela implique concrètement : 

  • Impliquer la direction générale : la cybersécurité n’est pas qu’une affaire technique et RSSI — elle doit devenir un véritable enjeu stratégique. Pour cela, la direction doit être un acteur actif des décisions, mais aussi du suivi des travaux menés.
  • Former l’ensemble des équipes : dirigeants, managers et collaborateurs… Tous les acteurs, doivent être sensibilisés aux menaces et aux bonnes pratiques afin d’adopter une posture proactive face aux risques.
  • Nommer un RSSI (Responsable de la Sécurité des Systèmes d’Information) : ce référent pilote la stratégie, coordonne les actions et veille à la conformité NIS2 (entre autres). 
  • Créer un comité de pilotage cybersécurité : réunissant les services IT, juridique, conformité, RH et communication. Ce comité assure un suivi régulier des indicateurs et veille à la cohérence globale de la stratégie.
  • Élaborer une PSSI (Politique de Sécurité des Systèmes d’Information) : ce document formalise les règles, les responsabilités et les bonnes pratiques de sécurité applicables à tous. Garantissant une approche homogène sur l’ensemble de l’organisation.
  • Mesurer les progrès avec des indicateurs concrets (KPI) : taux d’incidents détectés, délais de réaction, conformité des prestataires, etc. Ces données permettent une vision claire de la maturité cyber d’une organisation, d’ajuster la stratégie et de démontrer les résultats.

Sécuriser vos relations contractuelles avec les prestataires et partenaires critiques. 
La directive NIS2 étend les exigences de sécurité à toute la chaîne de valeur. Les fournisseurs, sous-traitants et partenaires critiques doivent, eux aussi, répondre à des critères de cybersécurité. Cela passe par la mise à jour des contrats, l’ajout de clauses spécifiques NIS2 et des évaluations régulières de la conformité des prestataires. Même une PME non directement visée par la directive peut être indirectement régulée si elle travaille avec une entité concernée. 

Anticiper les contrôles de l’ANSSI ou des autorités de régulation sectorielles. 
Les entités concernées pourront faire l’objet d’audits ou d’inspections par l’ANSSI ou par les régulateurs de votre secteur. Préparez-vous en centralisant la documentation, en structurant vos preuves de conformité et en vous assurant de la traçabilité de toutes vos actions. 

Former et sensibiliser vos équipes à la cybersécurité et aux nouvelles obligations. 
La sécurité repose sur la vigilance de chacun. Mettez en place des formations de adaptées à chaque profil (direction, IT, RH, métiers) et organisez des campagnes régulières de sensibilisation : ateliers pratiques, e-learning, simulations de phishing, etc. 

Sécuriser votre chaîne d’approvisionnement.
Intégrez les exigences de NIS2 à vos processus d’achat et de sous-traitance. La directive renforce la responsabilité vis-à-vis des fournisseurs stratégiques : sécuriser sa supply chain devient désormais indispensable. 

Mettre en place un suivi et des contrôles réguliers.
La conformité à NIS2 est un processus continu. Évaluez régulièrement vos dispositifs, mesurez les écarts et ajustez vos actions pour maintenir un niveau de sécurité conforme et durable. 

Structurer et maintenir la documentation technique.
Conservez une traçabilité complète de vos mesures techniques, de vos processus de sécurité et des incidents traités. Une documentation claire et actualisée pour faciliter les audits, prouve votre conformité et permet une réaction rapide en cas de crise ou de contrôle. 

Les sanctions en cas de non-conformité

Les amendes varient selon la catégorie de criticité du secteur : 

  • Jusqu’à 7 M€ ou 1,4 % du chiffre d’affaires mondial pour les entités importantes. 
  • Jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles. 

En cas de récidive, l’ANSSI peut aller jusqu’à suspendre temporairement les services concernés, retirer les dirigeants responsables ou rendre public les sanctions. 

NIS2 : une contrainte, mais surtout une opportunité

La directive NIS2 s’inscrit dans un cadre réglementaire européen plus large visant à renforcer la résilience et la cybersécurité des organisations. Elle est étroitement coordonnée avec les textes suivants : 

  • La directive sur la résilience des entités critiques (REC) : elle impose des obligations destinées à garantir la continuité et la sécurité des services essentiels face aux menaces physiques. 
  • Le règlement DORA (Digital Operational Resilience Act) : il fixe des exigences spécifiques en matière de cybersécurité pour les acteurs du secteur financier. Les entités concernées pourront notamment participer aux travaux du groupe de coopération NI Set échangé avec les CSIRT. 
  • Le règlement « Cyber-Résilience » : il s’appuie sur les définitions « d’incident » et de « vulnérabilité » issues de la directive NIS2, et identifie certains produits comme critiques selon leur usage par les entités essentielles. 

La directive NIS2 est plus qu’une obligation réglementaire : elle représente une opportunité d’élever la maturité cyber de votre organisation.  

Les entreprises proactives renforceront : 

  • Leur résilience face aux cybermenaces, 
  • Leur crédibilité auprès de leurs partenaires et clients, 
  • Leur avantage compétitif à long terme. 

En s’y préparant dès aujourd’hui, votre organisation se place en position de force pour les prochaines réglementations européennes (DORA, CER, Cyber Resilience Act). 

Sources :

Laure