Directive NIS2 : Guide Conformité 2026

La directive NIS2 devait être transposée en droit national avant le 17 octobre 2024 — une échéance que la France, comme la majorité des États membres, n’a pas respectée. Sa transposition via la Loi Résilience est en cours d’adoption parlementaire. Elle change néanmoins la donne pour des milliers d’entreprises françaises. Ce n’est pas une simple mise à jour administrative: c’est un élargissement considérable du périmètre des organisations concernées par des obligations de cybersécurité. Là où la précédente directive NIS1 touchait environ 500 entités en France, NIS2 en concerne désormais près de 15 000 (Source: ANSSI, 2024). Les amendes NIS2 peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial.

Nos accompagnements NIS2 révèlent que beaucoup de dirigeants découvrent tardivement qu’ils sont concernés. La directive s’applique désormais à des secteurs et des tailles d’entreprise qui n’étaient pas habitués à ce niveau d’exigence réglementaire. Ce guide vous donne les clés pour évaluer votre situation et comprendre concrètement ce qui est attendu de vous.

---

Pourquoi NIS2 Existe: Comprendre le Contexte

L’Évolution des Menaces Justifie une Réponse Plus Large

La première directive NIS, adoptée en 2016, avait posé les bases d’une régulation européenne de la cybersécurité. Elle ciblait un périmètre volontairement restreint: environ 500 entités en France, principalement des opérateurs d’importance vitale dans des secteurs comme l’énergie ou les transports. Chaque État membre désignait individuellement les entités concernées, ce qui créait des disparités importantes d’un pays à l’autre.

Huit ans plus tard, le paysage des menaces s’est radicalement transformé. Les attaques par ransomware ont explosé, touchant indifféremment les grandes entreprises et les PME. Les chaînes d’approvisionnement sont devenues des vecteurs d’attaque privilégiés, compromettre un prestataire permet d’atteindre ses clients sans avoir à forcer leurs défenses directement. La numérisation accélérée de l’économie a multiplié les surfaces d’attaque, exposant des secteurs qui se pensaient à l’abri.

Face à ce constat, l’Union Européenne a décidé de renforcer et d’élargir son cadre réglementaire. NIS2, publiée au Journal Officiel de l’UE le 27 décembre 2022 et dont la transposition en droit national était attendue au 17 octobre 2024, répond à quatre objectifs majeurs: élargir significativement le nombre d’entreprises concernées pour couvrir les maillons faibles de l’économie numérique, harmoniser les règles à l’échelle européenne, renforcer les obligations de sécurité avec des mesures plus précises et exigeantes, et améliorer la coopération entre les autorités nationales face à des menaces qui ignorent les frontières.

Ce Qui Change Concrètement avec NIS2

L’évolution la plus visible concerne le périmètre. Le critère de désignation a également fondamentalement changé: plutôt qu’une désignation au cas par cas par les autorités nationales, NIS2 définit des critères objectifs basés sur la taille de l’entreprise et son secteur d’activité. Si vous remplissez les critères, vous êtes concerné, point final.

Les sanctions NIS2 ont été harmonisées et renforcées à l’échelle européenne. La supply chain fait également son entrée dans le périmètre réglementaire: les entreprises concernées doivent désormais évaluer et gérer les risques liés à leurs fournisseurs et prestataires.

---

Qui Est Concerné par NIS2? Critères d’Éligibilité

La question qui revient le plus souvent dans nos échanges avec les dirigeants: “Mon entreprise est-elle concernée?” La réponse dépend de deux critères cumulatifs: la taille de votre entreprise et votre secteur d’activité. Pour une analyse détaillée, consultez notre page dédiée NIS2 : qui est concerné ?

Le Critère de Taille

NIS2 s’applique aux entreprises de taille moyenne et aux grandes entreprises. Concrètement, votre entreprise est concernée si elle emploie au moins 50 salariés ou que son chiffre d’affaires annuel ou son total de bilan dépasse 10 millions d’euros.

Les 18 Secteurs Concernés par NIS2

NIS2 distingue deux catégories de secteurs, correspondant à deux niveaux d’exigence: les entités essentielles et les entités importantes.

Secteurs hautement critiques (Annexe I), Entités essentielles:

Les secteurs hautement critiques regroupent les activités dont la perturbation aurait des conséquences systémiques sur l’économie ou la société. L’énergie en fait partie, qu’il s’agisse d’électricité, de gaz, de pétrole, d’hydrogène ou de chauffage urbain. Les transports sont concernés dans toutes leurs composantes, aérien, ferroviaire, maritime et routier. Le secteur bancaire et les infrastructures des marchés financiers entrent dans cette catégorie, tout comme la santé avec les hôpitaux, laboratoires, fabricants de dispositifs médicaux et l’industrie pharmaceutique. La gestion de l’eau potable et des eaux usées, l’infrastructure numérique (DNS, registraires de noms de domaine, data centers, fournisseurs cloud, réseaux de diffusion de contenu), les prestataires de services TIC en B2B, le secteur spatial et l’administration publique complètent ce premier ensemble.

Autres secteurs critiques (Annexe II), Entités importantes:

Les autres secteurs critiques concernent des activités importantes mais dont la perturbation aurait des conséquences plus localisées. On y trouve les services postaux et de courrier express, la gestion des déchets, l’industrie chimique, l’agroalimentaire sur l’ensemble de sa chaîne de production et de distribution, et la fabrication industrielle, notamment les dispositifs médicaux, l’électronique, les équipements de transport et les machines. Les services numériques comme les places de marché en ligne, les moteurs de recherche et les réseaux sociaux entrent également dans cette catégorie, ainsi que les organismes de recherche.

---

Les Obligations NIS2 en Détail

Une Gouvernance de la Cybersécurité au Plus Haut Niveau

NIS2 introduit une responsabilité explicite des dirigeants en matière de cybersécurité. Les organes de direction, conseil d’administration, comité exécutif, gérance, doivent approuver les mesures de gestion des risques et superviser leur mise en œuvre. Cette responsabilité n’est pas délégable: les dirigeants peuvent être personnellement tenus responsables en cas de manquements graves.

Les retours terrain confirment que cette disposition change la dynamique des projets cybersécurité. Quand la direction sait qu’elle peut être personnellement engagée, les budgets se débloquent plus facilement et les projets avancent plus vite.

Des Mesures de Gestion des Risques

NIS2 exige la mise en place de mesures “appropriées et proportionnées” pour gérer les risques pesant sur les réseaux et systèmes d’information.

• Analyse de risques et politique de sécurité : Identifier les actifs critiques, évaluer les menaces et vulnérabilités, définir les mesures de protection adaptées.

• Gestion des incidents : Organiser les procédures de détection, de réponse et de notification des incidents de sécurité.

• Continuité d'activité : Élaborer des plans de continuité (PCA) et de reprise d'activité (PRA), incluant la gestion des sauvegardes.

• Sécurité de la chaîne d'approvisionnement : Évaluer les risques liés aux fournisseurs et prestataires, intégrer des clauses de sécurité dans les contrats.

• Mesures techniques : Sécurisation des réseaux, chiffrement des données sensibles, gestion des accès et authentification multifacteur.

• Formation et sensibilisation : Former les collaborateurs aux bonnes pratiques d'hygiène informatique et maintenir leur vigilance.

Des Obligations de Notification Strictes

En cas d’incident significatif, les entités concernées doivent notifier l’ANSSI selon un calendrier précis.

---

Les Sanctions NIS2 Encourues

Des Amendes Administratives Harmonisées

Le régime de sanctions NIS2 a été conçu pour être véritablement dissuasif.

Ces montants représentent des maximums théoriques. Le montant effectif de la sanction dépendra de la gravité du manquement constaté, du caractère intentionnel ou négligent, des mesures prises pour atténuer les dommages et des antécédents de l’entité concernée.

Au-delà des Amendes Financières

Les sanctions financières ne sont pas les seules conséquences possibles. L’ANSSI peut prononcer des astreintes journalières, suspendre temporairement des certifications ou autorisations nécessaires à l’activité, ou dans les cas les plus graves, interdire à des dirigeants d’exercer des fonctions de direction.

La responsabilité personnelle des dirigeants face à NIS2 constitue une nouveauté majeure. En cas de manquements graves à leur obligation de supervision, les membres des organes de direction peuvent être personnellement tenus responsables des conséquences.

---

Pas sûr d’être concerné par NIS2 ? Nous vérifions votre éligibilité et identifions vos priorités de mise en conformité. Évaluez votre niveau actuel avec notre checklist conformité NIS2 en 15 points, ou contactez-nous pour un premier diagnostic gratuit et sans engagement.

---

Se Mettre en Conformité NIS2: La Démarche Pratique

---

FAQ: Les Questions les Plus Fréquentes sur NIS2

Ma PME de 30 salariés est-elle concernée par NIS2?

En principe non, puisque le seuil d'application est fixé à 50 salariés avec un chiffre d'affaires ou un bilan supérieur à 10 millions d'euros. Cependant, NIS2 peut vous impacter indirectement de manière significative. Si vos clients sont soumis à NIS2, ils doivent évaluer et gérer les risques liés à leurs fournisseurs. Ils peuvent donc vous demander des garanties de sécurité, exiger des certifications ou auditer vos pratiques. C'est un effet cascade que nous observons déjà chez certains de nos interlocuteurs.

Quel est le délai pour se mettre en conformité NIS2?

La directive NIS2 devait être transposée en droit national avant le 17 octobre 2024. La France n'a pas encore promulgué sa loi de transposition (Loi Résilience), toujours en cours d'adoption parlementaire. NIS2 n'est donc pas encore pleinement applicable en France. L'ANSSI prévoit une montée en puissance progressive de ses contrôles une fois la loi promulguée — mais anticiper la conformité dès maintenant reste fortement recommandé pour ne pas se retrouver dans l'urgence.

NIS2 remplace-t-il le RGPD?

Non, les deux textes sont complémentaires et coexistent. Le RGPD régit la protection des données personnelles. NIS2 concerne la sécurité des réseaux et systèmes d'information. Un même incident peut déclencher des obligations au titre des deux textes. Une attaque ransomware compromettant des données personnelles nécessitera une notification CNIL au titre du RGPD (72 heures) et une notification ANSSI au titre de NIS2 (24 heures pour l'alerte initiale).

Faut-il être certifié ISO 27001 pour être conforme NIS2?

NIS2 n'impose pas de certification spécifique. Vous pouvez démontrer votre conformité sans être certifié. Cependant, la certification ISO 27001 facilite considérablement la démarche car elle couvre une grande partie des exigences NIS2: analyse de risques, politique de sécurité, gestion des incidents, contrôle des accès, continuité d'activité. Consultez notre comparatif NIS2 vs ISO 27001 pour comprendre les synergies.

L'ANSSI va-t-elle vraiment contrôler?

Oui. L'ANSSI est désignée comme l'autorité compétente en France pour l'application de NIS2. Elle dispose de pouvoirs étendus: demander des informations aux entités, réaliser des audits de sécurité, prononcer des sanctions en cas de manquement. Les contrôles seront progressifs, en commençant probablement par les entités essentielles et les secteurs les plus critiques.

Au-delà des sanctions, quels sont les vrais risques?

Les sanctions financières ne représentent qu'une partie du risque. L'absence de mesures de sécurité appropriées expose avant tout à des cyberattaques dont le coût dépasse généralement largement celui de la conformité. Pour une PME, le coût moyen d'une cyberattaque se situe entre 25 000 et 50 000 euros selon le rapport Hiscox 2024. Investir dans la conformité NIS2, c'est investir dans la résilience de votre entreprise.

---

Besoin d’Accompagnement NIS2?

Meldis vous accompagne dans votre mise en conformité NIS2, de l’évaluation initiale à l’implémentation des mesures. Notre approche pragmatique vise à construire une sécurité adaptée à votre contexte et à votre budget, pas une conformité de façade. Pour estimer l’investissement nécessaire, consultez notre guide sur le coût de la mise en conformité NIS2.

Demander un diagnostic NIS2

---

Ressources Officielles NIS2

• ANSSI - Directive NIS2
• MonEspaceNIS2 - Outil d’auto-évaluation ANSSI
• EUR-Lex - Texte officiel de la directive
• ENISA - Guidance NIS2

---

Dernière mise à jour: Février 2026 Auteur: Meldis