Conformité
NIS2

La conformité NIS2 désigne l’ensemble des mesures qu’une entreprise doit mettre en place pour respecter la directive européenne Network and Information Security 2. Elle s’impose à environ 15 000 organisations en France dans 18 secteurs d’activité, avec des sanctions pouvant atteindre 10 millions d’euros. En 2026, la Loi Résilience est imminente et l’ANSSI attend l’inscription des entités concernées sur MonEspaceNIS2.

Si vous êtes dirigeant d’une PME ou ETI dans l’un des 18 secteurs concernés, la question n’est plus “si” vous devez agir, mais “comment” et “par où commencer”. Pour une vue d’ensemble de la directive, consultez notre guide complet sur la directive NIS2. Meldis vous accompagne avec une approche pragmatique, adaptée à vos moyens et à votre réalité opérationnelle.

Qu’est-ce que la conformité NIS2 ?

Se mettre en conformité NIS2 ne se résume pas à cocher des cases administratives. C’est démontrer à l’ANSSI une démarche structurée, documentée et continue pour protéger vos systèmes d’information contre les cyberattaques. Là où la première directive NIS ne concernait qu’environ 500 entités en France, NIS2 élargit considérablement le périmètre — environ 30 fois le nombre d’organisations de NIS1 — avec des obligations renforcées de sécurité pour toutes (Source : ANSSI, 2024).

Pour une PME, la conformité NIS2 implique de prioriser les actions en fonction de votre secteur, de votre taille et de votre exposition réelle aux risques. L’objectif n’est pas la perfection immédiate — c’est la progression mesurable et documentée.

La directive NIS2 en 3 points essentiels

• Périmètre élargi : de 500 à 15 000 entités en France, désormais classées en deux catégories — entités essentielles (EE) et entités importantes (EI) — avec des niveaux de contrôle différenciés
• 10 mesures de sécurité obligatoires définies à l’Article 21 de la directive, couvrant la gouvernance, la gestion des risques, la continuité d’activité, la formation et la sécurité de la chaîne d’approvisionnement
• Sanctions dissuasives : jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes (Article 34 de la directive)

Pourquoi la conformité NIS2 est urgente en 2026

En avril 2026, la transposition française (Loi Résilience) n’est pas encore promulguée mais le processus législatif est très avancé. L’ANSSI a ouvert la plateforme MonEspaceNIS2 et attend l’inscription des entités concernées dès maintenant. Les premiers contrôles cibleront les entités essentielles, mais les entités importantes sont également dans le périmètre d’audit de l’ANSSI.

Attendre la promulgation définitive pour commencer est une stratégie risquée : une mise en conformité NIS2 structurée prend entre 6 et 12 mois pour une PME. Commencer maintenant, c’est s’éviter un sprint sous pression dès la loi promulguée — et démontrer à l’ANSSI une démarche proactive qui compte dans l’évaluation.

Votre entreprise est-elle concernée par NIS2 ?

Deux critères cumulatifs déterminent si votre entreprise entre dans le périmètre NIS2 : votre secteur d’activité et votre taille. La directive distingue en outre deux niveaux d’obligation selon que vous êtes classé entité essentielle (EE) ou entité importante (EI), avec des sanctions et une intensité de contrôle différentes.

Les 18 secteurs visés par NIS2

La directive couvre deux groupes de secteurs avec des niveaux d’exigence différents :

Secteurs hautement critiques (11) — soumis aux obligations les plus strictes et aux contrôles proactifs de l’ANSSI :

• Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
• Transports (aérien, ferroviaire, fluvial, routier)
• Banque et infrastructures des marchés financiers
• Santé (hôpitaux, laboratoires, recherche médicale)
• Eau potable et eaux usées
• Infrastructures numériques (data centers, réseaux de communication, DNS, cloud)
• Gestion des services ICT interentreprises (MSP, MSSP)
• Espace
• Administration publique centrale et régionale

Secteurs critiques (7) — obligations importantes avec contrôles réactifs :

• Services postaux et d’expédition
• Gestion des déchets
• Fabrication, production et distribution de substances chimiques
• Production, transformation et distribution de denrées alimentaires
• Fabrication industrielle (dispositifs médicaux, électronique, machines, véhicules motorisés)
• Fournisseurs de services numériques (moteurs de recherche, places de marché, réseaux sociaux)
• Recherche

Même si votre entreprise n’entre pas dans ces secteurs, vous pouvez être indirectement impactée : les entités NIS2 doivent évaluer la sécurité de leur chaîne d’approvisionnement et peuvent contractuellement imposer des exigences à leurs fournisseurs. C’est le cas de nombreuses PME qui travaillent avec des hôpitaux, des collectivités, des industriels ou des opérateurs d’énergie. Notre guide NIS2 et sous-traitants : obligations en cascade détaille les exigences applicables aux fournisseurs.

Critères de taille — les seuils à connaître

Le franchissement des seuils de taille (effectif, chiffre d’affaires, bilan) détermine votre catégorie. Une PME de 60 salariés dans le secteur de la santé est une entité importante — elle est soumise à NIS2 même si elle n’a pas de DSI interne. Certaines entités entrent dans le périmètre indépendamment de leur taille : fournisseurs de services DNS, registres de noms de domaine, prestataires de cloud critiques.

Entité essentielle vs entité importante — quelles différences ?

La distinction EE / EI conditionne le niveau de pression réglementaire, pas les obligations de fond — qui restent identiques.

Pour un diagnostic précis de votre statut, consultez notre page dédiée : NIS2 : Qui est concerné ?

Les obligations NIS2 — ce que votre entreprise doit mettre en place

La directive NIS2 impose dix catégories de mesures à l’Article 21. Ces obligations s’appliquent à toutes les entités concernées, qu’elles soient essentielles ou importantes. Leur mise en place doit être documentée, proportionnée aux risques identifiés et régulièrement réévaluée dans une logique d’amélioration continue.

Les 10 mesures de sécurité de l’Article 21

La liste suivante est la référence réglementaire utilisée lors des contrôles ANSSI. Chaque mesure doit être couverte par des politiques et des preuves documentées :

1. Politique d’analyse des risques et de sécurité des systèmes d’information — formaliser et maintenir à jour une politique de gestion des risques adaptée à votre contexte
2. Gestion des incidents — détecter, analyser, répondre et notifier les incidents de sécurité significatifs dans les délais réglementaires
3. Continuité d’activité, gestion de crise et reprise après sinistre — mettre en place des PCA et PRA, avec tests de sauvegarde documentés
4. Sécurité de la chaîne d’approvisionnement — évaluer et gérer les risques liés à vos fournisseurs et prestataires, avec clauses contractuelles de sécurité
5. Sécurité dans l’acquisition, le développement et la maintenance des systèmes — intégrer la sécurité dans le cycle de vie de vos applications et infrastructures
6. Évaluation de l’efficacité des mesures de gestion des risques — mesurer, auditer et améliorer régulièrement vos contrôles de sécurité
7. Pratiques d’hygiène informatique de base et formation à la cybersécurité — sensibiliser l’ensemble des collaborateurs et des dirigeants
8. Cryptographie et chiffrement — protéger les données sensibles en transit et au repos avec des algorithmes à l’état de l’art
9. Sécurité des ressources humaines, contrôle d’accès et gestion des actifs — gérer les droits et habilitations tout au long du cycle de vie des employés
10. Authentification multifacteur (MFA) et communications sécurisées — protéger les accès critiques avec des mécanismes d’authentification renforcés

Ces 10 mesures sont déclinées par l’ANSSI en 20 objectifs opérationnels dans le référentiel ReCyf v2.5, publié le 17 mars 2026. Ce référentiel constitue la feuille de route officielle pour démontrer votre conformité lors d’un contrôle. Pour le détail de ces objectifs structurés en 4 domaines, consultez notre article : 20 objectifs ANSSI ReCyf — conformité NIS2.

• Gouvernance au plus haut niveau : Les dirigeants sont personnellement responsables de la cybersécurité. Ils doivent approuver les mesures de sécurité, superviser leur mise en œuvre et suivre une formation adaptée.

• Gestion des risques documentée : Analyse de risques formalisée, mesures techniques et organisationnelles proportionnées, politique de sécurité des systèmes d'information révisée annuellement.

• Notification d'incidents sous 24h : Alerte initiale à l'ANSSI sous 24h, notification intermédiaire sous 72h, rapport final sous 1 mois. Une procédure documentée et testée est indispensable.

• Sécurité supply chain : Évaluation des risques liés à vos fournisseurs et prestataires critiques, clauses contractuelles de sécurité, qualification des tiers.

• Continuité d'activité : Plans de continuité (PCA) et de reprise (PRA), gestion des sauvegardes testée régulièrement, exercices de crise documentés.

• MFA et accès sécurisés : Authentification multifacteur sur tous les accès critiques, gestion des identités et des privilèges, journalisation des accès.

Notification d’incidents — les délais NIS2

L’un des aspects les plus exigeants de NIS2 concerne les délais de notification imposés en cas d’incident significatif. Ces délais sont stricts et supposent une procédure documentée et testée avant tout incident :

• 24 heures après la détection : envoi d’une alerte initiale (early warning) à l’ANSSI via MonEspaceNIS2, indiquant la nature probable de l’incident et les premières mesures prises
• 72 heures après la détection : notification intermédiaire avec évaluation de la sévérité, de l’impact potentiel et des mesures de confinement engagées
• 1 mois après la détection : rapport final avec analyse complète de l’incident, identification des causes racines et mesures correctives mises en place

Concrètement, une PME sans procédure préétablie ne peut pas respecter le délai de 24 heures lors d’une crise. Notre service de réponse à incident inclut la conception de ces procédures et leur test régulier, pour que votre équipe sache exactement quoi faire en cas d’incident.

Responsabilité personnelle des dirigeants NIS2

NIS2 introduit une rupture majeure par rapport aux textes précédents : les dirigeants ne peuvent plus déléguer leur responsabilité sur la cybersécurité. L’Article 20 de la directive impose que les organes de direction — PDG, directeurs généraux, membres du conseil d’administration — :

• Approuvent formellement les mesures de gestion des risques cybersécurité de l’entité
• Suivent une formation adaptée à la gouvernance cybersécurité
• Supervisent activement la mise en œuvre des obligations NIS2

En cas de manquement grave répété, les dirigeants s’exposent à des sanctions personnelles, y compris l’interdiction temporaire d’exercer des fonctions de direction pour les entités essentielles. Pour comprendre l’étendue de cette responsabilité et ses implications pratiques, consultez nos articles : NIS2 et responsabilité des dirigeants et Sanctions NIS2 : amendes et conséquences.

Transposition NIS2 en France — la Loi Résilience

La directive NIS2, adoptée au niveau européen le 14 décembre 2022, devait être transposée dans les droits nationaux avant le 17 octobre 2024. La France, comme la majorité des États membres, n’a pas respecté ce délai. La transposition est portée par le projet de loi « Résilience », qui intègre NIS2, la directive REC (résilience des entités critiques) et des éléments de DORA pour le secteur financier.

Calendrier et échéances 2026

• Décembre 2022 : adoption de la directive NIS2 au niveau européen (entrée en vigueur janvier 2023)
• 17 octobre 2024 : délai de transposition manqué par la France et la plupart des États membres
• Mars 2025 : adoption du projet de loi Résilience par le Sénat français
• Septembre 2025 : examen par la commission spéciale de l’Assemblée nationale
• Avril 2026 : processus en voie de finalisation, promulgation imminente

La recommandation de l’ANSSI est sans ambiguïté : ne pas attendre la promulgation pour engager la mise en conformité. L’état détaillé du processus législatif est disponible dans notre article régulièrement mis à jour : NIS2 en France — Loi Résilience : point d’étape. Le détail de toutes les échéances est disponible dans notre calendrier NIS2 2026.

MonEspaceNIS2 — s’inscrire sur la plateforme ANSSI

MonEspaceNIS2 est la plateforme officielle de l’ANSSI pour la mise en œuvre de NIS2 en France. Elle permet aux entités concernées de :

• S’enregistrer en tant qu’entité essentielle ou importante, avant même la promulgation de la Loi Résilience
• Réaliser une auto-évaluation de leur niveau de conformité selon les critères ANSSI
• Notifier les incidents de sécurité significatifs dans les délais réglementaires (24h, 72h, 1 mois)
• Recevoir les communications officielles de l’ANSSI concernant les contrôles et les évolutions réglementaires

L’inscription sur MonEspaceNIS2 est déjà opérationnelle et attendue par l’ANSSI. Notre guide d’inscription MonEspaceNIS2 vous accompagne étape par étape dans la démarche d’enregistrement et d’auto-évaluation.

Les étapes de mise en conformité NIS2 — notre méthode

La mise en conformité NIS2 ne se résume pas à un audit ponctuel. C’est un programme structuré qui couvre l’éligibilité, l’analyse des écarts, la planification et l’implémentation des mesures, puis la validation de la conformité NIS2. Notre méthode en 5 étapes est conçue pour les PME et ETI qui doivent arbitrer entre contraintes budgétaires et exigences réglementaires.

Étape 1 — Diagnostic d’éligibilité (2 à 4 semaines)

La première question est : êtes-vous réellement concerné par NIS2, et si oui, en tant qu’entité essentielle ou entité importante ? Ce diagnostic clarifie votre statut réglementaire exact avant d’investir dans une mise en conformité potentiellement surdimensionnée.

Nous analysons votre secteur d’activité (18 secteurs couverts), vos critères de taille (effectifs, CA, bilan) et les cas particuliers — sous-traitant d’une entité NIS2, activité multi-secteurs, siège social hors France.

Livrable : rapport d’éligibilité avec statut certifié (EE, EI, hors scope ou concerné via supply chain) et liste des obligations spécifiques applicables à votre situation.

Étape 2 — Gap analysis — analyse d’écart (4 à 8 semaines)

La gap analysis compare votre niveau de sécurité actuel aux 10 mesures de l’Article 21 et aux 20 objectifs du référentiel ReCyf v2.5. C’est la cartographie complète de ce que vous avez déjà mis en place et de ce qui manque — avec un scoring par domaine.

Notre gap analysis couvre les six domaines clés : gouvernance et politique de sécurité, gestion des risques et inventaire des actifs, gestion des incidents et procédures de notification, mesures techniques (accès, MFA, chiffrement, EDR, SIEM), continuité d’activité (PCA/PRA) et sécurité de la chaîne d’approvisionnement.

Livrable : matrice de conformité avec scoring par domaine, identification des points critiques et estimation de l’effort de mise en conformité par catégorie.

Étape 3 — Plan d’action priorisé (2 à 3 semaines)

Sur la base de la gap analysis, nous construisons une roadmap de mise en conformité sur 6 à 12 mois. Les actions sont priorisées selon leur criticité réglementaire et leur rapport effort/bénéfice : les quick wins d’abord pour réduire rapidement le risque réglementaire, les projets lourds planifiés sur le moyen terme.

Chaque action du plan intègre une estimation budgétaire, un responsable désigné et des jalons mesurables pour démontrer la progression à l’ANSSI. Pour comprendre les ordres de grandeur financiers, notre article sur le coût de la mise en conformité NIS2 détaille les postes de dépense typiques pour une PME.

Livrable : roadmap de conformité avec jalons mesurables, responsables identifiés et estimation budgétaire par phase.

Étape 4 — Implémentation des mesures (3 à 9 mois)

L’implémentation transforme le plan d’action en réalité opérationnelle. Nos interventions couvrent les dimensions techniques et organisationnelles :

• Rédaction des politiques et procédures exigées par l’ANSSI : PSSI, plan de gestion des incidents, procédure de notification, politique de continuité d’activité
• Mise en place des mesures techniques : authentification multifacteur (MFA), EDR, SIEM, chiffrement des données, segmentation réseau, gestion des vulnérabilités
• Formation des équipes opérationnelles et des dirigeants à la gouvernance cybersécurité NIS2
• Déploiement ou renforcement de la surveillance continue via notre SOC externalisé, qui assure un monitoring 24/7 conforme aux exigences de détection NIS2

Étape 5 — Validation et préparation aux contrôles ANSSI

La conformité NIS2 doit être démontrable lors d’un contrôle. Cette dernière phase prépare votre organisation à répondre aux exigences d’un audit ANSSI :

• Audit de validation interne basé sur le référentiel ReCyf v2.5 — consultez notre guide Audit NIS2 : comment se préparer pour les détails méthodologiques — vérification que chacun des 20 objectifs est couvert et documenté
• Simulation de contrôle ANSSI avec les questions types et la documentation attendue par les auditeurs
• Mise à jour de la documentation et planification de la revue annuelle du niveau de conformité
• Préparation à l’audit de sécurité informatique formel si requis par votre secteur ou votre statut EE

Notre checklist conformité NIS2 en 15 points vous permet d’évaluer rapidement votre niveau avant de commencer et de mesurer votre progression au fil du programme.

NIS2 et les PME en Occitanie — notre accompagnement

Les PME et ETI d’Occitanie abordent la conformité NIS2 avec des contraintes spécifiques que les grands cabinets de conseil ne comprennent pas toujours. Ressources IT limitées, budget cybersécurité contraint, absence fréquente de RSSI interne : c’est exactement le profil des entreprises que nous accompagnons depuis Montpellier.

Pourquoi les PME ont des besoins spécifiques face à NIS2

Les défis des PME face à NIS2 sont très différents de ceux des grandes entreprises, et une méthode calibrée pour des ETI de 1 000 personnes ne convient pas à une entreprise de 80 salariés :

• Ressources internes limitées : 1 à 2 personnes IT, voire aucune équipe dédiée. La charge de mise en conformité repose souvent sur le dirigeant ou le directeur administratif, qui doivent être accompagnés sans jargon.
• Budget contraint : investir en cybersécurité doit être justifiable opérationnellement. Il faut identifier les quick wins à fort impact et planifier les investissements lourds sur le moyen terme.
• Exposition supply chain sous-estimée : de nombreuses PME fournissent des hôpitaux, des industriels ou des collectivités soumis à NIS2 et se retrouvent soumises à des exigences contractuelles sans l’avoir anticipé.
• NIS2 comme levier commercial : une PME conforme NIS2 peut le valoriser auprès de ses clients grands comptes — la conformité devient un argument différenciateur dans les appels d’offres.

43 % des PME françaises ont subi une cyberattaque en 2023 (ANSSI, Rapport 2024) et le coût moyen d’un incident pour une PME se situe entre 25 000 et 50 000 € (CPME / Hiscox 2024). La conformité NIS2 n’est pas seulement une obligation réglementaire — c’est une protection concrète contre ces risques opérationnels.

Notre approche pour les PME et ETI d’Occitanie

Meldis est basé à Montpellier et intervient sur site dans toute l’Occitanie — Nîmes, Millau, Perpignan, Toulouse et leurs bassins d’activité industrielle et de services. Notre modèle est celui d’un partenaire opérationnel, pas d’une grande ESN.

Concrètement :

• Diagnostic sur site pour les phases qui nécessitent un accès direct à vos systèmes : audit réseau, revue des accès, cartographie du SI, tests de sauvegarde
• Accompagnement sans jargon : nos livrables sont lisibles par un dirigeant, pas uniquement par un DSI ou un juriste spécialisé
• Équipe proportionnée : vous travaillez avec les mêmes consultants du début à la fin, sans rotation d’analystes juniors qui redécouvrent votre contexte à chaque réunion
• Tarification adaptée aux PME, avec des phases modulaires selon votre budget et votre priorité réglementaire

Contactez notre équipe pour un diagnostic NIS2 gratuit de 30 minutes et une estimation personnalisée de votre parcours de conformité NIS2.

NIS2 et les autres réglementations

La conformité NIS2 ne s’envisage pas en isolation réglementaire. Elle s’articule avec d’autres textes que votre entreprise connaît peut-être déjà — le RGPD en premier lieu, et potentiellement ISO 27001. Traiter ces sujets ensemble évite les doublons et optimise l’investissement.

NIS2 et RGPD — deux réglementations complémentaires

NIS2 et RGPD coexistent et se renforcent mutuellement sur un périmètre qui se recoupe largement. NIS2 cible la sécurité des systèmes d’information, le RGPD protège les données personnelles. Mais les mesures techniques qui répondent à l’un contribuent souvent à l’autre.

Un incident de sécurité — par exemple un ransomware chiffrant vos serveurs et exfiltrant des données clients — peut déclencher des obligations au titre des deux textes simultanément : notification à l’ANSSI sous 24 heures pour NIS2, notification à la CNIL sous 72 heures pour le RGPD. Les sanctions sont cumulables.

Si vous êtes déjà engagé dans une démarche RGPD, vous avez probablement réalisé une cartographie des données, mis en place des mesures techniques de base et désigné un DPO. Ces travaux réduisent mécaniquement la gap NIS2. Notre accompagnement conformité RGPD traite les deux réglementations de manière cohérente pour éviter les doublons et garantir une couverture complète.

NIS2 et ISO 27001 — présomption de conformité partielle

ISO 27001 est la norme internationale de management de la sécurité de l’information. Elle couvre environ 70 % des exigences NIS2. L’ANSSI reconnaît une présomption de conformité partielle pour les entités certifiées ISO 27001 — ce qui signifie concrètement une gap analysis significativement plus courte et une documentation déjà structurée.

L’investissement ISO 27001 sert ainsi deux objectifs réglementaires simultanément et constitue un signal fort de maturité auprès des clients et partenaires qui l’exigent dans leurs appels d’offres. Pour une comparaison détaillée des deux référentiels et une stratégie pour les combiner efficacement, consultez notre guide : NIS2 vs ISO 27001 — Différences et Stratégie.

Ressources officielles NIS2

Pour aller plus loin dans votre compréhension de la directive et suivre son actualité réglementaire :

• ANSSI — Directive NIS2 — la référence institutionnelle française, avec les guides pratiques et les FAQ officielles
• MonEspaceNIS2 — plateforme d’enregistrement et d’auto-évaluation officielle de l’ANSSI
• ReCyf v2.5 — référentiel ANSSI des 20 objectifs NIS2 (publié le 17 mars 2026), document de référence pour les contrôles
• EUR-Lex — Texte officiel de la directive — le texte juridique européen complet
• ENISA — Guidance NIS2 — recommandations de l’agence européenne de cybersécurité pour la mise en œuvre