🇪🇺 Qu'est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security 2) est une réglementation européenne adoptée en décembre 2022, qui élargit et renforce le cadre de sécurité des systèmes d'information établi par NIS1 en 2016. Elle devait être transposée dans le droit national des États membres avant octobre 2024.

Son objectif : élever le niveau de cybersécurité des organisations considérées comme critiques pour l'économie et la société européenne, et harmoniser les pratiques à l'échelle du continent.

⚠️ Important : En France, la transposition de NIS2 est en cours. La loi de transposition définira les modalités exactes d'application pour les entités françaises. L'ANSSI pilote ce processus et publie régulièrement des mises à jour sur cyber.gouv.fr. Les grandes lignes ci-dessous restent valides, mais vérifiez les textes officiels pour votre secteur.

🏭 Qui est concerné par NIS2 ?

NIS2 distingue deux catégories d'entités, selon leur taille et leur criticité :

🔴 Entités essentielles

Grandes organisations dans des secteurs hautement critiques. Supervision plus stricte, audits réguliers, sanctions plus élevées.

🟠 Entités importantes

Organisations de taille intermédiaire dans des secteurs critiques. Obligations similaires, mais supervision a posteriori.

Les 18 secteurs couverts par NIS2

Énergie

Électricité, pétrole, gaz, chaleur, hydrogène

🚆
Transports

Aérien, ferroviaire, maritime, routier

🏦
Secteur bancaire

Établissements de crédit

💊
Santé

Hôpitaux, laboratoires, R&D pharma

💧
Eau

Distribution eau potable, eaux usées

🖥️
Infras. numériques

Cloud, datacenters, DNS, CDN

🏛️
Administrations

État, collectivités, administrations centrales

🚀
Espace

Opérateurs d'infrastructure spatiale

📮
Poste & courrier

Services postaux et de messagerie

🗑️
Gestion des déchets

Collecte, traitement, recyclage

🏗️
Industries critiques

Chimie, agro-alimentaire, fabrication

🔬
Recherche

Organismes de recherche scientifique

🟠 Fond orange = secteurs hautement critiques (entités essentielles) · 🟢 Fond vert = secteurs importants

📋 Quelles sont les obligations imposées par NIS2 ?

  • 🔒
    Mesures de gestion des risques cyber Politique de sécurité formalisée, analyse de risques documentée, plan de continuité d'activité (PCA/PRA).
  • 🚨
    Notification des incidents significatifs Signalement à l'ANSSI dans les 24h (alerte initiale), 72h (rapport intermédiaire) et 1 mois (rapport final).
  • 🔗
    Sécurité de la chaîne d'approvisionnement Évaluation des risques liés à vos fournisseurs et prestataires IT. Clauses contractuelles de sécurité obligatoires.
  • 🔐
    Contrôle d'accès et authentification MFA obligatoire pour les accès sensibles, gestion des droits, traçabilité des accès aux systèmes critiques.
  • 🛡️
    Sécurité des actifs et chiffrement Inventaire des actifs IT, chiffrement des données sensibles en transit et au repos, gestion des vulnérabilités.
  • 🎓
    Formation et sensibilisation Programme de sensibilisation cyber pour tous les collaborateurs, formation spécifique pour les équipes IT.
  • 👔
    Responsabilité des dirigeants NIS2 engage explicitement la responsabilité des dirigeants : ils doivent approuver et superviser les mesures de sécurité.

⚖️ Quelles sanctions en cas de non-conformité ?

🔴 Entités essentielles
Amende maximale10 millions € ou 2% du CA mondial
Type de contrôleSupervision proactive (audits réguliers)
Responsabilité dirigeantsSuspension temporaire possible
🟠 Entités importantes
Amende maximale7 millions € ou 1,4% du CA mondial
Type de contrôleSupervision a posteriori (après incident)
Responsabilité dirigeantsResponsabilité personnelle engageable

🗓️ Calendrier de mise en conformité

2022
Adoption de la directive NIS2Décembre 2022 — Publication au Journal Officiel de l'UE.
Oct. 2024
Date limite de transposition théoriqueLes États membres devaient transposer NIS2 dans leur droit national. La France est encore en cours de transposition.
2025–2026
Transposition française en coursLa loi de transposition française est attendue. Les obligations seront progressivement applicables aux entités identifiées.
Maintenant
Préparez-vous dès aujourd'huiNe pas attendre la loi française pour agir : les mesures NIS2 sont de bonnes pratiques qui améliorent votre sécurité quelle que soit la réglementation finale.

✅ Plan d'action concret pour votre entreprise

Que vous soyez directement concerné par NIS2 ou non, voici les étapes pour avancer méthodiquement :

Étape 1 — Vérifiez si vous êtes dans le périmètre NIS2

Consultez la liste des secteurs couverts et la taille de votre organisation. En cas de doute, contactez votre fédération professionnelle ou l'ANSSI directement via cyber.gouv.fr.

Étape 2 — Réalisez un audit de sécurité de vos SI

Cartographiez vos systèmes, identifiez les données sensibles et évaluez votre niveau de protection actuel par rapport aux exigences NIS2.

Étape 3 — Formalisez votre politique de sécurité

Rédigez ou mettez à jour votre PSSI (Politique de Sécurité des Systèmes d'Information). Documentez les rôles, responsabilités et procédures.

Étape 4 — Renforcez vos contrôles techniques prioritaires

MFA sur tous les accès sensibles, mise à jour des systèmes, sauvegarde 3-2-1, EDR sur les postes, segmentation réseau.

Étape 5 — Sécurisez votre chaîne d'approvisionnement

Évaluez la posture de sécurité de vos prestataires IT. Intégrez des clauses de sécurité dans vos contrats.

Étape 6 — Préparez votre procédure de notification d'incident

Définissez en amont qui notifie, quand, et comment. Préparez les templates de déclaration à l'ANSSI.

🤝 Comment HEConcept peut vous accompagner

Conformité NIS2 clé en main

Nos experts cybersécurité accompagnent les PME et ETI dans leur démarche NIS2 : audit initial, plan de remédiation, déploiement des solutions techniques et accompagnement dans la durée.

✅ Audit de conformité NIS2

✅ Déploiement MFA & EDR

✅ Firewall UTM & supervision

✅ Plan de continuité d'activité

Demander un audit NIS2 →

❓ Questions fréquentes sur NIS2

Qui est concerné par la directive NIS2 ?

La directive NIS2 s'applique aux entités opérant dans 18 secteurs d'activité définis (énergie, transports, santé, eau, infrastructures numériques, administrations, etc.). Elle distingue les "entités essentielles" (grandes organisations) et les "entités importantes" (PME de taille intermédiaire). En France, on estime que plus de 15 000 entités sont concernées, contre seulement quelques centaines sous NIS1.

Quelles sont les sanctions prévues par NIS2 en cas de non-conformité ?

Les sanctions varient selon le type d'entité. Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé). Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA mondial. La responsabilité personnelle des dirigeants peut également être engagée en cas de manquement grave.

Par où commencer pour se mettre en conformité avec NIS2 ?

La première étape est de déterminer si vous êtes concerné par NIS2 et dans quelle catégorie. Ensuite, réalisez un audit de votre niveau de sécurité actuel, identifiez les écarts par rapport aux exigences NIS2, et établissez un plan de remédiation priorisé. L'ANSSI publie des guides pratiques sur cyber.gouv.fr. Un prestataire certifié peut également vous accompagner.

Votre entreprise est-elle prête pour NIS2 ?

Nos experts analysent gratuitement votre niveau de conformité NIS2 et vous proposent un plan d'action concret adapté à votre secteur.