La directive NIS2 transforme radicalement le paysage réglementaire de la cybersécurité en France. Avec un périmètre élargi de 500 à plus de 15 000 entités, cette réglementation européenne impacte désormais 18 secteurs d'activité et près de 600 types d'organisations. Malgré le retard de transposition française, les entreprises doivent anticiper dès maintenant leur mise en conformité. Ce guide complet vous aide à déterminer si votre organisation est concernée par NIS2, à comprendre vos obligations et à préparer votre feuille de route vers la conformité. Les sanctions peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles.
14 min de lecture
15 000
Entités françaises concernées par NIS2
10M€
Sanction maximale pour les entités essentielles
18
Secteurs d'activité couverts par la directive
24h
Délai de notification d'incident significatif
1. Qui est concerné par NIS2 ? Les critères d'éligibilité
La directive NIS2 représente un changement d'échelle majeur pour la cybersécurité européenne et française. Là où la première directive NIS ne concernait qu'environ 500 Opérateurs de Services Essentiels (OSE) en France, NIS2 élargit considérablement son périmètre pour toucher plus de 15 000 entités. Cette multiplication par 30 du nombre d'organisations régulées traduit la volonté européenne de renforcer la résilience cyber à l'échelle du continent.
1.1 Les critères de taille déterminants
L'éligibilité à NIS2 repose principalement sur deux facteurs : le secteur d'activité et la taille de l'organisation. Les seuils dimensionnels sont clairement définis par la directive et constituent le premier filtre d'identification des entités concernées.
Pour être qualifiée d'entité essentielle, une organisation doit opérer dans un secteur hautement critique (Annexe I de la directive) ET répondre à au moins un des critères suivants : employer 250 salariés ou plus, réaliser un chiffre d'affaires annuel supérieur à 50 millions d'euros, ou présenter un bilan annuel dépassant 43 millions d'euros.
Les entités importantes regroupent les organisations de taille intermédiaire : entre 50 et 249 employés, un chiffre d'affaires compris entre 10 et 50 millions d'euros, ou un bilan annuel situé entre 10 et 43 millions d'euros. Ces entités peuvent relever soit des secteurs hautement critiques (Annexe I) soit des secteurs critiques (Annexe II).
Cas particulier des collectivités territoriales
La France a fait le choix d'intégrer environ 1 500 collectivités territoriales dans le périmètre NIS2. Les régions, départements, métropoles et communes de plus de 30 000 habitants sont classées comme entités essentielles. Les communautés de communes relèvent quant à elles de la catégorie des entités importantes.
1.2 L'auto-évaluation obligatoire
Contrairement à NIS1 où l'ANSSI désignait directement les OSE, NIS2 impose aux organisations de s'auto-évaluer pour déterminer leur éligibilité. Cette responsabilité incombe à chaque entité, qui doit analyser ses activités au regard des critères sectoriels et dimensionnels de la directive.
L'ANSSI a déployé le portail MonEspaceNIS2 pour faciliter cette démarche. En quelques minutes, le simulateur d'éligibilité permet d'obtenir une première indication sur votre statut potentiel. Le pré-enregistrement volontaire est d'ores et déjà possible, permettant aux organisations d'anticiper leurs obligations futures.
2. Les 18 secteurs couverts par la directive
NIS2 structure les secteurs concernés en deux annexes distinctes, reflétant leur niveau de criticité pour le fonctionnement de la société et de l'économie européennes. Cette classification détermine directement le statut des entités (essentielle ou importante) et donc le niveau d'exigences applicables.
2.1 Les secteurs hautement critiques (Annexe I)
Les 11 secteurs hautement critiques de l'Annexe I peuvent abriter des entités essentielles. Leur compromission aurait des conséquences systémiques sur le fonctionnement national ou européen.
01
Énergie
Électricité, gaz, pétrole, hydrogène, chauffage et refroidissement urbains. Producteurs, distributeurs, gestionnaires de réseaux.
02
Transports
Aérien, ferroviaire, maritime et routier. Compagnies, gestionnaires d'infrastructures, autorités portuaires et aéroportuaires.
03
Secteur bancaire
Établissements de crédit au sens du règlement CRR. Application conjointe avec DORA pour le secteur financier.
04
Infrastructures financières
Opérateurs de plateformes de négociation, contreparties centrales, dépositaires centraux de titres.
05
Santé
Hôpitaux, laboratoires, fabricants de dispositifs médicaux, pharmacies de référence, prestataires de soins.
06
Eau potable et eaux usées
Fournisseurs et distributeurs d'eau destinée à la consommation humaine, collecteurs et traiteurs d'eaux usées.
07
Infrastructures numériques
Fournisseurs DNS, registres TLD, data centers, services cloud, CDN, fournisseurs de services de confiance.
08
Services TIC B2B
Fournisseurs de services managés (MSP), fournisseurs de services de sécurité managés (MSSP).
09
Administration publique
Entités de l'administration publique centrale, collectivités territoriales selon les seuils nationaux.
Complètent cette liste l'espace (opérateurs d'infrastructures terrestres de soutien aux services spatiaux) et les services postaux et d'expédition pour certaines catégories.
2.2 Les autres secteurs critiques (Annexe II)
Les 7 secteurs de l'Annexe II ne peuvent abriter que des entités importantes, jamais des entités essentielles (sauf cas particuliers de désignation nationale). Ces secteurs présentent une criticité moindre mais restent stratégiques.
Services postaux et d'expédition : prestataires de services postaux et de courrier express
Gestion des déchets : collecte, traitement, recyclage des déchets
Produits chimiques : fabrication, production et distribution de substances chimiques
Denrées alimentaires : production, transformation et distribution alimentaire à grande échelle
Fournisseurs numériques : places de marché en ligne, moteurs de recherche, réseaux sociaux
Recherche : organismes de recherche (selon définition nationale)
Effet de ricochet sur la chaîne d'approvisionnement
Même si votre entreprise n'atteint pas les seuils NIS2, vous pouvez être impacté indirectement. Les entités régulées doivent sécuriser leur chaîne d'approvisionnement et imposeront des exigences contractuelles à leurs fournisseurs et sous-traitants. Cette pression "par ricochet" touche déjà de nombreuses PME.
3. Entités essentielles vs entités importantes : les différences clés
La distinction entre entités essentielles (EE) et entités importantes (EI) ne se limite pas à une simple classification administrative. Elle détermine le niveau de supervision, l'intensité des contrôles et le montant des sanctions applicables. Comprendre cette différence est crucial pour calibrer correctement votre programme de conformité.
3.1 Tableau comparatif des deux catégories
Critère
Entité Essentielle (EE)
Entité Importante (EI)
Secteurs éligibles
Annexe I uniquement (11 secteurs hautement critiques)
Annexe I (si taille moyenne) ou Annexe II
Effectifs
≥ 250 employés
50-249 employés
Chiffre d'affaires
> 50 millions €
10-50 millions €
Bilan annuel
> 43 millions €
10-43 millions €
Mode de supervision
✓ Proactive et continue
◐ A posteriori (après incident)
Objectifs de sécurité ANSSI
20 objectifs
15 objectifs
Sanctions maximales
✗ 10 M€ ou 2% CA mondial
✗ 7 M€ ou 1,4% CA mondial
Contrôles
Audits réguliers et inspections
Contrôles sur signalement ou incident
3.2 La supervision différenciée
La principale différence opérationnelle réside dans le mode de supervision. Les entités essentielles font l'objet d'une surveillance proactive par l'ANSSI : audits de conformité planifiés, inspections sur site, demandes d'information régulières. Cette supervision continue vise à garantir un niveau de sécurité constant.
Les entités importantes bénéficient d'une approche plus légère, dite a posteriori. L'ANSSI n'intervient qu'en cas d'incident significatif, de signalement tiers ou d'indice de non-conformité. Cette différence de traitement ne doit cependant pas être interprétée comme une moindre exigence : les obligations de fond restent substantielles.
3.3 Les sanctions graduées
Le régime de sanctions reflète la criticité différenciée des deux catégories. Pour les entités essentielles, les amendes administratives peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ce niveau de sanction s'aligne sur le RGPD et témoigne de la volonté du législateur européen d'imposer une pression dissuasive forte.
Les entités importantes s'exposent à des sanctions maximales de 7 millions d'euros ou 1,4% du chiffre d'affaires mondial. Si ces montants restent conséquents, l'écart avec les EE traduit une graduation proportionnelle à l'impact potentiel d'une défaillance.
Responsabilité personnelle des dirigeants
Innovation majeure de NIS2 : les organes de direction peuvent être tenus personnellement responsables des manquements graves. Les dirigeants doivent approuver les mesures de cybersécurité, suivre des formations obligatoires et peuvent faire l'objet d'une interdiction temporaire d'exercer leurs fonctions.
4. Les obligations de conformité NIS2
L'ANSSI élabore un référentiel national traduisant les articles 20 et 21 de la directive en objectifs de sécurité concrets. Ce référentiel prévoit 20 objectifs pour les entités essentielles et 15 pour les entités importantes, organisés autour de mesures proportionnées aux risques identifiés.
4.1 Les mesures de gouvernance
La directive place la gouvernance cyber au niveau stratégique de l'organisation. Les organes de direction doivent approuver et superviser activement les mesures de gestion des risques cyber. Cette responsabilisation des dirigeants constitue un changement culturel majeur pour de nombreuses organisations.
Les exigences de gouvernance comprennent la désignation d'un responsable de la sécurité des systèmes d'information, la définition d'une politique de sécurité formalisée, l'allocation de ressources dédiées à la cybersécurité, et la mise en place d'indicateurs de pilotage remontés au comité de direction.
4.2 Les mesures techniques et organisationnelles
Le référentiel ANSSI couvre l'ensemble du spectre de la sécurité des systèmes d'information. Les principales familles de mesures incluent l'analyse des risques documentée et régulièrement mise à jour, la gestion des incidents avec capacités de détection, réponse et journalisation, la continuité d'activité via PCA/PRA et sauvegardes immuables.
S'ajoutent la sécurité de la chaîne d'approvisionnement avec évaluation des fournisseurs critiques, le contrôle d'accès basé sur les rôles (RBAC), l'authentification multifacteurs obligatoire pour les accès sensibles, le chiffrement des données sensibles au repos et en transit, et la formation continue du personnel aux bonnes pratiques cyber.
Sécurité réseau
Segmentation réseau, pare-feux, détection d'intrusion, surveillance du trafic, protection des flux critiques.
Gestion des identités
IAM centralisé, MFA obligatoire, gestion des comptes à privilèges, revue des droits d'accès.
4.3 La notification d'incidents : des délais stricts
Le régime de notification constitue l'une des obligations les plus contraignantes de NIS2. Les délais sont impératifs et s'appliquent dès la détection d'un incident significatif.
L'alerte précoce sous 24 heures doit être transmise à l'ANSSI après détection. Elle précise la nature de l'incident, les impacts perçus et toute suspicion d'acte malveillant. La notification détaillée sous 72 heures met à jour les informations initiales, évalue la gravité et fournit les indicateurs de compromission identifiés. Le rapport final sous 1 mois documente la cause probable, les mesures d'atténuation déployées et l'éventuel impact transfrontalier.
Définition d'un incident significatif
Un incident est qualifié de significatif s'il cause une perturbation opérationnelle grave, des pertes financières supérieures à 500 000 € ou 5% du CA annuel, une fuite de données relevant du secret des affaires, ou des dommages potentiels à la santé humaine.
5. Calendrier et étapes de mise en conformité
La transposition française de NIS2 a pris du retard. La loi Résilience (PRMD2412608L), qui transpose conjointement NIS2, la directive REC et le volet DORA, a été adoptée par le Sénat en mars 2025 et validée en commission à l'Assemblée en septembre 2025, mais reste bloquée en attente d'inscription à l'ordre du jour. Ce retard a valu à la France un avis motivé de la Commission européenne en mai 2025.
5.1 Le calendrier prévisionnel français
Période
Étape clé
Impact pour les entreprises
T1 2026
Promulgation attendue de la Loi Résilience
Entrée en vigueur des obligations de base
T2 2026
Publication des décrets et arrêtés techniques
Référentiel ANSSI définitif disponible
T4 2026
Application stricte des notifications 24h
Obligation immédiate de signalement
2027
Premiers contrôles structurés par l'ANSSI
Inspections des entités essentielles
2029
Fin de la période de transition de 3 ans
Conformité totale exigée, audits généralisés
5.2 Les 5 étapes de votre feuille de route
01
Évaluation
Utilisez MonEspaceNIS2 pour déterminer votre éligibilité et votre catégorie (EE ou EI).
02
Diagnostic
Réalisez un audit de maturité cyber pour identifier les écarts avec le référentiel ANSSI.
03
Planification
Définissez votre plan de remédiation priorisé sur 3 ans avec budget associé.
04
Implémentation
Déployez les mesures techniques et organisationnelles par ordre de priorité.
05
Maintien
Instaurez une gouvernance continue : revues, tests, formations, amélioration.
5.3 Les coûts de mise en conformité
L'ANSSI estime les coûts de mise en conformité initiale entre 100 000 et 200 000 euros pour les entités importantes, et entre 450 000 et 880 000 euros pour les entités essentielles. Ces montants varient selon la maturité cyber existante, la complexité du SI et le secteur d'activité.
Au-delà de l'investissement initial, prévoyez environ 10% de ces montants en coûts annuels de maintien : mises à jour des outils, formations, audits périodiques, veille réglementaire. L'investissement anticipé reste néanmoins la stratégie la plus rationnelle face à des sanctions pouvant atteindre 2% du chiffre d'affaires mondial.
6. Outils et ressources pour se préparer
Malgré le retard de transposition, l'ANSSI a déployé un écosystème complet d'outils pour accompagner les entités dans leur préparation. Ces ressources sont accessibles gratuitement et permettent d'anticiper efficacement la conformité.
6.1 MonEspaceNIS2 : le portail de référence
Accessible depuis le 24 novembre 2025 à l'adresse monespacenis2.cyber.gouv.fr, ce portail constitue le point d'entrée officiel pour toutes les entités concernées par NIS2. Il propose un simulateur d'éligibilité permettant en 5-10 minutes d'obtenir une première indication sur votre statut, un formulaire de pré-enregistrement volontaire pour anticiper l'enregistrement obligatoire, et une FAQ détaillée répondant aux questions les plus fréquentes.
6.2 MesServicesCyber : la plateforme unifiée
Lancée en avril 2025, la plateforme MesServicesCyber (messervices.cyber.gouv.fr) centralise l'ensemble des services de l'ANSSI destinés aux organisations.
MonAideCyber : diagnostic cyber gratuit de 2 heures avec un prestataire référencé
SILENE : cartographie d'exposition externe de votre surface d'attaque
ADS : audit automatisé de la sécurité Active Directory
CERT-FR : déclaration d'incidents et alertes de sécurité
6.3 Le dispositif 17CYBER
Lancé le 17 décembre 2024 en partenariat avec la Police et la Gendarmerie, le guichet 17CYBER oriente les victimes de cyberattaques vers l'assistance technique et judiciaire appropriée. Ce service est particulièrement utile pour les ETI et PME ne disposant pas de RSSI dédié.
6.4 Formations et certifications
Le Campus Cyber à La Défense propose plusieurs programmes certifiants : NIS2 Lead Implementer HS2 (5 jours), formations De Vinci Executive Education (2 jours), parcours CNPP, Clusif et IFACI. Le CESIN rapporte dans son 11e baromètre de janvier 2026 que 59% des entreprises citent NIS2 comme réglementation structurante.
NIS2 s'inscrit dans un cadre réglementaire européen plus large qu'il convient de maîtriser. Pour le secteur financier, DORA constitue une lex specialis : les 21 types d'entités financières appliquent ce règlement (en vigueur depuis le 17 janvier 2025) plutôt que NIS2. DORA impose d'ailleurs des délais plus stricts avec une alerte initiale sous 4 heures.
Un incident impliquant des données personnelles nécessite une double notification : à l'ANSSI sous 24h/72h au titre de NIS2, et à la CNIL sous 72h au titre du RGPD. Le Cyber Resilience Act (CRA), applicable le 11 décembre 2027, complète NIS2 en ciblant la sécurité des produits connectés.
Benchmark européen
Seuls 4 pays ont transposé NIS2 dans les délais : Belgique, Croatie, Italie et Lituanie. La Belgique fait figure de modèle avec une loi adoptée dès avril 2024 et des décrets d'application publiés en juin. Les entreprises françaises opérant en Belgique doivent déjà se conformer au cadre belge.
Points clés à retenir
15 000 entités françaises sont concernées par NIS2, contre 500 sous NIS1
Deux catégories existent : entités essentielles (>250 employés, >50M€ CA) et entités importantes (50-249 employés, 10-50M€ CA)
La notification d'incidents sous 24h s'appliquera immédiatement après promulgation
Une période de transition de 3 ans est prévue pour atteindre la conformité totale
Coûts estimés : 100-200k€ pour les EI, 450-880k€ pour les EE
Utilisez MonEspaceNIS2 dès maintenant pour évaluer votre éligibilité
FAQ
Questions fréquentes sur NIS2
Votre entreprise est concernée par NIS2 si elle opère dans l'un des 18 secteurs couverts par la directive ET atteint les seuils de taille requis. Pour les entités essentielles : 250 employés ou plus, ou CA supérieur à 50M€. Pour les entités importantes : 50 à 249 employés, ou CA entre 10 et 50M€. Utilisez le simulateur d'éligibilité sur MonEspaceNIS2 (monespacenis2.cyber.gouv.fr) pour obtenir une réponse en quelques minutes.
Les entités essentielles (EE) sont les grandes organisations des secteurs hautement critiques, c'est-à-dire celles comptant au moins 250 salariés ou réalisant un CA supérieur à 50 M€ avec un bilan supérieur à 43 M€. Elles font l'objet d'une supervision proactive et continue, doivent respecter 20 objectifs de sécurité ANSSI, et s'exposent à des sanctions jusqu'à 10 M€ ou 2% du CA mondial. Les entités importantes (EI) sont les organisations de taille intermédiaire : au moins 50 salariés ou un CA et un bilan supérieurs à 10 M€. Elles bénéficient d'une supervision a posteriori, doivent respecter 15 objectifs, avec des sanctions plafonnées à 7 M€ ou 1,4% du CA mondial.
La transposition française accuse un retard. La loi Résilience est attendue au T1 2026, suivie des décrets d'application au T2 2026. L'obligation de notification d'incidents sous 24h s'appliquera immédiatement après promulgation. Les premiers contrôles structurés débuteront en 2027. Une période de transition de 3 ans est prévue, avec une conformité totale exigée en 2029.
L'ANSSI estime les coûts de mise en conformité initiale entre 100 000 et 200 000 euros pour les entités importantes, et entre 450 000 et 880 000 euros pour les entités essentielles. Ces montants varient selon la maturité cyber existante, la complexité du système d'information et le secteur d'activité. Prévoyez environ 10% de ces montants en coûts annuels de maintien.
Les sanctions administratives peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial pour les entités essentielles, et 7 millions d'euros ou 1,4% du CA mondial pour les entités importantes. Innovation majeure : les dirigeants peuvent être tenus personnellement responsables des manquements graves, avec une possible interdiction temporaire d'exercer des fonctions de direction.
Même si votre PME n'atteint pas les seuils NIS2, vous pouvez être impactée indirectement par l'effet de ricochet sur la chaîne d'approvisionnement. Les entités régulées doivent sécuriser leur supply chain et imposeront des exigences contractuelles à leurs fournisseurs et sous-traitants. Vous devrez démontrer un niveau de sécurité adapté pour maintenir vos relations commerciales avec les donneurs d'ordres soumis à NIS2.
Passez à l'action
Préparez votre conformité NIS2 avec BEAROPS
Découvrez comment Beareye vous accompagne dans votre mise en conformité NIS2 : cartographie de votre surface d'attaque externe, surveillance continue de vos expositions, gestion des vulnérabilités et reporting réglementaire automatisé. Notre plateforme souveraine répond aux exigences ANSSI et vous prépare aux audits.
