La plus grande révolution réglementaire en cybersécurité depuis le RGPD arrive en France en 2026. La directive européenne NIS2, transposée par la Loi Résilience, multiplie par 30 le nombre d’entreprises soumises à des obligations de cybersécurité. Voici ce qu’il faut savoir.
NIS2 : de quoi parle-t-on ?
Un peu d’histoire
La première directive NIS (Network and Information Security) date de 2016. Elle ciblait principalement les grandes entreprises et les opérateurs d’importance vitale. Problème : elle ne couvrait qu’une fraction du tissu économique, alors que les cyberattaques visent de plus en plus les structures de taille intermédiaire.
NIS2 (directive UE 2022/2555), adoptée en décembre 2022, corrige le tir. Son objectif : relever le niveau de cybersécurité de l’ensemble de l’économie européenne.
La Loi Résilience : la transposition française
En France, NIS2 est transposée par la Loi Résilience, dont l’adoption définitive est prévue au premier semestre 2026. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pilote sa mise en œuvre avec 20 objectifs stratégiques.
Les obligations d’enregistrement, de notification d’incidents et de gouvernance seront applicables dès l’entrée en vigueur. Un délai d’adaptation de 3 ans est évoqué pour les contrôles stricts, mais cela ne signifie pas que les entreprises concernées ont 3 ans pour commencer.
Qui est concerné ?
NIS2 élargit le périmètre à 18 secteurs d’activité et concerne entre 10 000 et 15 000 entités en France. Deux catégories :
Entités essentielles
Grandes entreprises dans les secteurs critiques : énergie, transport, santé, eau, infrastructures numériques, administration publique.
Entités importantes
Entreprises de plus de 50 salariés ou plus de 10 M€ de chiffre d’affaires dans les secteurs suivants :
- Services numériques : hébergement, cloud, MSP (prestataires de services managés)
- Fabrication : électronique, machines, véhicules
- Agroalimentaire : production, transformation, distribution
- Gestion des déchets
- Services postaux et de courrier
- Recherche
💡 Point important : même les entreprises non directement assujetties peuvent être impactées. Les donneurs d’ordre soumis à NIS2 exigeront de leurs sous-traitants un niveau de sécurité conforme. L’effet cascade touchera de nombreuses PME et TPE.
Quelles obligations concrètes ?
1. Gouvernance de la cybersécurité
- La direction est responsable de la cybersécurité
- Un référent cybersécurité doit être désigné
- Les dirigeants doivent suivre une formation en cybersécurité
2. Gestion des risques
- Analyse de risques documentée et mise à jour régulièrement
- Politiques de sécurité des systèmes d’information (PSSI) formalisées
- Sécurité de la chaîne d’approvisionnement : évaluer la sécurité de ses fournisseurs et prestataires
3. Protection technique
- Authentification forte (MFA) sur tous les accès critiques
- Chiffrement des données sensibles en transit et au repos
- Segmentation réseau
- Mises à jour et gestion des vulnérabilités
- Sauvegardes testées régulièrement
4. Détection et réponse aux incidents
- Capacité de détection des incidents de sécurité
- Notification à l’ANSSI dans les 24h suivant la découverte d’un incident significatif
- Rapport détaillé sous 72 heures
- Plan de continuité d’activité (PCA) et plan de reprise d’activité (PRA)
5. Enregistrement
- Inscription obligatoire sur la plateforme MonEspaceNIS2 de l’ANSSI
Les sanctions
- Entités essentielles : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial
- Entités importantes : jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires mondial
- Responsabilité personnelle des dirigeants
Calendrier
| Échéance | Événement |
|---|---|
| Décembre 2022 | Adoption de la directive NIS2 au niveau européen |
| Octobre 2024 | Date limite de transposition (non respectée par la France) |
| 1er semestre 2026 | Adoption de la Loi Résilience en France |
| 2026 | Début des enregistrements auprès de l’ANSSI |
| 2026-2029 | Période d’adaptation progressive |
Par où commencer ?
1. Déterminer si l’on est concerné
La plateforme MonEspaceNIS2 de l’ANSSI propose un test d’éligibilité.
2. Réaliser un diagnostic de cybersécurité
Cartographier ses systèmes d’information, identifier les données sensibles, évaluer les mesures existantes et mesurer les écarts avec les exigences NIS2.
3. Traiter les fondamentaux
Les mesures de base couvrent une grande partie des exigences :
- Déployer l’authentification forte (MFA)
- Mettre en place des sauvegardes 3-2-1 testées
- Activer les mises à jour automatiques
- Sensibiliser les équipes au phishing
- Segmenter le réseau
4. Formaliser la gouvernance
Documenter les politiques de sécurité : PSSI, plan de réponse aux incidents, procédures de notification.
5. S’inscrire sur MonEspaceNIS2
Dès que les inscriptions ouvrent, s’enregistrer et maintenir une veille continue : audits réguliers, tests de sauvegarde, exercices de crise.
NIS2 : contrainte ou opportunité ?
Au-delà de l’obligation réglementaire, la conformité NIS2 représente un avantage :
- Avantage commercial : rassurer ses clients et donneurs d’ordre
- Protection réelle : les mesures demandées sont celles qui protègent concrètement des cyberattaques
- Réduction des coûts : prévenir coûte 5 à 10 fois moins cher que subir une attaque (coût moyen pour une PME : plus de 25 000 €)
Pour aller plus loin :
