Face à la multiplication des cyberattaques, l’Europe muscle son arsenal réglementaire. La directive NIS2 s’impose comme le texte de référence pour élever le niveau de cybersécurité des organisations critiques. En France, entre 15 000 et 18 000 entités sont concernées. Êtes-vous prêt ?
Le coût moyen d’une cyberattaque représente aujourd’hui entre 5 et 10 % du chiffre d’affaires annuel d’une entreprise, selon un rapport de la Cour des comptes publié en juin 2025. Pour une PME française, cela représente en moyenne 466 000 euros. Des chiffres qui donnent le vertige et qui expliquent pourquoi l’Union européenne a décidé de renforcer drastiquement son cadre réglementaire.
Adoptée en décembre 2022, la directive NIS2 (Network and Information Security) succède à NIS1 avec une ambition claire : harmoniser et élever le niveau de cybersécurité à l’échelle européenne. Le champ d’application s’élargit considérablement, passant de 7 à 18 secteurs d’activité. Les obligations se renforcent. Et les sanctions deviennent dissuasives.
De NIS1 à NIS2 : pourquoi cette évolution était nécessaire
La première directive NIS, adoptée en 2016, constituait un premier pas vers une approche coordonnée de la cybersécurité en Europe. Elle ciblait principalement les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN). Mais son application a révélé plusieurs limites.
D’abord, un périmètre trop restreint qui laissait de nombreux secteurs critiques sans cadre contraignant. Ensuite, des disparités importantes entre États membres dans l’interprétation et l’application des règles. Certains pays se montraient beaucoup plus exigeants que d’autres, créant une forme de concurrence déloyale. Enfin, des sanctions souvent symboliques qui n’incitaient pas suffisamment les organisations à investir dans leur cybersécurité.
NIS2 corrige ces faiblesses. La directive établit un socle commun de règles plus strictes, applicable uniformément dans toute l’Union européenne. Elle responsabilise davantage les dirigeants et prévoit des sanctions financières qui peuvent réellement impacter les entreprises négligentes.
Qui est concerné par NIS2 ?
C’est l’une des évolutions majeures de NIS2 : le périmètre s’élargit considérablement. En France, ce sont désormais entre 15 000 et 18 000 organisations qui entrent dans le champ d’application, contre environ 500 pour NIS1.
La directive distingue deux catégories d’entités, avec des niveaux d’exigence différents.
Les entités essentielles regroupent les grandes organisations (plus de 250 salariés ou plus de 50 millions d’euros de chiffre d’affaires avec plus de 43 millions de bilan) opérant dans les secteurs hautement critiques : énergie, transports, santé, eau potable, infrastructures numériques, administrations publiques, espace, secteur bancaire et infrastructures des marchés financiers.
Les entités importantes concernent les entreprises de taille intermédiaire (entre 50 et 249 salariés ou plus de 10 millions d’euros de chiffre d’affaires et de bilan) dans ces mêmes secteurs, ainsi que d’autres secteurs qualifiés de « critiques » : services postaux, gestion des déchets, fabrication de produits chimiques, production alimentaire, fabrication de dispositifs médicaux, équipements électroniques et optiques, fournisseurs de services numériques, organismes de recherche.
Point d’attention : certaines organisations sont concernées quelle que soit leur taille. C’est notamment le cas des fournisseurs de services DNS, des registres de noms de domaine ou des prestataires de services de confiance qualifiés.
Par ailleurs, NIS2 introduit une exigence forte sur la chaîne d’approvisionnement. Même si vous n’êtes pas directement concerné, vos clients soumis à la directive pourront vous imposer des obligations contractuelles en matière de cybersécurité.
Les obligations concrètes imposées par NIS2
L’ANSSI, autorité nationale en charge de la supervision, a défini 20 objectifs de sécurité pour les entités essentielles et 15 pour les entités importantes. Ces obligations couvrent l’ensemble du spectre de la gestion des risques cyber.
La gouvernance de la cybersécurité devient une responsabilité directe des organes de direction. Les dirigeants doivent suivre une formation en cybersécurité et superviser activement la mise en œuvre des mesures. En cas de manquement grave, ils peuvent être tenus personnellement responsables et se voir interdire temporairement d’exercer des fonctions de direction.
La gestion des risques doit s’appuyer sur une analyse rigoureuse et régulièrement actualisée des menaces pesant sur les systèmes d’information. Les mesures de protection doivent être proportionnées aux risques identifiés et couvrir l’ensemble du périmètre : sécurité physique, contrôle des accès, chiffrement, segmentation des réseaux, gestion des vulnérabilités.
La notification des incidents suit désormais un calendrier très précis. En cas d’incident significatif, l’entité dispose de 24 heures pour transmettre une alerte initiale à l’ANSSI, 72 heures pour fournir un rapport d’évaluation et un mois pour remettre un rapport final détaillant les causes, les impacts et les mesures correctives mises en œuvre.
La continuité d’activité impose de disposer de plans testés régulièrement pour maintenir ou rétablir les activités critiques en cas de cyberattaque. Cela inclut la sauvegarde des données, les procédures de reprise et la gestion de crise.
La sécurité de la chaîne d’approvisionnement oblige les entités à évaluer la posture de sécurité de leurs fournisseurs et prestataires critiques, et à intégrer des exigences de cybersécurité dans leurs contrats.
Un point important à retenir : une certification ISO 27001 ne garantit pas la conformité à NIS2. Selon l’ANSSI, cette norme ne couvre que 2 des 20 objectifs de sécurité définis pour les entités essentielles. Même complétée par ISO 27002, vous n’atteignez qu’environ 80 % des exigences.
Les sanctions en cas de non-conformité
NIS2 harmonise les sanctions à l’échelle européenne et les rend véritablement dissuasives.
Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu.
Pour les entités importantes, le plafond est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial.
Au-delà des sanctions financières, les autorités peuvent imposer des mesures correctives contraignantes et, dans les cas les plus graves, suspendre temporairement certaines activités.
La responsabilité personnelle des dirigeants constitue une autre innovation majeure. En cas de négligence grave ayant conduit à un incident de sécurité, un dirigeant peut être interdit d’exercer des fonctions de direction. Cette disposition vise à placer la cybersécurité au cœur des préoccupations des conseils d’administration.
Où en est la transposition en France ?
La directive européenne imposait une transposition dans les droits nationaux avant le 17 octobre 2024. La France accuse du retard, comme plusieurs autres États membres. La Commission européenne a d’ailleurs adressé un avis motivé à la France le 7 mai 2025 pour défaut de notification de transposition complète.
Le projet de loi « Résilience », qui transpose NIS2 (ainsi que les directives REC et DORA), a été voté au Sénat le 12 mars 2025. La commission spéciale de l’Assemblée nationale a achevé son examen le 11 septembre 2025 en adoptant 245 amendements. Les instabilités politiques ont toutefois ralenti le processus législatif.
L’adoption définitive est attendue pour 2026. Une fois le texte entré en vigueur, les entités concernées disposeront de trois ans pour atteindre la pleine conformité. Mais l’ANSSI est claire : les menaces n’attendent pas. L’analyse des risques et la cartographie des systèmes doivent commencer dès maintenant.
Pour savoir si votre organisation est concernée, l’ANSSI met à disposition un simulateur sur la plateforme « Mon Espace NIS2 ». Un service de pré-enregistrement volontaire est également disponible pour anticiper l’obligation d’enregistrement qui accompagnera la transposition.
Comment Make IT Safe vous accompagne dans votre mise en conformité NIS2
Face à la complexité de NIS2, disposer d’un outil adapté fait toute la différence. Make IT Safe est le logiciel métier français conçu par des experts cyber, pour les RSSI et DPO qui doivent conjuguer maîtrise des risques et conformité réglementaire.
Notre solution vous permet d’ores et déjà de structurer votre démarche de conformité NIS2 de manière efficace et collaborative.
- Cartographiez vos risques grâce à notre module d’analyse qui vous aide à identifier, évaluer et prioriser les menaces pesant sur vos systèmes d’information, conformément aux exigences de la directive.
- Pilotez vos plans d’actions en centralisant l’ensemble des mesures de sécurité à déployer, avec un suivi en temps réel de leur avancement et des responsabilités associées.
- Évaluez vos tiers pour répondre aux obligations de sécurité de la chaîne d’approvisionnement. Notre fonctionnalité d’analyse des fournisseurs vous permet de disposer d’une vision claire de la posture de sécurité de votre écosystème.
- Gérez vos incidents avec des workflows adaptés aux délais imposés par NIS2 (24h, 72h, 1 mois) et une documentation conforme aux attentes de l’ANSSI.
- Démontrez votre conformité grâce à des tableaux de bord et rapports exportables qui valorisent votre travail auprès de votre direction et lors des contrôles.
100 % développé et hébergé en France, Make IT Safe accompagne aujourd’hui plus de 150 organisations qui ont fait le choix d’une solution souveraine, simple et performante. Nos clients constatent en moyenne 30 % de gain de productivité dans la gestion de leur conformité.
Préparer la mise en conformité NIS2 représente un investissement. Mais rappelez-vous : le coût de la non-conformité est généralement bien supérieur.
