Qu'est-ce que la directive NIS2 ?

La directive européenne NIS2 (Network and Information Security 2) remplace NIS1 et étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Transposée en droit français par la loi du 17 octobre 2024, elle s'applique désormais à environ 15 000 entités en France, contre 300 sous NIS1.

L'objectif est clair, harmoniser le niveau de cybersécurité à l'échelle européenne et rendre les entreprises essentielles résilientes face aux cyberattaques. Le régulateur français est l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).

Votre entreprise est-elle concernée ?

NIS2 distingue deux catégories d'entités selon leur taille et leur secteur d'activité

CatégorieTailleSecteurs concernés
Entités Essentielles (EE)+250 salariés ou +50M€ CAÉnergie, Transport, Santé, Eau, Infrastructure numérique, Finance
Entités Importantes (EI)+50 salariés ou +10M€ CAServices postaux, Gestion des déchets, Chimie, Alimentaire, Fabrication, Fournisseurs numériques
💡 Point important

Même si votre entreprise ne rentre pas dans ces catégories, vos donneurs d'ordre ou clients qui sont EE/EI peuvent vous imposer contractuellement des mesures équivalentes via la gestion de la chaîne d'approvisionnement (supply chain security).

Les 10 mesures obligatoires NIS2

L'article 21 de la directive impose un socle de 10 mesures de sécurité que toutes les entités concernées doivent mettre en œuvre

  • Politique de sécurité des systèmes d'information (PSSI), documents formalisés approuvés par la direction
  • Gestion des risques cyber, analyse de risques annuelle selon une méthode reconnue (EBIOS RM recommandée en France)
  • Gestion des incidents, procédures de détection, de notification et de réponse aux incidents
  • Continuité d'activité, PCA et PRA testés au moins annuellement
  • Sécurité de la chaîne d'approvisionnement, évaluation des prestataires et fournisseurs critiques
  • Sécurité du développement et des acquisitions, DevSecOps, tests de sécurité, durcissement
  • Gestion des vulnérabilités, patch management, veille CVE, scan régulier
  • Évaluation de l'efficacité des mesures, audits internes, tests d'intrusion, métriques
  • Formation et sensibilisation, programme pour tous les collaborateurs, incluant la direction
  • Chiffrement et cryptographie, chiffrement des données sensibles en transit et au repos

Délais et sanctions

Les entités ont jusqu'au 17 octobre 2026 pour se mettre en conformité complète. Mais l'enregistrement auprès de l'ANSSI est obligatoire dès 2025. Les sanctions en cas de manquement sont significatives

CatégorieAmende maximale
Entités Essentielles10 millions € ou 2% du chiffre d'affaires mondial
Entités Importantes7 millions € ou 1,4% du chiffre d'affaires mondial
⚠ Obligation de notification des incidents

En cas d'incident significatif, vous avez 24h pour notifier l'ANSSI d'une alerte précoce, 72h pour un rapport d'incident intermédiaire, et 1 mois pour un rapport final détaillé. Le non-respect de ces délais est une infraction sanctionnable indépendamment de l'incident lui-même.

Plan d'action concret sur 12 mois

Voici les étapes pragmatiques pour une mise en conformité NIS2 structurée

  • Mois 1–2 Audit de périmètre, pour identifier si vous êtes EE ou EI, cartographier vos systèmes d'information critiques et évaluer l'écart avec les exigences NIS2
  • Mois 2–4 Analyse de risques EBIOS RM, pour identifier vos biens supports, sources de risque, événements redoutés et scénarios d'attaque
  • Mois 3–5 Rédaction de la PSSI et des politiques associées (gestion des accès, chiffrement, patch management, IR)
  • Mois 4–7 Mise en œuvre technique, avec MFA sur tous les accès, segmentation réseau, EDR déployé, SIEM configuré et backup testé
  • Mois 6–8 Test d'intrusion et audit de configuration pour vérifier l'efficacité des mesures
  • Mois 7–9 Formation et sensibilisation, avec un programme pour tous les niveaux et une simulation de phishing
  • Mois 9–12 Enregistrement ANSSI, mise en place du processus de notification des incidents, audit interne final

Besoin d'un accompagnement NIS2 ?

ONYX-CYBER réalise votre audit de conformité NIS2, l'analyse de risques EBIOS RM et vous accompagne jusqu'à l'enregistrement ANSSI.

Demander un audit NIS2 gratuit