Comprendre NIS2 · Les bases
Qu'est-ce que la directive NIS2 ?
NIS2 est la directive européenne 2022/2555 « concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union ». Derrière ce titre austère : l'obligation, pour des milliers d'entreprises françaises, de structurer et de prouver leur sécurité informatique.
D'où vient NIS2
La première directive NIS, adoptée en 2016, visait un cercle restreint d'« opérateurs de services essentiels » — grands acteurs de l'énergie, des transports, de la banque ou de la santé, désignés un par un par les États. En France, cela représentait environ 500 organisations.
Entre-temps, les attaques ont changé d'échelle : rançongiciels frappant des hôpitaux et des collectivités, compromissions par la chaîne de sous-traitance, arrêts de production dans l'industrie. Le constat du législateur européen est simple : la sécurité d'un pays ne repose pas seulement sur ses géants, mais sur tout le tissu économique qui les entoure. NIS2, adoptée fin 2022, tire cette conséquence : elle réglemente des secteurs entiers, avec des seuils automatiques, et non plus une liste fermée d'opérateurs.
Ce que NIS2 change concrètement
- Un périmètre massivement élargi — 18 secteurs d'activité, deux catégories d'entités (essentielles et importantes), plus de 15 000 organisations concernées en France. Vérifiez si vous en faites partie.
- Des mesures de sécurité obligatoires — l'article 21 impose dix familles de mesures : analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, chiffrement, authentification multifacteur… Le détail des 10 mesures.
- Une obligation de notification rapide des incidents — alerte précoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. La chronologie exacte.
- Des sanctions dissuasives — jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial, et une responsabilité qui peut viser personnellement les organes de direction. Ce que vous risquez.
- Une gouvernance imposée — les dirigeants doivent approuver les mesures de gestion des risques, en superviser la mise en œuvre et se former à la cybersécurité. La conformité ne se délègue plus intégralement à l'informatique.
Le calendrier en France
| Date | Étape |
|---|---|
| 16 janvier 2023 | Entrée en vigueur de la directive (UE) 2022/2555 au niveau européen. |
| 17 octobre 2024 | Date limite de transposition dans les droits nationaux. |
| 2024 – 2026 | Transposition française par la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, et ses décrets d'application ; montée en charge progressive des obligations (enregistrement auprès de l'ANSSI, mesures de sécurité, notification). |
| Dès maintenant | Les exigences de fond sont connues et stables. Les entreprises qui s'y préparent aujourd'hui lissent l'effort et le budget ; les autres feront la même chose plus tard, sous contrainte. |
Questions fréquentes
Quelle est la différence entre NIS1 et NIS2 ?
NIS1 (2016) ne visait qu'environ 500 « opérateurs de services essentiels » en France, désignés individuellement. NIS2 élargit à 18 secteurs entiers avec des seuils automatiques (taille et chiffre d'affaires), ajoute la chaîne d'approvisionnement, renforce les sanctions et rend les organes de direction responsables. On passe d'une réglementation d'exception à une réglementation de masse.
NIS2 est-elle déjà applicable en France ?
La directive (UE) 2022/2555 est entrée en vigueur en janvier 2023 avec une transposition attendue en octobre 2024. En France, la transposition passe par la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Les exigences de fond (article 21, notification d'incidents) sont connues et stables : attendre le dernier décret d'application pour commencer, c'est choisir de se mettre en conformité dans l'urgence.
Qui contrôle l'application de NIS2 en France ?
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité nationale. Elle enregistre les entités, reçoit les notifications d'incidents, conduit les contrôles et peut prononcer des injonctions et des sanctions.
Par où commencer ?
En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.