← Le blog · Cybersécurité · 6 min · juin 2026

Directive NIS2 : êtes-vous prêt ?

La directive européenne NIS2 fait passer la cybersécurité d'une bonne pratique facultative à une obligation légale, pour des milliers d'entreprises qui ne se croyaient pas concernées. Voici, sans jargon, qui doit s'y conformer, ce que la réglementation exige, et où en est précisément la transposition en droit français.

De quoi parle-t-on, au juste

NIS2 est une directive européenne de cybersécurité. Elle remplace une première version (NIS, 2016) qui ne visait qu'un cercle restreint d'opérateurs critiques. Le constat à l'origine du texte est simple : la quasi-totalité de l'économie dépend désormais de systèmes numériques, et une attaque sur un maillon faible se propage à toute une chaîne. Le législateur européen a donc décidé d'élever le niveau de sécurité d'un ensemble bien plus large d'acteurs, et d'en faire une exigence opposable, assortie de sanctions.

Concrètement, la directive impose à chaque entreprise concernée de se déclarer auprès de l'autorité nationale, de mettre en place un socle de mesures de sécurité, et de signaler rapidement les incidents importants. La nouveauté qui fait beaucoup parler : la responsabilité repose explicitement sur la direction de l'entreprise, pas uniquement sur l'équipe technique.

Êtes-vous concerné ?

La directive distingue deux catégories. Les entités essentielles regroupent les grandes entreprises des secteurs jugés hautement critiques : énergie, transports, banque et marchés financiers, santé, eau, infrastructures numériques (centres de données, fournisseurs de cloud, réseaux), gestion de services informatiques, espace, administrations. Les entités importantes couvrent des secteurs additionnels comme la chimie, l'agroalimentaire, la fabrication, la poste, ou encore les fournisseurs de services numériques.

Le critère de taille compte aussi. Schématiquement, sont visées les organisations d'au moins cinquante salariés, ou réalisant au moins dix millions d'euros de chiffre d'affaires, dès lors qu'elles opèrent dans l'un des secteurs listés. Les seuils précis et les exceptions sont fixés par le texte et sa transposition : votre conseil juridique reste la référence pour trancher votre cas.

Le point qui surprend la plupart des dirigeants, c'est l'effet de chaîne. Même si votre entreprise ne figure dans aucune liste, vous pouvez être tenu de répondre aux exigences de sécurité de vos clients soumis à NIS2, qui sont désormais responsables de la sécurité de leurs sous-traitants. Autrement dit : éditer un logiciel, héberger des données clients ou fournir un service numérique à une entreprise concernée suffit souvent à se retrouver dans le périmètre, par ricochet.

En France, l'autorité de référence est l'ANSSI, l'agence nationale de cybersécurité. Elle met à disposition un portail d'auto-évaluation en ligne qui permet, via un questionnaire, de vérifier si vous êtes concerné, de déterminer votre catégorie, et de procéder à votre inscription officielle.

Ce qu'il faut mettre en place

La directive ne se contente pas de désigner des entreprises ; elle fixe un socle concret de mesures de gestion des risques. Au-delà du vocabulaire technique, il s'agit de répondre à des questions de bon sens, mais qui demandent une démarche structurée :

  1. Une politique de sécurité écrite, fondée sur une analyse de vos risques réels.
  2. Une procédure de gestion des incidents : savoir détecter, réagir, et signaler à l'autorité dans les délais imposés.
  3. Un plan de continuité : sauvegardes testées, capacité à redémarrer après un sinistre.
  4. La sécurité de votre chaîne d'approvisionnement numérique, c'est-à-dire de vos prestataires et sous-traitants.
  5. Une sécurité intégrée dès l'acquisition et le développement de vos outils.
  6. Une évaluation régulière de l'efficacité des mesures prises.
  7. Des pratiques d'hygiène informatique de base et une formation des équipes.
  8. Le chiffrement des données sensibles, là où il s'impose.
  9. Un contrôle des accès et une gestion rigoureuse des droits.
  10. L'authentification renforcée et des communications sécurisées.

L'ANSSI a publié un référentiel détaillé qui traduit ces grands principes en objectifs de sécurité concrets, distincts selon que vous êtes une entité essentielle ou importante. C'est ce document qui sert de boussole pour savoir, mesure par mesure, ce que l'on attend de vous.

L'enjeu n'est pas de tout faire d'un coup, mais de savoir précisément où vous en êtes, ce qui manque, et dans quel ordre combler les écarts.

Où en est la France, à fin juin 2026

Voici l'état des lieux daté, parce qu'il évolue vite. La directive aurait dû être transposée en droit national par chaque État membre avant le 17 octobre 2024. La France, comme plusieurs autres pays, a dépassé cette échéance ; la Commission européenne a d'ailleurs engagé une procédure pour transposition incomplète.

Le texte français de transposition, le projet de loi dit « de résilience », a été adopté au Sénat début 2025 puis examiné en commission à l'Assemblée nationale. Au 28 juin 2026, cette loi n'est pas encore promulguée. L'examen en séance publique est annoncé pour juillet 2026, avec une promulgation attendue dans le courant de l'été, suivie des décrets techniques qui préciseront les standards exacts. Le calendrier reste donc susceptible de bouger : traitez toute « date butoir » définitive avec prudence et vérifiez la source officielle au moment de décider.

Faut-il attendre la promulgation pour agir ? Non. Les exigences de fond sont déjà connues, le référentiel de l'ANSSI est public, et une mise en conformité sérieuse prend des mois. Les entreprises qui démarrent maintenant aborderont l'échéance sans précipitation ; celles qui attendent « la date » se retrouveront à courir.

Les sanctions, et qui les porte

La directive prévoit des sanctions financières dissuasives, indexées sur le chiffre d'affaires, avec des plafonds différenciés selon la catégorie d'entité. Surtout, elle introduit la possibilité d'engager la responsabilité personnelle des dirigeants en cas de manquement caractérisé. La cybersécurité cesse d'être un sujet délégué à l'informatique : elle devient une obligation de gouvernance. Le niveau exact des sanctions sera fixé par la loi de transposition et ses décrets.

Par où commencer concrètement

La première étape n'est ni technique ni coûteuse : il s'agit de savoir si vous êtes concerné, et à quel titre. Vient ensuite un état des lieux, mesure par mesure, qui compare votre situation actuelle aux exigences. Cet écart, une fois chiffré et priorisé, devient un plan d'action lisible : ce qui est urgent, ce qui peut attendre, et l'effort que représente chaque chantier. C'est précisément cette photographie de départ qui transforme un texte réglementaire intimidant en une feuille de route gérable.

C'est là qu'un regard extérieur structuré fait gagner un temps considérable. Notre Pod Mise en ordre réalise cet état des lieux : il identifie si NIS2 vous concerne, mesure les écarts, et vous remet un plan priorisé, sans le jargon qui décourage. Vous gardez la décision et l'exécution ; nous vous donnons la carte.

On vérifie où vous en êtes

Un état des lieux NIS2 clair + les actions prioritaires. Livré, sans jargon.

Composer ma commande ▸

Mots-clés : directive NIS2, cybersécurité entreprise, conformité NIS2 France, entités essentielles, loi résilience, ANSSI, audit cybersécurité…