6 min de lecture Cybersécurité

Directive NIS2 : ce que les entreprises françaises doivent savoir en 2026

La directive NIS2 élargit les obligations de cybersécurité. Secteurs concernés, nouvelles exigences et calendrier de mise en conformité.

Introduction : Une directive qui change les règles

Le 21 décembre 2024, la directive NIS2 (Network and Information Security Directive 2) est officiellement entrée en vigueur dans l’Union Européenne. Pour les entreprises françaises, cela signifie une refonte complète des obligations de cybersécurité — bien au-delà de ce que RGPD ou CNIL imposaient jusqu’à présent.

Contrairement aux rumeurs, NIS2 ne concerne pas que les géants tech. Elle s’étend à des secteurs critiques, et parfois même à des ETI et PME. En 2026, il n’est plus question de “réfléchir” à NIS2 — les obligations sont réelles et contrôlables.

C’est quoi, NIS2 ?

NIS2 est une directive européenne harmonisant les obligations en cybersécurité pour les entreprises critiques (secteur public, télécoms, énergie, finance, santé, etc.).

Points clés :

  • Scope étendu : Plus que NIS1, elle touche davantage de secteurs
  • Obligations renforcées : Audit, rapport d’incidents, gestion des risques plus stricte
  • Sanctions accrues : Amendes jusqu’à 2% du CA global (vs 1% avant)
  • Responsabilité du Conseil d’Administration : Les dirigeants sont personnellement responsables
  • Délais rapides : Conformité complète attendue avant octobre 2026

Qui est concerné ?

Catégorie 1 : Opérateurs de Services Essentiels (OSE)

Secteurs critiques mandatoirement concernés :

  • Énergie : Électricité, gaz, pétrole, chauffage urbain
  • Transports : Chemin de fer, services de transport routier public, air, maritime
  • Banque & Finance : Établissements de crédit, bourses
  • Santé : Hôpitaux, structures de soins
  • Eau & Aliments : Eau potable, traitement eaux usées
  • Numérique : Fournisseurs de services cloud, datacenter, registres de noms de domaine
  • Espace public : Administrations essentielles

Conditions :

  • Taille : Généralement 250+ salariés OU chiffre d’affaires > 50M€
  • Impact critique : L’interruption du service aurait impact majeur sur le secteur ou l’État

Catégorie 2 : Fournisseurs de Services Numériques (FSN)

Incluent :

  • Fournisseurs SaaS/cloud (Salesforce, Microsoft 365, SAP)
  • Plateformes de commerce électronique
  • Services de recherche en ligne
  • Réseaux sociaux
  • Fournisseurs de services managés (infogérance)

Conditions :

  • Impact potentiel significatif sur sécurité réseau dans l’UE
  • Généralement les 100 plus gros FSN (listes nationales par pays)

En clair : Si vous êtes infogérant ou SaaS, vous êtes probablement FSN et concerné.

Microentreprises & PME

Exemptions partielles :

  • Moins de 10 salariés ou moins de 2M€ de CA : souvent exemptées de NIS2
  • Mais : Si vous êtes prestataire d’une entreprise NIS2-compliant, vous hériterez de ses obligations en cascade

Les nouvelles obligations (résumé)

1. Gestion des risques cybersécurité

Avant NIS2 : Audit sporadique, actions ad-hoc.

Avec NIS2 :

  • Programme de gestion des risques documenté et continu
  • Audit annuel obligatoire
  • Cartographie des menaces mise à jour régulièrement
  • Plan de remédiation avec délais

2. Obligations du Conseil d’Administration

Les dirigeants doivent :

  • Recevoir rapports cybersécurité au moins 2x/an
  • Approuver stratégie de sécurité explicitement
  • Etre responsables personnellement en cas de non-conformité (amendes, procédures pénales possibles)

Impact RH : Nombreuses entreprises créent des postes Chief Information Security Officer (CISO) avec accès direct au Conseil.

3. Incident Management renforcé

Obligation de signalement :

  • Incident de haute disponibilité : Signalé à l’autorité nationale (ANSSI en France) sous 24h
  • Rapport d’incident complet : Sous 72h
  • Notification clients : Sous délai raisonnable (parfois rétroactif)
  • Public communication : Obligatoire pour incidents graves

4. Sécurité Supply Chain

Audit des prestataires obligatoires :

  • Contrats explicites sur sécurité
  • Audit annuel des fournisseurs critiques
  • Clauses de résilience et continuité
  • Responsabilité en cascade (si votre vendor faillit, vous êtes responsable)

5. Gestion des tiers et accès

Contrôle d’accès renforcé :

  • Inventaire documenté des accès tiers
  • Authentification multi-facteur (MFA) obligatoire pour admins
  • Suppression des accès: sous 30 jours après fin de contrat
  • Audit des accès : au moins annuel

6. Continuité & reprise d’activité

Plan de reprise d’activité (PRA) obligatoire :

  • Objectif de temps de reprise (RTO) : Typiquement < 24h
  • Objectif de point de reprise (RPO) : Typiquement < 4h
  • Test au minimum annuel (enregistré, documenté)
  • Scénario : Ransomware, panne matérielle, cyber-attaque

Calendrier de mise en conformité

DateÉtape
21 déc 2024Entrée en vigueur de NIS2
21 déc 2025Transposition en droit français (loi déjà adoptée)
21 déc 2026Conformité complète exigée
Avant oct 2026Audits initiales commencent

En clair : Vous avez jusqu’à fin 2026, mais les audits et contrôles ANSSI commencent dès maintenant.

Les risques de non-conformité

Amendes administratives

  • Catégorie 1 (OSE) : Jusqu’à 2% du CA global (vs 1% avant) OU 40M€
  • Catégorie 2 (FSN) : Jusqu’à 2% du CA OU 20M€
  • Cumul possible de plusieurs amendes

Exemple :

Une banque de 500M€ de CA non-conforme peut écoper d’une amende de 10M€ minimum.

Responsabilité personnelle des dirigeants

  • Procédures pénales possibles
  • Interdictions d’exercer
  • Dommages-intérêts aux actionnaires

Impact client

  • Clients OEM peuvent résilier contrat
  • Marchés publics perdus
  • Réputation endommagée

Plan d’action 2026 pour les entreprises

Phase 1 : Diagnostic (Janvier-Mars 2026)

  • Identifier si vous êtes OSE, FSN ou exemptée
  • Audit de maturité cybersécurité (gap analysis)
  • Cartographie des données sensibles
  • Inventaire des systèmes critiques

Phase 2 : Gouvernance (Avril-Juin 2026)

  • Nommer un responsable sécurité (CISO/RSI)
  • Politique de sécurité formalisée
  • Rôles et responsabilités documentés
  • Budget d’investissement approuvé

Phase 3 : Mise en conformité technique (Juillet-Septembre 2026)

  • Déploiement MFA sur accès admin
  • Audit supply chain et mise en contrat
  • Test PRA/DRA et documentation
  • Durcissement infrastructure critiques

Phase 4 : Documentation & audit (Octobre-Décembre 2026)

  • Rapport annuel de sécurité
  • Audit indépendant (CSMR)
  • Demande de conformité auprès ANSSI
  • Plan d’améliorations continue

Qui peut vous aider ?

L’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) propose :

  • Guide NIS2 complet (gratuit)
  • Référentiels de sécurité (France Cybersecurity)
  • Programme de labellisation (ExpertiseCyber)
  • Subventions pour PME (Cybergouv)

You-Networks accompagne les entreprises dans leur audit NIS2 et mise en conformité :

  • Diagnostic de maturité détaillé
  • Plan d’action budgétisé
  • Implémentation technique guidée
  • Audit de conformité annuel
  • Monitoring continu

Conclusion

NIS2 n’est pas une option — c’est du droit européen obligatoire. Pour les dirigeants français en 2026, c’est le moment d’agir. Les entreprises qui se conformeront tôt auront un avantage concurrentiel et éviteront les amendes.

Question à poser à votre équipe IT dès lundi :

“Sommes-nous NIS2-compliant ? Qui a la responsabilité ? Quel est notre plan ?”

Si vous n’avez pas de réponse claire — c’est l’heure de diagnostiquer.

Tags :
#NIS2#cybersécurité#conformité#ANSSI
Younes, fondateur de You-Networks

Younes

Fondateur de You-Networks

Spécialisé en développement sur mesure, hébergement souverain, cybersécurité et infogérance. Basé à Paris, intervenant sur toute la France.

Ce sujet vous concerne ?

Échangeons sur vos besoins lors d'un appel de 30 minutes, sans engagement.