Directive NIS2 : comprendre et anticiper la nouvelle réglementation cybersécurité europeenne
Adoptee en decembre 2022, la directive NIS2 (UE 2022/2555) impose des obligations renforcees a plus de 10 000 entreprises françaises reparties sur 18 secteurs critiques. Découvrez si vous etes concerne, ce que vous devez mettre en place et les sanctions encourues.
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (Network and Information Security 2) est le texte europeen le plus structurant en matière de cybersécurité depuis le RGPD. Elle remplace la directive NIS1 de 2016 jugee insuffisanté face à la montee des cybermenaces.
Publiée au Journal officiel de l'Union europeenne le 27 decembre 2022, la directive NIS2 etend considerablement le périmètre des entités soumises à des obligations de cybersécurité. La ou elle visait environ 500 opérateurs en France sous NIS1, NIS2 concernera entre 10 000 et 15 000 entités françaises selon les estimations de l'ANSSI.
Le texte repose sur une logique de gestion des risques cyber, de gouvernance impliquant directement les dirigeants, de notification obligatoire des incidents et de sanctions dissuasives alignees sur le modele du RGPD. Pour comprendre en detail le périmètre, les obligations et les sanctions, consultez notre guide complet de la directive NIS2.
Etes-vous concerne par NIS2 ?
La directive couvre 18 secteurs repartis entre entités essentielles (Annexe I) et entités importantes (Annexe II). Les critères combinent le secteur d'activité et la taille de l'entreprise.
Les 4 piliers de la directive NIS2
NIS2 articule la conformité cyber autour de quatre axes structurants que toute entité concernee doit maîtriser.
1. Gouvernance
Les organes de direction sont personnellement responsables de la gestion des risques cyber. Formation obligatoire des dirigeants.
Voir les obligations →2. Gestion des risques
10 mesures techniques et organisationnelles minimales (article 21) couvrant analyse des risques, chiffrement, continuite d'activité.
Detail des mesures →3. Notification d'incidents
Alerte initiale en 24h, notification détaillée en 72h, rapport final sous 1 mois aupres du CSIRT national.
Procédure complete →4. Sanctions
Jusqu'a 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial. Responsabilité personnelle des dirigeants.
Bareme complet →Calendrier de transposition
De l'adoption europeenne a l'application en France, voici les dates a retenir.
Vote final du texte (UE) 2022/2555 a Strasbourg.
Echeance fixee aux États membres pour intégrér la directive dans leur droit interne.
Référentiel Cyber France publié le 17 mars 2026. 4 piliers : Gouvernance, Protection, Défense, Résilience.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026. MonEspaceNIS2 est ouvert au pré-enregistrement des entités.
Questions frequentes sur NIS2
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (UE 2022/2555) est la nouvelle réglementation europeenne sur la cybersécurité, adoptee le 14 decembre 2022. Elle remplace la directive NIS1 et impose des obligations renforcees a 18 secteurs critiques.
Mon entreprise est-elle concernee ?
Sont concernees les entités moyennes et grandes (plus de 50 salariés ou plus de 10 millions d'euros de CA) operant dans l'un des 18 secteurs critiques. Voir notre page qui est concerne pour le detail.
Quelles sont les sanctions encourues ?
Jusqu'a 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial pour les entités essentielles. Le bareme complet est détaillé sur notre page sanctions NIS2.
Quel est le délai de notification d'un incident ?
Alerte precoce dans les 24 heures, notification détaillée dans les 72 heures et rapport final sous 1 mois aupres du CSIRT national.
Besoin d'accompagnement pour votre conformité NIS2 ?
Diagnostic d'éligibilité, analyse d'écart, plan de remediation : nos partenaires experts vous accompagnent à chaque étape de votre mise en conformité NIS2.
Demander un diagnostic