Guide - Avril 2026

Directive NIS2 : le guide complet pour comprendre vos obligations en 2026

Entre 10 000 et 15 000 entités françaises sont concernées par la directive NIS2. Périmètre, obligations, sanctions, calendrier, ReCyF : voici les réponses précises aux questions que se posent RSSI, DSI et dirigeants avant d'engager leur démarche de conformité.

Points clés de ce guide
  • NIS2 couvre 18 secteurs critiques - seuils d'assujettissement précis par catégorie
  • 10 mesures obligatoires issues de l'article 21 - avec exemples d'application terrain
  • Sanctions jusqu'à 10 M€ ou 2 % du CA mondial, responsabilité personnelle des dirigeants
  • ReCyF ANSSI publié le 17 mars 2026 - loi Résilience attendue pour juillet 2026
  • Délai réaliste de mise en conformité : 12 à 24 mois selon votre maturité cyber

Ce qu'est vraiment NIS2 - et ce qu'elle n'est pas

La directive (UE) 2022/2555, dite NIS2, est un texte de réglementation européenne adopté le 14 décembre 2022. Elle succède à la directive NIS1 de 2016 dont le bilan était décevant : périmètre trop étroit, obligations insuffisamment précises, disparités de transposition entre États membres.

NIS2 n'est pas un référentiel technique comme l'ISO 27001. C'est un cadre juridique contraignant qui impose aux entités concernées un régime de gestion des risques cyber, une gouvernance impliquant directement les dirigeants, une obligation de notification des incidents et des sanctions calquées sur le modèle du RGPD. En France, sa transposition s'opère via la future loi Résilience, dont l'examen en hémicycle est prévu pour juillet 2026.

À retenir

NIS2 n'est pas optionnelle. Contrairement à des labels comme SecNumCloud ou des normes ISO volontaires, les obligations NIS2 seront opposables aux entités identifiées par l'ANSSI via la plateforme MonEspaceNIS2. Le non-respect expose à des sanctions administratives, pas seulement à une perte de label.

Qui est concerné : les 18 secteurs et les seuils précis

La directive distingue deux catégories d'entités soumises à des obligations et à des régimes de contrôle différenciés.

Les entités essentielles (Annexe I) relèvent de 11 secteurs hautement critiques : énergie (électricité, pétrole, gaz, hydrogène), transports (aérien, ferroviaire, maritime, routier), banque et marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (DNS, points d'échange, datacenters, réseaux de communication), gestion de services TIC (MSP/MSSP), espace (opérateurs d'infrastructure terrestre), et administration publique nationale ou régionale.

Les entités importantes (Annexe II) couvrent 7 secteurs complémentaires : services postaux et de messagerie, gestion des déchets, fabrication de produits chimiques, production et distribution alimentaire, fabrication de dispositifs médicaux et de machines, fournisseurs numériques (moteurs de recherche, places de marché, réseaux sociaux), et recherche.

Catégorie Seuil taille minimale Contrôle ANSSI Sanction maximale
Entité essentielle 250 salariés OU 50 M€ CA ET 43 M€ bilan Proactif (audit sans incident) 10 M€ ou 2 % CA mondial
Entité importante 50 salariés OU 10 M€ CA Réactif (après incident ou plainte) 7 M€ ou 1,4 % CA mondial

Exception notable : certaines entités sont assujetties quelle que soit leur taille. C'est le cas des fournisseurs de réseaux de communications électroniques publics, des registres de noms de domaine de premier niveau, et des entités de l'administration centrale. Pour vérifier précisément votre situation, consultez notre page qui est concerné par NIS2.

Erreur fréquente

De nombreuses ETI opérant dans la chaîne d'approvisionnement d'un secteur critique (sous-traitant d'un hôpital, prestataire IT d'une banque) pensent échapper à NIS2 parce qu'elles ne sont pas elles-mêmes dans le secteur visé. NIS2 ne s'applique pas directement à ces sous-traitants - mais les entités essentielles et importantes ont l'obligation de gérer les risques liés à leur chaîne d'approvisionnement (article 21, point d). Résultat : votre client NIS2 vous imposera contractuellement ses exigences sécurité.

Les 10 obligations de l'article 21 : ce que vous devez mettre en place

L'article 21 de la directive constitue le coeur des obligations techniques et organisationnelles. Il impose 10 mesures minimales de gestion des risques cyber, sans préciser comment les implémenter - c'est au ReCyF de l'ANSSI de détailler les exigences opérationnelles.

  1. Politiques de sécurité et analyse des risques - Cartographie des actifs, identification des menaces, traitement formalisé des risques avec revue annuelle minimum.
  2. Gestion des incidents - Processus de détection, classification, réponse et apprentissage post-incident. Procédures documentées et testées.
  3. Continuité d'activité et gestion de crise - PCA/PRA documenté, sauvegardes vérifiées, exercices de simulation.
  4. Sécurité de la chaîne d'approvisionnement - Évaluation des fournisseurs TIC/cyber, clauses contractuelles minimales, cartographie des dépendances critiques.
  5. Sécurité dans le développement et la maintenance - Politique de gestion des vulnérabilités, patch management, sécurité du cycle de développement.
  6. Évaluation de l'efficacité des mesures - Revues régulières, indicateurs de mesure, audits internes ou tiers.
  7. Formation et sensibilisation - Programme de sensibilisation pour tous les collaborateurs, formation obligatoire des dirigeants (article 20).
  8. Hygiène numérique - Politique de mots de passe, gestion des accès privilégiés, inventaire des actifs, durcissement des configurations.
  9. Chiffrement - Protection des données sensibles en transit et au repos, gestion des clés cryptographiques.
  10. Contrôle d'accès et authentification - MFA sur les accès sensibles, principe du moindre privilège, gestion des identités.

Pour une analyse détaillée de chaque mesure avec les exigences du ReCyF, consultez notre page obligations NIS2 et notre article sur les 10 obligations de l'article 21 décryptées mesure par mesure.

Notification des incidents : les délais qui n'admettent pas d'approximation

La procédure de notification est l'une des obligations les plus visibles de NIS2. Elle s'articule en trois temps imposés par l'article 23 :

Étape Délai Contenu requis Destinataire
Alerte précoce 24 heures Nature de l'incident, impact potentiel, origine probable CSIRT national (CERT-FR en France)
Notification détaillée 72 heures Évaluation initiale, mesures correctives engagées CSIRT national
Rapport final 1 mois Description complète, cause profonde, mesures définitives CSIRT national

Un incident déclenche l'obligation de notification dès lors qu'il cause - ou est susceptible de causer - une perturbation significative des services ou un impact sur d'autres entités. La qualification "significatif" sera précisée dans les actes d'exécution européens. En pratique, un ransomware paralysant votre SI pendant plus de quelques heures entre clairement dans ce périmètre.

Exemple concret

Une clinique privée (secteur santé, entité essentielle) subit une intrusion détectée un lundi à 9h. Elle doit notifier le CERT-FR avant mardi 9h (alerte précoce), fournir une notification complète avant jeudi 9h, et remettre son rapport final avant le 13 mai. L'absence de notification dans les délais est elle-même une infraction sanctionnable indépendamment de l'incident initial.

Sanctions NIS2 : ce que risquent les entités et leurs dirigeants

NIS2 introduit un régime de sanctions administratives inspiré du RGPD, avec une innovation structurelle majeure : la responsabilité personnelle des dirigeants.

Pour les entités essentielles, l'amende administrative peut atteindre le montant le plus élevé entre 10 millions d'euros et 2 % du chiffre d'affaires mondial annuel total. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du CA mondial.

Mais la vraie nouveauté de NIS2 est l'article 20 : les organes de direction peuvent être tenus personnellement responsables en cas de manquement aux obligations de supervision et de formation. En France, la loi Résilience devrait permettre à l'ANSSI de prononcer des interdictions temporaires d'exercer des fonctions dirigeantes - une mesure sans précédent dans le droit cyber français.

Pour le barème complet et des exemples de scénarios, consultez notre page dédiée aux sanctions NIS2.

Calendrier et état de la transposition en France en 2026

La France n'a pas respecté la date limite européenne du 17 octobre 2024. Deux obstacles expliquent ce retard : l'instabilité gouvernementale de 2024, et le blocage parlementaire autour de l'article 16bis sur les portes dérobées (backdoors) dans les systèmes de chiffrement.

En mars 2026, le paysage réglementaire se précise sur deux fronts :

  • ReCyF - Référentiel Cyber France : publié par l'ANSSI le 17 mars 2026, ce document de 4 piliers et 22 domaines constitue la déclinaison opérationnelle française des exigences NIS2. Il est déjà la référence pour toute démarche de conformité.
  • Loi Résilience : examen en hémicycle prévu pour juillet 2026. Ce texte transposera NIS2 dans le droit français, donnera ses pouvoirs de contrôle et de sanction à l'ANSSI, et précisera les modalités d'identification des entités via MonEspaceNIS2.

L'ANSSI a ouvert MonEspaceNIS2 au pré-enregistrement volontaire. Les entités qui s'y inscrivent dès maintenant bénéficient d'un avantage opérationnel : elles reçoivent des guidances personnalisées et positionnent favorablement leur démarche vis-à-vis de l'autorité de contrôle. Voir notre calendrier détaillé de transposition NIS2 pour toutes les échéances.

Par où commencer : les 5 premières actions concrètes

La conformité NIS2 n'est pas un projet à démarrer "quand la loi sera votée". Les 12 à 24 mois nécessaires pour atteindre une conformité solide impliquent de commencer maintenant. Voici les cinq premières actions à engager.

  1. Vérifier son assujettissement - Comparer votre secteur d'activité aux Annexes I et II, vérifier les seuils de taille, identifier si vous relevez de cas d'assujettissement automatique. L'auto-diagnostic NIS2 disponible sur ce site vous guide étape par étape.
  2. Obtenir un mandat de direction - NIS2 est un sujet de gouvernance, pas seulement technique. L'article 20 impose la formation des dirigeants et leur responsabilité directe. Sans portage au Comex ou au Conseil d'administration, les démarches restent superficielles.
  3. Réaliser une analyse d'écart (gap analysis) - Comparer votre posture actuelle aux 10 mesures de l'article 21 et aux exigences du ReCyF. Cette cartographie produit la liste priorisée des chantiers à ouvrir et l'estimation budgétaire.
  4. Construire un plan de remédiation - Sur 12 à 18 mois, identifier les quick wins (MFA, gestion des patchs, sauvegardes testées) et les chantiers longs (SMSI, politique de classification, PSSI).
  5. S'enregistrer sur MonEspaceNIS2 - Même avant l'entrée en vigueur de la loi Résilience, le pré-enregistrement volontaire auprès de l'ANSSI démontre la bonne foi de l'entité et ouvre l'accès à des ressources pratiques.
À retenir

Les organisations certifiées ISO 27001 ont une longueur d'avance significative : le ReCyF présente une forte correspondance structurelle avec la norme. Mais la certification ISO 27001 seule ne suffit pas à prétendre à la conformité NIS2 - notamment sur les obligations de notification d'incidents et les exigences spécifiques à la chaîne d'approvisionnement.

NIS2 et RGPD : deux textes qui se complètent sans se substituer

Une confusion fréquente consiste à croire que la conformité RGPD couvre automatiquement NIS2. Les deux textes partagent une philosophie de gestion des risques et impliquent les mêmes acteurs (RSSI, DPO, direction), mais leurs objets sont distincts.

Le RGPD protège les données personnelles. NIS2 sécurise les réseaux et systèmes d'information des entités critiques. Un incident de sécurité peut déclencher des obligations simultanées sous les deux textes - notification à la CNIL sous 72h si des données personnelles sont compromises, notification au CERT-FR sous 24h puis 72h si l'entité est assujettie à NIS2. Pour approfondir, notre article sur l'articulation NIS2 et RGPD détaille les synergies et les points de divergence.

FAQ - Questions fréquentes sur le guide NIS2

La directive NIS2 est-elle déjà applicable en France ?

La date limite de transposition européenne était le 17 octobre 2024. En France, la loi Résilience est en cours d'examen parlementaire (prévue pour juillet 2026). En attendant, le Référentiel Cyber France (ReCyF) publié par l'ANSSI le 17 mars 2026 constitue la feuille de route opérationnelle pour les entités concernées.

Quelle est la différence entre entité essentielle et entité importante ?

Les entités essentielles (Annexe I) relèvent de secteurs hautement critiques comme l'énergie, la santé ou les transports. Les entités importantes (Annexe II) couvrent des secteurs secondaires comme la chimie, l'alimentation ou la fabrication. Le régime de contrôle et le barème des sanctions diffèrent : 10 M€ ou 2 % du CA pour les essentielles, 7 M€ ou 1,4 % pour les importantes.

Mon entreprise de 60 salariés dans le secteur alimentaire est-elle concernée par NIS2 ?

Oui, potentiellement. Le secteur alimentaire figure en Annexe II. Le seuil minimal est 50 salariés OU 10 millions d'euros de chiffre d'affaires annuel. Avec 60 salariés, vous dépassez le premier seuil. L'ANSSI procédera à une notification officielle via MonEspaceNIS2. La démarche recommandée est de réaliser dès maintenant un auto-diagnostic pour anticiper les obligations.

Combien de temps faut-il pour se mettre en conformité NIS2 ?

Pour une entité sans démarche cyber préexistante, les retours terrain indiquent entre 12 et 24 mois pour atteindre une conformité solide aux 10 mesures de l'article 21. Les organisations déjà certifiées ISO 27001 ou ayant un SMSI structuré peuvent réduire ce délai à 6-12 mois selon l'analyse d'écart initiale.

Qu'est-ce que le ReCyF de l'ANSSI et quel est son lien avec NIS2 ?

Le Référentiel Cyber France (ReCyF), publié le 17 mars 2026, est le cadre opérationnel français qui décline les exigences NIS2 en mesures concrètes. Structuré en 4 piliers (Gouvernance, Protection, Défense, Résilience) et 22 domaines, il servira de base à l'audit de conformité des entités en France. Son respect sera opposable lors des contrôles ANSSI.

Votre entité est-elle concernée par NIS2 ?

En quelques questions, notre outil de diagnostic identifie votre catégorie d'entité, vos obligations prioritaires et les premières actions à engager pour votre mise en conformité.

Demander un diagnostic de conformité
Vérifier ma conformité NIS2