NIS2, de quoi parle-t-on exactement ?
NIS2 est une directive de l'Union européenne adoptée fin 2022 dans le but d'élever le niveau global de cybersécurité au sein du marché unique. Elle remplace la première directive NIS, jugée trop limitée : là où NIS1 ne visait en France qu'environ 500 opérateurs, NIS2 étend son champ à environ 15 000 entités, publiques comme privées. Le changement d'échelle est donc massif, et beaucoup d'entreprises qui ne se sentaient pas concernées par la réglementation cyber le deviennent. L'esprit du texte repose sur trois piliers : la responsabilisation des organes de direction, qui doivent approuver et superviser les mesures de cybersécurité ; une approche par la gestion des risques, proportionnée à la taille et à l'exposition de l'organisation ; et une obligation de signalement rapide des incidents à l'autorité nationale, en France l'ANSSI (Agence nationale de la sécurité des systèmes d'information). NIS2 introduit aussi une logique de sécurité de la chaîne d'approvisionnement : une grande entreprise conforme exigera de ses fournisseurs qu'ils le soient également.Où en est la transposition française à l'été 2026 ?
La transposition de NIS2 en droit français a pris du retard : la date limite européenne était fixée à octobre 2024. Le véhicule législatif retenu est le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, souvent appelé « loi résilience ». Il a été adopté par le Sénat en mars 2025, puis examiné par une commission spéciale à l'Assemblée nationale à l'automne 2025. L'examen en séance publique à l'Assemblée nationale est attendu à l'été 2026, dans le cadre de la session extraordinaire du Parlement ouverte le 1er juillet 2026, avec une promulgation espérée dans la foulée. Il faut toutefois rester prudent sur le calendrier : au moment de la convocation de cette session extraordinaire, le texte ne figurait pas encore explicitement à l'ordre du jour, et plusieurs acteurs de la filière, dont la Commission supérieure du numérique et des postes, ont publiquement pressé le Parlement d'accélérer. Une fois la loi promulguée, l'ANSSI publiera des décrets et arrêtés précisant les référentiels techniques à respecter. L'agence n'a pas attendu la loi pour outiller les entreprises. Elle a mis en ligne le portail MonEspaceNIS2 pour aider les organisations à s'auto-évaluer, et a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. La date limite de mise en conformité complète est envisagée autour de la fin 2027 : cela laisse du temps, mais la construction d'un dispositif de cybersécurité robuste se compte en mois, pas en semaines.Votre entreprise est-elle concernée ?
NIS2 vise 18 secteurs d'activité, répartis entre secteurs « hautement critiques » (énergie, transport, banque, infrastructures numériques, santé, eau potable et eaux usées, administrations publiques, espace...) et « autres secteurs critiques » (services postaux, gestion des déchets, produits chimiques, agroalimentaire, fabrication de dispositifs médicaux, d'équipements électroniques ou de machines, fournisseurs numériques, recherche...). La directive distingue ensuite deux catégories d'entités, selon leur taille et leur importance.- Entités essentielles (EE) : grandes organisations des secteurs hautement critiques, généralement à partir de 250 salariés, ou d'un chiffre d'affaires supérieur à 50 millions d'euros, ou d'un bilan supérieur à 43 millions d'euros. Elles sont soumises à une supervision proactive de l'ANSSI (audits, contrôles).
- Entités importantes (EI) : organisations de taille intermédiaire, typiquement entre 50 et 249 salariés, ou de 10 à 50 millions d'euros de chiffre d'affaires, ou de 10 à 43 millions d'euros de bilan. Elles font l'objet d'une supervision a posteriori, déclenchée notamment en cas d'incident.
Quelles obligations concrètes pour les entreprises ?
NIS2 ne fournit pas une simple liste de cases à cocher : elle impose une démarche de gestion des risques cohérente et documentée. Les mesures attendues couvrent plusieurs domaines : analyse de risque et politique de sécurité des systèmes d'information, gestion des incidents, continuité d'activité et sauvegardes, sécurité de la chaîne d'approvisionnement, sécurité du développement et de la maintenance, politiques de chiffrement, contrôle des accès et authentification multifacteur, ainsi que la sensibilisation et la formation du personnel. L'obligation la plus structurante au quotidien est le signalement des incidents significatifs à l'ANSSI, selon une séquence en trois temps. Elle est déjà exigée pour certaines entités et deviendra la norme :- Sous 24 heures : une alerte précoce décrivant l'incident et sa nature suspectée.
- Sous 72 heures : une notification complète comprenant une première analyse, la gravité et l'impact estimés.
- Sous un mois : un rapport final détaillant l'analyse complète, les mesures prises et les enseignements tirés.
Sanctions : ce que risque concrètement le dirigeant
NIS2 s'accompagne d'un régime de sanctions dissuasif, calibré sur le modèle du RGPD. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial. Au-delà des amendes, la responsabilité personnelle des dirigeants peut être engagée en cas de manquement grave ou répété, notamment sur les obligations de supervision et de formation. Le projet de loi français prévoit une mesure inédite dans le droit cyber national : la possibilité, pour l'ANSSI, de prononcer une interdiction temporaire d'exercer des fonctions de direction. Autrement dit, la cybersécurité devient une responsabilité personnelle du chef d'entreprise, et non plus un risque abstrait porté par la seule structure.Feuille de route : par où commencer dès maintenant
Attendre la promulgation de la loi pour agir serait une erreur : les délais de mise en œuvre techniques et organisationnels sont longs. Voici une trajectoire réaliste pour une PME ou une ETI régionale.- Déterminer si vous êtes concerné. Croisez votre secteur d'activité, vos effectifs et vos données financières avec les critères d'entités essentielles et importantes. En cas de doute, l'auto-évaluation via MonEspaceNIS2 constitue un bon point de départ.
- Réaliser un état des lieux. Cartographiez vos systèmes d'information, vos données sensibles et vos dépendances externes, puis conduisez une analyse de risque pour identifier vos vulnérabilités prioritaires.
- Combler les écarts fondamentaux. Sauvegardes testées, authentification multifacteur, gestion des correctifs, cloisonnement du réseau et plan de réponse aux incidents constituent le socle minimal.
- Structurer la gouvernance. Désignez un référent cybersécurité, formalisez une politique de sécurité et faites monter en compétence la direction sur ses nouvelles responsabilités.
- Sécuriser la chaîne d'approvisionnement. Intégrez des clauses de cybersécurité à vos contrats fournisseurs et anticipez les exigences de vos propres clients.
- Préparer le signalement. Mettez en place la procédure interne permettant de respecter les délais de 24 heures, 72 heures et un mois en cas d'incident.
Se faire accompagner dans les Hauts-de-France
La région dispose d'un atout de premier plan : le Campus Cyber Hauts-de-France Lille Métropole. Opéré par EuraTechnologies et largement financé par la Métropole européenne de Lille et la Région Hauts-de-France, ce lieu de 3 000 m² installé dans le bâtiment WENOV à Lille est devenu l'un des plus grands centres d'innovation cyber d'Europe. Il fédère les acteurs publics et privés de la filière, oriente et accompagne les entreprises, et met à disposition un Cyber Range, un simulateur d'attaques permettant de s'entraîner à la réponse à incident. L'accompagnement des PME et TPE figure explicitement parmi ses axes prioritaires. La Région finance par ailleurs des diagnostics de cybersécurité réalisés dans les PME et TPE et forme des référents cyber. Au niveau national, deux ressources publiques sont incontournables : le portail MonEspaceNIS2 de l'ANSSI, pour l'auto-évaluation et le suivi de conformité, et France Num, le dispositif de l'État pour la transformation numérique des TPE-PME, qui relaie régulièrement des actions de sensibilisation cyber sur le territoire. S'appuyer sur ces relais permet de mutualiser les coûts et d'éviter les erreurs de débutant.Ressources officielles à consulter
- ANSSI — La directive NIS 2
- MonEspaceNIS2 — s'auto-évaluer et suivre sa conformité
- Campus Cyber Hauts-de-France Lille Métropole
- France Num — accompagnement numérique des TPE-PME
Questions fréquentes sur NIS2
NIS2 s'applique-t-elle déjà aux entreprises françaises ?
La directive est en vigueur au niveau européen, mais son application concrète en France dépend de la loi de transposition (dite « loi résilience »), attendue à l'été 2026, puis des décrets de l'ANSSI. Certaines obligations, comme le signalement des incidents significatifs, sont toutefois déjà effectives pour une partie des entités.
Ma PME de 60 salariés est-elle concernée ?
Potentiellement oui, si elle relève d'un des 18 secteurs visés et dépasse les seuils des entités importantes (50 à 249 salariés, ou 10 à 50 millions d'euros de chiffre d'affaires). Et même en dessous des seuils, vous pouvez être soumis à des exigences par le biais de vos clients assujettis.
Quel est le délai pour signaler un incident ?
La séquence est de 24 heures pour une alerte précoce, 72 heures pour une notification complète, et un mois pour un rapport final adressé à l'ANSSI.
Quelles sanctions en cas de non-conformité ?
Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % pour les entités importantes. La responsabilité personnelle du dirigeant peut être engagée, avec une possible interdiction temporaire d'exercer.
Où trouver de l'aide dans les Hauts-de-France ?
Le Campus Cyber Hauts-de-France Lille Métropole, opéré par EuraTechnologies, accompagne les entreprises du territoire. La Région finance des diagnostics cyber pour les PME-TPE, et les portails nationaux MonEspaceNIS2 et France Num complètent le dispositif.
NIS2 marque un tournant : la cybersécurité devient une obligation légale, assortie de sanctions réelles et d'une responsabilité personnelle du dirigeant. Pour les PME et ETI des Hauts-de-France, l'enjeu dépasse la seule conformité juridique : c'est aussi une condition d'accès aux marchés des grands donneurs d'ordre et un facteur de résilience face à des cyberattaques toujours plus fréquentes. Le calendrier législatif reste incertain, mais la meilleure stratégie ne change pas : engager dès maintenant, à son rythme et en s'appuyant sur les relais régionaux, une démarche structurée de sécurité numérique.