FACTUALRISK Cyber Intelligence
Mise à jour : 19 Jul 2026 · 06:02
← Accueil
🗞 Briefing
💥 Menaces
🛡 Vulnérabilités
📋 Conformité
📚 Guides
← Retour FactualRisk
IntelligenceGuidesNIS2 pour une PME

NIS2 fait passer le nombre d'entreprises françaises soumises à des obligations de cybersécurité de quelques centaines à plus de 15 000. Beaucoup de PME et ETI découvrent qu'elles sont concernées sans l'avoir anticipé. Ce guide répond précisément à deux questions : suis-je dans le périmètre ? et qu'est-ce que je dois concrètement mettre en place ?

L'essentiel décideur
Vous êtes probablement concerné si vous remplissez deux conditions à la fois : (1) opérer dans l'un des 18 secteurs couverts, et (2) dépasser les seuils de taille (à partir de 50 salariés ou 10 M€ de chiffre d'affaires). Vous serez alors classé entité essentielle (grandes entreprises des secteurs les plus critiques) ou entité importante (moyennes entreprises). Dans les deux cas, vous devez mettre en place des mesures de sécurité, notifier vos incidents rapidement, et — nouveauté majeure — votre direction est personnellement responsable et doit se former. En France, la loi de transposition (loi « Résilience ») est en cours d'examen — vote attendu en juillet 2026, conformité visée au 17 octobre 2026. Et surtout : un règlement européen est déjà applicable aujourd'hui pour certains acteurs numériques (cloud, MSP, hébergeurs…), sans attendre la loi française. L'ANSSI recommande de se préparer dès maintenant.
Suis-je concerné par NIS2 — et dans quelle catégorie ?
1 · Mon secteur est-il listé ?Annexe I ou II — 18 secteursHors périmètre(mais bonnes pratiques !)non2 · Quelle taille ?salariés / CA / bilanouiEntité ESSENTIELLEAnnexe I + ≥250 sal.OU ≥50 M€ CAEntité IMPORTANTE50–249 sal. OU10–50 M€ CAMicroentreprise< 50 sal. ET < 10 M€souvent exclue*EE = supervision proactive · EI = contrôle sur incidentDans les deux cas : mêmes obligations de sécurité + notification d'incident

*Des exceptions existent (ex. fournisseurs d'infrastructures numériques critiques concernés quelle que soit leur taille). En cas de doute, l'ANSSI fait foi. Seuils indicatifs selon la transposition en cours.

18 secteurs couverts : Annexe I (essentielles) vs Annexe II (importantes)
Annexe I — Haute criticitétendance : entités ESSENTIELLESÉnergieTransportsBanque / FinanceSantéEau & eaux uséesInfrastructures numériquesGestion de services TIC (MSP)EspaceAdministration publiqueAnnexe II — Autres secteurstendance : entités IMPORTANTESServices postauxGestion des déchetsChimieAgroalimentaireFabrication / industrieFournisseurs numériquesRecherche

L'appartenance à l'Annexe I ou II oriente la catégorie (essentielle / importante), mais la taille entre aussi en compte. Liste indicative — référez-vous au texte officiel pour le détail des sous-secteurs.

Étape 1 — Suis-je concerné ? technique

Outil gratuit
Réponse personnalisée en 2 minutes. 6 questions, verdict immédiat : essentielle, importante, concernée indirectement ou hors périmètre. Lancer le checker NIS2 →

L'éligibilité repose sur la combinaison secteur + taille.

Le critère secteur. NIS2 couvre 18 secteurs, répartis en deux annexes :

  • Annexe I (haute criticité) : énergie, transports, banque et marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (DNS, datacenters, cloud, réseaux), gestion de services TIC (MSP/MSSP), espace, administration publique.
  • Annexe II (autres secteurs critiques) : services postaux, gestion des déchets, fabrication/industrie, agroalimentaire, chimie, fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.

Le critère taille — la règle exacte. NIS2 s'appuie sur la définition européenne des entreprises (recommandation 2003/361/CE). Le point que tout le monde rate : on franchit un seuil dès qu'on dépasse UN seul des critères (c'est un « OU »), pas tous à la fois.

Catégorie UEEffectifCA / BilanStatut NIS2 (secteur couvert)
Micro< 10≤ 2 M€Hors périmètre*
Petite< 50≤ 10 M€Hors périmètre*
Moyenne< 250≤ 50 M€ CA / ≤ 43 M€ bilanEntité importante (en général)
Grande≥ 250OU > 50 M€ CA OU > 43 M€ bilanEntité essentielle si Annexe I

Seuil d'entrée concret : vous êtes dans le périmètre dès que vous atteignez ≥ 50 salariés OU > 10 M€ de CA OU > 10 M€ de bilan (et que votre secteur est couvert). Pas besoin de cumuler. Régime : l'entité essentielle subit un contrôle proactif (ex ante), l'entité importante un contrôle sur incident (ex post) — mais les deux ont les mêmes obligations de fond.

Trois pièges classiques :

  • Le bilan compte aussi. Une PME de 40 personnes mais au bilan supérieur à 10 M€ peut être concernée. Ne regardez pas que l'effectif.
  • Les groupes s'agrègent. Si vous êtes filiale, les effectifs et chiffres des entités liées peuvent être consolidés (règles 2003/361/CE). Une « petite » filiale d'un grand groupe peut basculer dans le périmètre.
  • La taille ne sauve pas tout le monde. Certains acteurs sont concernés quelle que soit leur taille — y compris sous les seuils : fournisseurs de DNS, registres de noms de domaine, prestataires de services de confiance, certains fournisseurs de réseaux et communications électroniques, et certaines administrations.

L'effet ricochet. Même hors périmètre, si vous êtes sous-traitant ou fournisseur d'une entité NIS2, celle-ci vous imposera contractuellement des exigences de sécurité (au titre de sa propre obligation « chaîne d'approvisionnement »). Vous êtes alors embarqué indirectement, par le contrat — souvent avant même la loi. En cas de doute sur votre périmètre : l'ANSSI fait foi.

Le piège que personne ne voit : un règlement européen déjà applicable technique

Tout le débat public tourne autour de la loi Résilience « pas encore votée ». C'est un faux confort. Le règlement d'exécution (UE) 2024/2690 du 17 octobre 2024 est un règlement, pas une directive : il est d'application directe dans tous les États membres, France comprise, sans aucune transposition nationale. Il est donc déjà opposable.

Ce règlement vise un périmètre précis d'acteurs du numérique et fixe pour eux des exigences techniques et méthodologiques détaillées, ainsi que les critères qui qualifient un incident d'« important » (donc à notifier). Les entités concernées :

  • Fournisseurs de services DNS et registres de noms de domaine de premier niveau ;
  • Fournisseurs de services d'informatique en nuage (cloud) ;
  • Fournisseurs de services de centres de données (datacenters) ;
  • Fournisseurs de réseaux de diffusion de contenu (CDN) ;
  • MSP (services gérés) et MSSP (services de sécurité gérés) ;
  • Places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux ;
  • Prestataires de services de confiance.

Pourquoi ça vous concerne, vous, PME tech. Si vous êtes une ESN, un hébergeur, un éditeur SaaS opérant une infra cloud, un MSP/MSSP ou un infogéreur, vous tombez potentiellement dans ce périmètre. Et le projet de loi français le confirme : son article 14 renvoie explicitement au règlement 2024/2690 pour définir les mesures applicables à ces acteurs. Autrement dit, votre socle technique minimal est déjà fixé au niveau européen.

À retenir : si vous êtes dans ce périmètre, la bonne question n'est pas « quand la loi sera-t-elle votée ? » mais « suis-je capable, aujourd'hui, de démontrer que mes mesures et ma gestion d'incident répondent déjà au règlement 2024/2690 ? »

Étape 2 — Les mesures de l'article 21, traduites en actes

La directive liste dix familles de mesures « proportionnées au risque ». Le problème, c'est que la liste reste abstraite. Voici, pour chacune, ce que ça veut dire concrètement et la preuve qu'un contrôleur attendra.

Mesure (art. 21)Concrètement pour une PMEPreuve attendue
Analyse de risque & politique SSICartographier actifs et menaces, politique signée par la directionPSSI datée + analyse de risque révisée
Gestion des incidentsProcédure détection → qualification → notification, rôles désignésProcédure IR + journal d'incidents
Continuité d'activitéSauvegardes testées, PRA/PCA, gestion de criseComptes-rendus de tests de restauration
Sécurité chaîne d'appro.Clauses cyber dans les contrats, évaluation des prestataires critiquesClauses contractuelles + grille d'éval fournisseurs
Acquisition / dev / maintenanceGestion des vulnérabilités et correctifs, divulgation coordonnéePolitique de patch + délais de remédiation
Évaluation de l'efficacitéMesurer que les mesures marchent (audits, tests, indicateurs)Rapports d'audit / tests d'intrusion
Hygiène cyber & formationSensibilisation régulière de tous les collaborateursAttestations de formation, taux de complétion
CryptographiePolitique de chiffrement (données au repos / en transit)Politique crypto + inventaire des usages
RH, contrôle d'accès, actifsArrivées/départs, moindre privilège, inventaire des actifsMatrice d'habilitations + revue d'accès
MFA & comms sécuriséesMFA généralisée, communications d'urgence sécuriséesCouverture MFA + plan de comms de crise

Le fil rouge que tout le monde sous-estime : la preuve. NIS2 ne demande pas seulement de faire, mais de démontrer qu'on fait. Passer de « on pense être conformes » à « on peut le prouver » est exactement le travail qui prend des mois — d'où l'intérêt de commencer tôt. Le ReCyF de l'ANSSI sert de grille pour structurer ces preuves.

Étape 3 — Notifier, oui — mais notifier quoi ?

Le calendrier de notification ne sert à rien si vous ne savez pas ce qui déclenche l'obligation. Un incident est significatif (donc à notifier) dès lors qu'il :

  • a causé ou peut causer une perturbation opérationnelle grave du service ou des pertes financières pour l'entité ; ou
  • a affecté ou peut affecter d'autres personnes (clients, tiers) en causant des dommages matériels ou immatériels considérables.

Pour les acteurs numériques visés par le règlement 2024/2690 (cloud, DNS, datacenters, MSP/MSSP…), ce seuil est précisé par des critères quantitatifs (durée d'indisponibilité, nombre d'utilisateurs touchés, étendue géographique). Pour ces acteurs, c'est chiffré — fini le flou.

Le calendrier européen s'applique alors, via les plateformes de l'ANSSI :

ÉchéanceContenu
24 h — alerte précoceIncident grave ? Soupçon d'origine malveillante ou transfrontière ?
72 h — notificationÉvaluation gravité / impact, indicateurs de compromission
Sur demandeRapport(s) intermédiaire(s) si l'autorité le réclame
1 mois — rapport finalDescription détaillée, cause racine, mesures correctives

Le réflexe à installer maintenant : un arbre de décision écrit (« cet événement est-il significatif ? oui → qui notifie, sur quelle plateforme, sous quel délai »), un contact ANSSI pré-établi, et un modèle de notification prêt à remplir. Une notification improvisée à H+20 sous le stress d'une crise est une notification ratée.

Étape 4 — Gouvernance, responsabilité, sanctions décideur

C'est la rupture culturelle de NIS2 : la cybersécurité n'est plus délégable au seul DSI. Au titre de l'article 20, les organes de direction doivent :

  • Approuver les mesures de gestion des risques cyber ;
  • Superviser leur mise en œuvre (ce n'est pas « signer puis oublier ») ;
  • Suivre une formation à la cybersécurité — obligation explicite, pas une recommandation ;
  • Et ils peuvent être tenus personnellement responsables en cas de manquement.

Selon la transposition, les autorités peuvent prononcer des sanctions visant les dirigeants et, pour les entités essentielles, aller jusqu'à des mesures de suspension temporaire de fonctions de direction dans les cas les plus graves. Le message est clair : un dirigeant qui ne peut pas démontrer qu'il a piloté le sujet s'expose personnellement.

Sanctions financières (selon la transposition) : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour une entité essentielle, jusqu'à 7 M€ ou 1,4 % pour une entité importante — le montant le plus élevé étant retenu.

Le calendrier réel de la transposition

DateÉtape
14 déc. 2022Adoption de la directive NIS2 (UE 2022/2555)
16 janv. 2023Entrée en vigueur de la directive
15 oct. 2024Présentation du projet de loi « Résilience » au Conseil des ministres
17 oct. 2024Date limite de transposition UE — non respectée par la France
17 oct. 2024Entrée en application du règlement d'exécution 2024/2690 (directement applicable)
11–12 mars 2025Adoption du projet de loi au Sénat (1re lecture)
7 mai 2025Avis motivé de la Commission européenne à la France
10 sept. 2025Vote en commission spéciale à l'Assemblée nationale
17 mars 2026Publication du Référentiel Cyber France (ReCyF) par l'ANSSI
Juillet 2026Examen en séance publique à l'Assemblée nationale (vote attendu)
17 oct. 2026Date butoir de conformité — la fenêtre réelle est courte
Une mise en conformité sérieuse demande 12 à 24 mois (gap analysis, gouvernance, procédures, déploiement, preuves). Démarrer après le vote, c'est mécaniquement rater la cible. Le ReCyF (publié le 17 mars 2026) est, à ce jour, la feuille de route opérationnelle de référence ; l'ANSSI a aussi ouvert MonEspaceNIS2 au pré-enregistrement volontaire. Cette page est informative et ne constitue pas un conseil juridique — la référence reste l'ANSSI et le texte voté.

NIS2, DORA, CER, CRA : ne pas tout confondre

On mélange souvent NIS2 avec d'autres textes cyber européens. Repère rapide :

  • NIS2 — cybersécurité des entités de 18 secteurs (le sujet de ce guide).
  • DORA — résilience opérationnelle du secteur financier (banques, assurances, prestataires TIC du finance). Calendrier et autorité propres ; prime sur NIS2 pour les entités financières (lex specialis).
  • CER (résilience des entités critiques) — volet physique (continuité, protection des infrastructures), transposée en parallèle dans la même loi « Résilience ».
  • Cyber Resilience Act (CRA) — sécurité des produits numériques (matériels et logiciels mis sur le marché) ; cible les fabricants/éditeurs, calendrier propre.

En clair : NIS2 = comment vous opérez votre cybersécurité ; CRA = sécurité des produits que vous vendez ; DORA = règle du secteur financier ; CER = résilience physique.

Votre plan d'action (sans attendre la loi)

  • 1. Statuez sur votre périmètre. Croisez votre secteur (Annexe I/II) et vos seuils. Vérifiez si vous tombez dans le périmètre du règlement 2024/2690 (cloud, MSP/MSSP, hébergeur…) et si un client NIS2 vous impose des exigences. En cas de doute : ANSSI.
  • 2. Faites un état des lieux (gap analysis) au regard des 10 mesures de l'article 21 : où en êtes-vous, qu'est-ce qui manque ? Le référentiel ReCyF de l'ANSSI sert de feuille de route.
  • 3. Priorisez les fondamentaux : inventaire, MFA, sauvegardes testées, gestion des vulnérabilités, gestion des accès, sécurité fournisseurs.
  • 4. Formalisez la réponse à incident : un plan écrit + le réflexe de notification 24/72h, contact ANSSI préétabli, et l'arbre de décision « incident significatif ? ».
  • 5. Embarquez la direction : décision, budget, formation tracée. C'est une obligation, pas une option.
  • 6. Pré-enregistrez-vous sur MonEspaceNIS2 si pertinent, pour recevoir les guidances de l'ANSSI.

Cinq idées reçues qui coûtent cher

« On attend que la loi soit votée. » Faux confort. Le règlement 2024/2690 est déjà applicable pour les acteurs numériques, vos clients NIS2 vous imposent déjà des clauses, et la date butoir de conformité (17 oct. 2026) tombe quelques mois après le vote. Attendre = sprinter dans l'impossible.

« On est trop petits. » Pas forcément. Le seuil d'entrée est bas (≥ 50 salariés OU > 10 M€), le bilan compte, les groupes s'agrègent, et certains acteurs sont concernés quelle que soit leur taille.

« C'est un sujet purement DSI. » Non. L'article 20 met la direction en première ligne, avec formation obligatoire et responsabilité personnelle.

« Il suffit d'un antivirus et d'un firewall. » Non. NIS2 demande une démarche de gestion des risques documentée et prouvable : analyse de risque, MFA, sauvegardes testées, gestion des vulnérabilités, sécurité fournisseurs, réponse à incident — et la preuve que tout cela fonctionne.

« On verra à l'incident. » Trop tard. La notification à 24 h sous le stress d'une crise, sans procédure ni contact ANSSI pré-établi, est ingérable. La préparation se fait à froid.

La veille des vulnérabilités et la priorisation — au cœur de FactualRisk — couvrent déjà une partie du volet « gestion du risque » et « gestion des vulnérabilités » attendu. Pour la démarche complète (gap analysis, gouvernance, procédures, plan de réponse), c'est exactement le type d'accompagnement que je propose aux PME et ETI.

NIS2 raises the number of French companies subject to cybersecurity obligations from a few hundred to more than 15,000. Many SMEs and mid-caps are discovering they're in scope without having anticipated it. This guide answers two precise questions: am I in scope? and what must I concretely put in place?

The essentials exec
You're likely in scope if you meet two conditions at once: (1) operating in one of the 18 covered sectors, and (2) exceeding the size thresholds (from 50 employees or €10M turnover). You'll then be classified as an essential entity (large companies in the most critical sectors) or an important entity (medium-sized companies). In both cases you must implement security measures, report incidents quickly, and — a major change — your management is personally liable and must be trained. In France, the transposition law (the « Résilience » law) is still going through Parliament — a vote is expected in July 2026, with compliance targeted for 17 October 2026. And above all: an EU regulation already applies today to certain digital players (cloud, MSPs, hosting providers…), without waiting for the French law. ANSSI recommends preparing now.
Suis-je concerné par NIS2 — et dans quelle catégorie ?
1 · Mon secteur est-il listé ?Annexe I ou II — 18 secteursHors périmètre(mais bonnes pratiques !)non2 · Quelle taille ?salariés / CA / bilanouiEntité ESSENTIELLEAnnexe I + ≥250 sal.OU ≥50 M€ CAEntité IMPORTANTE50–249 sal. OU10–50 M€ CAMicroentreprise< 50 sal. ET < 10 M€souvent exclue*EE = supervision proactive · EI = contrôle sur incidentDans les deux cas : mêmes obligations de sécurité + notification d'incident

*Des exceptions existent (ex. fournisseurs d'infrastructures numériques critiques concernés quelle que soit leur taille). En cas de doute, l'ANSSI fait foi. Seuils indicatifs selon la transposition en cours.

18 secteurs couverts : Annexe I (essentielles) vs Annexe II (importantes)
Annexe I — Haute criticitétendance : entités ESSENTIELLESÉnergieTransportsBanque / FinanceSantéEau & eaux uséesInfrastructures numériquesGestion de services TIC (MSP)EspaceAdministration publiqueAnnexe II — Autres secteurstendance : entités IMPORTANTESServices postauxGestion des déchetsChimieAgroalimentaireFabrication / industrieFournisseurs numériquesRecherche

L'appartenance à l'Annexe I ou II oriente la catégorie (essentielle / importante), mais la taille entre aussi en compte. Liste indicative — référez-vous au texte officiel pour le détail des sous-secteurs.

Step 1 — Am I in scope? technical

Free tool
Personalised answer in 2 minutes. 6 questions, instant verdict: essential, important, indirectly affected or out of scope. Run the NIS2 checker →

Eligibility rests on the combination of sector + size.

The sector criterion. NIS2 covers 18 sectors, split across two annexes:

  • Annex I (high criticality): energy, transport, banking and financial markets, health, drinking water, waste water, digital infrastructure (DNS, datacenters, cloud, networks), ICT service management (MSP/MSSP), space, public administration.
  • Annex II (other critical sectors): postal services, waste management, manufacturing/industry, food, chemicals, digital providers (online marketplaces, search engines, social networks), research.

The size criterion — the exact rule. NIS2 relies on the EU definition of companies (Recommendation 2003/361/EC). The point everyone misses: you cross a threshold as soon as you exceed a SINGLE criterion (it's an « OR »), not all of them at once.

EU categoryHeadcountTurnover / Balance sheetNIS2 status (covered sector)
Micro< 10≤ €2MOut of scope*
Small< 50≤ €10MOut of scope*
Medium< 250≤ €50M turnover / ≤ €43M balance sheetImportant entity (generally)
Large≥ 250OR > €50M turnover OR > €43M balance sheetEssential entity if Annex I

Concrete entry threshold: you're in scope as soon as you reach ≥ 50 employees OR > €10M turnover OR > €10M balance sheet (and your sector is covered). No need to cumulate. Regime: essential entities face proactive (ex ante) supervision, important entities incident-driven (ex post) supervision — but both carry the same substantive obligations.

Three classic traps:

  • The balance sheet counts too. An SME with 40 staff but a balance sheet above €10M can be in scope. Don't look only at headcount.
  • Groups are aggregated. If you're a subsidiary, the headcount and figures of linked entities can be consolidated (2003/361/EC rules). A « small » subsidiary of a large group can tip into scope.
  • Size doesn't save everyone. Some players are in scope regardless of size — including below the thresholds: DNS providers, top-level domain name registries, trust service providers, certain providers of electronic communications networks and services, and some public administrations.

The ripple effect. Even out of scope, if you're a subcontractor or supplier to a NIS2 entity, it will impose security requirements on you contractually (under its own « supply chain » obligation). You're then pulled in indirectly, by contract — often before the law itself. If in doubt about your scope: ANSSI is the authority.

The trap nobody sees: an EU regulation already in force technical

The whole public debate revolves around the « not yet voted » Résilience law. That's false comfort. Implementing Regulation (EU) 2024/2690 of 17 October 2024 is a regulation, not a directive: it is directly applicable in every Member State, France included, without any national transposition. It is therefore already enforceable.

It targets a precise set of digital players and sets out detailed technical and methodological requirements for them, plus the criteria that qualify an incident as « significant » (and therefore reportable). The entities concerned:

  • DNS service providers and top-level domain name registries;
  • Cloud computing service providers;
  • Data center service providers;
  • Content delivery network (CDN) providers;
  • MSPs (managed services) and MSSPs (managed security services);
  • Online marketplaces, search engines, social networking platforms;
  • Trust service providers.

Why this concerns you, the tech SME. If you're an IT services firm, a hosting provider, a SaaS vendor operating cloud infrastructure, an MSP/MSSP or a managed IT provider, you potentially fall within this scope. And the French bill confirms it: its Article 14 explicitly refers to Regulation 2024/2690 to define the measures applicable to these players. In other words, your minimum technical baseline is already set at EU level.

Bottom line: if you're in this scope, the right question isn't « when will the law be voted? » but « can I demonstrate, today, that my measures and incident handling already meet Regulation 2024/2690? »

Step 2 — The Article 21 measures, turned into action

The directive lists ten families of measures « proportionate to risk ». The problem is that the list stays abstract. Here, for each one, is what it means concretely and the proof a supervisor will expect.

Measure (Art. 21)Concretely for an SMEExpected proof
Risk analysis & IS security policyMap assets and threats, policy signed by managementDated ISSP + reviewed risk analysis
Incident handlingProcedure detection → triage → notification, named rolesIR procedure + incident log
Business continuityTested backups, DR/BC plans, crisis managementRestoration test reports
Supply chain securityCyber clauses in contracts, assessment of critical providersContractual clauses + supplier assessment grid
Acquisition / dev / maintenanceVulnerability and patch management, coordinated disclosurePatch policy + remediation timelines
Effectiveness assessmentMeasure that the measures work (audits, tests, indicators)Audit / penetration test reports
Cyber hygiene & trainingRegular awareness for all staffTraining certificates, completion rates
CryptographyEncryption policy (data at rest / in transit)Crypto policy + inventory of uses
HR, access control, assetsJoiners/leavers, least privilege, asset inventoryAccess matrix + access review
MFA & secure commsMFA rolled out, secure emergency communicationsMFA coverage + crisis comms plan

The thread everyone underestimates: proof. NIS2 doesn't only require you to do, but to demonstrate that you do. Moving from « we think we're compliant » to « we can prove it » is exactly the work that takes months — hence the value of starting early. ANSSI's ReCyF serves as a grid to structure that evidence.

Step 3 — Report, yes — but report what?

The notification timeline is useless if you don't know what triggers the obligation. An incident is significant (and therefore reportable) as soon as it:

  • has caused or can cause a serious operational disruption of the service or financial loss for the entity; or
  • has affected or can affect other persons (customers, third parties) by causing considerable material or non-material damage.

For the digital players covered by Regulation 2024/2690 (cloud, DNS, datacenters, MSP/MSSP…), this threshold is specified by quantitative criteria (downtime duration, number of users affected, geographic spread). For them, it's quantified — no more guesswork.

The EU timeline then applies, via ANSSI's platforms:

DeadlineContent
24 h — early warningSerious incident? Suspected malicious or cross-border origin?
72 h — notificationSeverity / impact assessment, indicators of compromise
On requestInterim report(s) if the authority asks
1 month — final reportDetailed description, root cause, corrective measures

The reflex to build now: a written decision tree (« is this event significant? yes → who notifies, on which platform, within what deadline »), a pre-established ANSSI contact, and a notification template ready to fill. A notification improvised at H+20 under crisis stress is a failed notification.

Step 4 — Governance, liability, penalties exec

This is NIS2's cultural break: cybersecurity can no longer be delegated to the CIO alone. Under Article 20, management bodies must:

  • Approve the cyber risk management measures;
  • Oversee their implementation (not « sign then forget »);
  • Undergo training in cybersecurity — an explicit obligation, not a recommendation;
  • And they can be held personally liable in case of breach.

Depending on the transposition, authorities can impose sanctions targeting executives and, for essential entities, go as far as temporarily suspending management duties in the most serious cases. The message is clear: an executive who cannot demonstrate they steered the topic is personally exposed.

Financial penalties (depending on the transposition): up to €10M or 2% of global turnover for an essential entity, up to €7M or 1.4% for an important entity — whichever is higher.

The real transposition timeline

DateStep
14 Dec 2022Adoption of the NIS2 directive (EU 2022/2555)
16 Jan 2023Directive enters into force
15 Oct 2024« Résilience » bill presented to the Council of Ministers
17 Oct 2024EU transposition deadline — missed by France
17 Oct 2024Implementing Regulation 2024/2690 enters into application (directly applicable)
11–12 Mar 2025Bill adopted by the Senate (first reading)
7 May 2025Reasoned opinion from the European Commission to France
10 Sep 2025Vote in the National Assembly's special committee
17 Mar 2026ANSSI publishes the Référentiel Cyber France (ReCyF)
July 2026Floor debate in the National Assembly (vote expected)
17 Oct 2026Compliance deadline — the real window is short
Serious compliance takes 12 to 24 months (gap analysis, governance, procedures, deployment, evidence). Starting after the vote means mechanically missing the target. The ReCyF (published 17 March 2026) is, to date, the reference operational roadmap; ANSSI has also opened MonEspaceNIS2 for voluntary pre-registration. This page is informational and does not constitute legal advice — the reference remains ANSSI and the enacted text.

NIS2, DORA, CER, CRA: don't mix them up

NIS2 is often confused with other EU cyber texts. Quick reference:

  • NIS2 — cybersecurity of entities across 18 sectors (the subject of this guide).
  • DORA — operational resilience of the financial sector (banks, insurers, financial ICT providers). Its own timeline and authority; takes precedence over NIS2 for financial entities (lex specialis).
  • CER (critical entities resilience) — the physical dimension (continuity, protection of infrastructure), transposed in parallel within the same « Résilience » law.
  • Cyber Resilience Act (CRA) — security of digital products (hardware and software placed on the market); targets manufacturers/vendors, its own timeline.

In short: NIS2 = how you operate your cybersecurity; CRA = security of the products you sell; DORA = the financial sector rule; CER = physical resilience.

Your action plan (without waiting for the law)

  • 1. Settle your scope. Cross-check your sector (Annex I/II) and your thresholds. Check whether you fall under Regulation 2024/2690 (cloud, MSP/MSSP, hosting…) and whether a NIS2 client imposes requirements on you. If in doubt: ANSSI.
  • 2. Run a gap analysis against the 10 Article 21 measures: where do you stand, what's missing? ANSSI's ReCyF serves as the roadmap.
  • 3. Prioritize the fundamentals: inventory, MFA, tested backups, vulnerability management, access management, supplier security.
  • 4. Formalize incident response: a written plan + the 24/72h notification reflex, a pre-established ANSSI contact, and the « is this incident significant? » decision tree.
  • 5. Bring management on board: decision, budget, documented training. It's an obligation, not an option.
  • 6. Pre-register on MonEspaceNIS2 if relevant, to receive ANSSI guidance.

Five costly misconceptions

« We'll wait until the law is voted. » False comfort. Regulation 2024/2690 already applies to digital players, your NIS2 clients are already imposing clauses, and the compliance deadline (17 Oct 2026) falls just months after the vote. Waiting = sprinting the impossible.

« We're too small. » Not necessarily. The entry threshold is low (≥ 50 employees OR > €10M), the balance sheet counts, groups aggregate, and some players are in scope regardless of size.

« It's a pure IT-department topic. » No. Article 20 puts management on the front line, with mandatory training and personal liability.

« An antivirus and a firewall are enough. » No. NIS2 requires a documented and provable risk-management approach: risk analysis, MFA, tested backups, vulnerability management, supplier security, incident response — and proof that it all works.

« We'll deal with it at incident time. » Too late. Notifying within 24h under crisis stress, with no procedure or pre-established ANSSI contact, is unmanageable. Preparation happens cold.

Vulnerability monitoring and prioritization — at the heart of FactualRisk — already cover part of the expected « risk management » and « vulnerability management » scope. For the full approach (gap analysis, governance, procedures, response plan), that's exactly the kind of support I provide to SMEs and mid-caps.

Pour aller plus loin
Plan de réponse à incidentGérer les vulnérabilitésSécuriser la supply chainMapping conformité des CVE
Prioriser ça dans VOTRE SI ?

La donnée est gratuite. Pour un avis sur l'impact réel sur votre parc et un plan de remédiation, on en parle.

Nous contacter →

L'écosystème

Digimoove ESN Paris — Cyber · Cloud · Automatisation IA · Observabilité NAIvigate Veille & formation IA FactualRisk est une marque de l'écosystème Digimoove