NIS2 : suis-je concerné, et que dois-je vraiment mettre en place ?
NIS2 fait passer le nombre d'entreprises françaises soumises à des obligations de cybersécurité de quelques centaines à plus de 15 000. Beaucoup de PME et ETI découvrent qu'elles sont concernées sans l'avoir anticipé. Ce guide répond précisément à deux questions : suis-je dans le périmètre ? et qu'est-ce que je dois concrètement mettre en place ?
L'essentieldécideur Vous êtes probablement concerné si vous remplissez deux conditions à la fois : (1) opérer dans l'un des 18 secteurs couverts, et (2) dépasser les seuils de taille (à partir de 50 salariés ou 10 M€ de chiffre d'affaires). Vous serez alors classé entité essentielle (grandes entreprises des secteurs les plus critiques) ou entité importante (moyennes entreprises). Dans les deux cas, vous devez mettre en place des mesures de sécurité, notifier vos incidents rapidement, et — nouveauté majeure — votre direction est personnellement responsable et doit se former. En France, la loi de transposition n'est pas encore votée (attendue en 2026), mais l'ANSSI recommande déjà de s'y préparer.
Suis-je concerné par NIS2 — et dans quelle catégorie ?
*Des exceptions existent (ex. fournisseurs d'infrastructures numériques critiques concernés quelle que soit leur taille). En cas de doute, l'ANSSI fait foi. Seuils indicatifs selon la transposition en cours.
18 secteurs couverts : Annexe I (essentielles) vs Annexe II (importantes)
L'appartenance à l'Annexe I ou II oriente la catégorie (essentielle / importante), mais la taille entre aussi en compte. Liste indicative — référez-vous au texte officiel pour le détail des sous-secteurs.
Étape 1 — Suis-je concerné ? technique
L'éligibilité repose sur la combinaison secteur + taille.
Le critère secteur. NIS2 couvre 18 secteurs, répartis en deux annexes :
Annexe I (haute criticité) : énergie, transports, banque et marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (DNS, datacenters, cloud, réseaux), gestion de services TIC (MSP/MSSP), espace, administration publique.
Annexe II (autres secteurs critiques) : services postaux, gestion des déchets, fabrication/industrie, agroalimentaire, chimie, fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.
Le critère taille. En règle générale :
Catégorie
Seuils indicatifs
Régime
Entité essentielle (EE)
≥ 250 salariés, OU ≥ 50 M€ CA, OU ≥ 43 M€ bilan (secteurs Annexe I)
Contrôle proactif (ex ante)
Entité importante (EI)
50–249 salariés, OU 10–50 M€ CA
Contrôle sur incident (ex post)
Microentreprise
< 50 salariés ET < 10 M€
En général hors périmètre*
*Exceptions notables : certains acteurs (fournisseurs d'infrastructures numériques critiques, prestataires de confiance, registres de noms de domaine…) sont concernés quelle que soit leur taille. Et si vous êtes sous-traitant d'une entité NIS2, elle vous imposera contractuellement des exigences : vous êtes alors indirectement embarqué.
Étape 2 — Les mesures à mettre en place (article 21)
NIS2 impose une série de mesures techniques et organisationnelles « proportionnées au risque ». Les dix grandes familles :
Analyse de risque et politique de sécurité des systèmes d'information.
Gestion des incidents (détection, traitement, notification).
Continuité d'activité : sauvegardes, reprise après sinistre, gestion de crise.
Sécurité de la chaîne d'approvisionnement (vos fournisseurs et prestataires) — un point central de NIS2.
Sécurité dans l'acquisition, le développement et la maintenance (dont la gestion des vulnérabilités et leur divulgation).
Politiques d'évaluation de l'efficacité des mesures.
Hygiène cyber de base et formation des collaborateurs.
Cryptographie et chiffrement (politiques d'usage).
Sécurité des ressources humaines, contrôle d'accès et gestion des actifs.
Authentification à plusieurs facteurs (MFA), communications sécurisées (voix/vidéo/texte), communications d'urgence.
Étape 3 — La notification d'incident
En cas d'incident significatif, le calendrier européen s'applique, via les plateformes de l'ANSSI :
Alerte précoce sous 24 h : notification initiale (incident grave ? d'origine malveillante ?).
Notification sous 72 h : évaluation de la gravité, de l'impact, indicateurs de compromission.
Rapport final sous 1 mois : description détaillée, cause racine, mesures correctives.
Étape 4 — Gouvernance et sanctions
La direction est en première ligne : les organes de direction doivent approuver les mesures, en superviser la mise en œuvre, suivre une formation à la cybersécurité, et peuvent être tenus personnellement responsables en cas de manquement. C'est sans précédent.
Sanctions (selon la transposition) : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour une entité essentielle, jusqu'à 7 M€ ou 1,4 % pour une entité importante.
Statut en France (2026) : la directive devait être transposée avant le 17 octobre 2024 ; la France est en retard. La transposition passe par la loi « Résilience », dont le vote est attendu courant 2026, suivie des décrets et du référentiel technique de l'ANSSI. L'ANSSI a publié son Référentiel Cyber France (ReCyF) et ouvert l'espace MonEspaceNIS2 : elle invite à ne pas attendre la loi pour se préparer. Cette page est informative et ne constitue pas un conseil juridique — la référence reste l'ANSSI et le texte voté.
Votre plan d'action (sans attendre la loi)
1. Statuez sur votre périmètre. Croisez votre secteur (Annexe I/II) et vos seuils. Vérifiez aussi si un client NIS2 vous impose des exigences. En cas de doute : ANSSI.
2. Faites un état des lieux (gap analysis) au regard des 10 mesures de l'article 21 : où en êtes-vous, qu'est-ce qui manque ? Le référentiel ReCyF de l'ANSSI sert de feuille de route.
3. Priorisez les fondamentaux : inventaire, MFA, sauvegardes testées, gestion des vulnérabilités, gestion des accès, sécurité fournisseurs.
4. Formalisez la réponse à incident : un plan écrit + le réflexe de notification 24/72h, contact ANSSI préétabli.
5. Embarquez la direction : décision, budget, formation. C'est une obligation, pas une option.
6. Pré-enregistrez-vous sur MonEspaceNIS2 si pertinent, pour recevoir les guidances de l'ANSSI.
La veille des vulnérabilités et la priorisation — au cœur de FactualRisk — couvrent déjà une partie du volet « gestion du risque » et « gestion des vulnérabilités » attendu. Pour la démarche complète (gap analysis, gouvernance, procédures, plan de réponse), c'est exactement le type d'accompagnement que je propose aux PME et ETI.