🏆 MiCA : 10 % des agréments délivrés en France obtenus avec notre accompagnement · Contrats sans engagement🏆 MiCA : 10 % des agréments délivrés en France obtenus avec notre accompagnement · Contrats sans engagement🏆 MiCA : 10 % des agréments délivrés en France obtenus avec notre accompagnement · Contrats sans engagement🏆 MiCA : 10 % des agréments délivrés en France obtenus avec notre accompagnement · Contrats sans engagement🏆 MiCA : 10 % des agréments délivrés en France obtenus avec notre accompagnement · Contrats sans engagement🏆 MiCA : 10 % des agréments délivrés en France obtenus avec notre accompagnement · Contrats sans engagement
Tous les articles
Conformité7 min de lecture

NIS2 : qui est concerné et comment se mettre en conformité ?

Publié le 23 juin 2026

La directive NIS2 (Network and Information Security 2) élargit considérablement le périmètre de la réglementation européenne sur la cybersécurité. Beaucoup d'organisations qui n'étaient pas concernées par NIS1 le sont désormais, sans toujours le savoir. Voici l'essentiel pour comprendre vos obligations et passer à l'action.

Qu'est-ce que la directive NIS2 ?

NIS2 est la directive européenne qui harmonise et renforce le niveau de cybersécurité des entités jugées critiques pour le fonctionnement de l'économie et de la société. Elle remplace la directive NIS de 2016, jugée trop limitée, et impose des exigences plus strictes en matière de gestion des risques, de notification des incidents et de responsabilité des dirigeants.

Qui est concerné ?

NIS2 distingue deux catégories d'entités, selon leur taille et leur secteur :

  • Les entités essentielles (EE) : grandes entreprises de secteurs hautement critiques (énergie, transports, banque, santé, eau, infrastructures numériques, administration publique…).
  • Les entités importantes (EI) : moyennes entreprises de ces secteurs et de secteurs critiques additionnels (services postaux, gestion des déchets, agroalimentaire, fabrication, fournisseurs numériques…).

En règle générale, sont concernées les organisations de plus de 50 salariés ou réalisant plus de 10 M€ de chiffre d'affaires dans les secteurs visés. Mais des exceptions existent : certaines petites structures critiques sont incluses quelle que soit leur taille.

Quelles sont les obligations clés ?

  • Mettre en place des mesures de gestion des risques cyber (analyse de risques, politique de sécurité, contrôle d'accès, chiffrement, continuité d'activité…).
  • Notifier les incidents significatifs à l'autorité compétente, avec une alerte précoce sous 24 heures.
  • Sécuriser la chaîne d'approvisionnement et les relations avec les fournisseurs.
  • Impliquer la direction : les organes de gestion doivent approuver et superviser les mesures, et peuvent être tenus responsables.

Quelles sanctions en cas de non-conformité ?

Les sanctions sont dissuasives : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et jusqu'à 7 M€ ou 1,4 % pour les entités importantes. La responsabilité personnelle des dirigeants peut également être engagée.

Comment se mettre en conformité ?

  • Déterminer si votre organisation est concernée et à quel titre (EE ou EI).
  • Réaliser une analyse d'écart entre vos pratiques actuelles et les exigences NIS2.
  • Mettre en place une analyse de risques et les mesures techniques et organisationnelles attendues.
  • Définir un processus de détection et de notification des incidents.
  • Sensibiliser la direction et les équipes, et formaliser la gouvernance.

Besoin d'un accompagnement NIS2 ?

Cyber-SSI vous aide à déterminer votre éligibilité, à réaliser votre analyse d'écart et à mettre en œuvre les mesures attendues, étape par étape.

NIS2 n'est pas qu'une contrainte réglementaire : c'est l'occasion de structurer durablement votre cybersécurité. Plus vous anticipez, plus la mise en conformité sera fluide et maîtrisée.

Pour aller plus loin

Conformité

Un projet cybersécurité ?

Nos experts vous accompagnent sur la conformité, l'audit et la sécurité opérationnelle.

Contacter un expert

Nous utilisons des cookies de mesure d'audience (Google Analytics) pour améliorer votre expérience. Aucun cookie n'est déposé sans votre accord. En savoir plus