Si tu lis ces lignes en te disant « NIS2, c’est un truc pour les grands groupes », arrête tout. La directive européenne NIS2 multiplie par environ trente le nombre d’entités concernées en France par rapport à NIS1 (de l’ordre de 500 entités sous NIS1 à environ 15 000 sous NIS2, selon les estimations de l’ANSSI et des cabinets spécialisés), et elle embarque beaucoup de PME et ETI qui ne l’ont pas vu venir. Hébergeurs, MSP, sous-traitants d’opérateurs critiques, industriels, agroalimentaire, recherche : le filet est large.
Ce guide répond aux vraies questions : qui est concerné, à partir de quels seuils, quelles obligations concrètes, où en est la transposition française, et comment s’y préparer sans s’y perdre. On cite les textes, on donne les chiffres, on tranche quand c’est utile.
Faits clés
- Texte : directive (UE) 2022/2555 du 14 décembre 2022, publiée au JOUE le 27 décembre 2022, en remplacement de NIS1.
- Périmètre : 18 secteurs (annexes I et II) contre 7 dans NIS1, environ trente fois plus d’entités concernées en France (de 500 à ~15 000).
- Seuils : entité importante dès 50 salariés et CA > 10 M€ ou bilan > 10 M€ (moyenne entreprise), entité essentielle en annexe I dès 250 salariés et CA > 50 M€ ou bilan > 43 M€.
- Notification : alerte précoce sous 24h, notification complète sous 72h, rapport final sous 1 mois (article 23).
- Sanctions : jusqu’à 10 M€ ou 2 % du CA mondial pour une EE, 7 M€ ou 1,4 % pour une EI, plus responsabilité personnelle des dirigeants.
- Transposition française : loi Résilience en cours, ANSSI autorité compétente, portail
monespacenis2.cyber.gouv.fr.
NIS2 en une minute, pourquoi ça remplace NIS1
La directive (UE) 2022/2555 du 14 décembre 2022, dite NIS2, a été publiée au Journal officiel de l’Union européenne le 27 décembre 2022. Elle abroge la directive NIS1 de 2016 à compter du 18 octobre 2024, dont le bilan était mitigé : trop peu d’entités couvertes, transpositions hétérogènes entre États membres, exigences floues, sanctions anecdotiques.
NIS2 change l’échelle. Elle élargit massivement le périmètre (18 secteurs contre 7 dans NIS1), harmonise les exigences de sécurité, impose des délais de notification courts et introduit un régime de sanctions aligné sur le modèle RGPD. Elle instaure aussi la responsabilité personnelle des dirigeants, qui deviennent explicitement redevables de la gouvernance cyber.
Côté français, l’autorité compétente est l’ANSSI. Elle a publié un portail dédié (monespacenis2.cyber.gouv.fr), des guides pratiques, et le Référentiel Cyber France (ReCyF), dont la version de travail 2.5 a été présentée le 17 mars 2026 au Campus Cyber, qui précise les 20 objectifs de sécurité attendus pour NIS2 (version définitive attendue après promulgation de la loi).
Qui est concerné en France, le test des deux critères
NIS2 croise deux critères : le secteur d’activité (annexe I ou II de la directive) et la taille de l’entité. Si tes deux cases sont cochées, tu es dans le périmètre. Il existe aussi des cas où la taille n’importe plus, on y revient.
Critère 1, les secteurs des annexes I et II
Par défaut classement « Entité Essentielle » (EE) si l’entité dépasse les grands seuils.
- Énergie (électricité, gaz, pétrole, hydrogène, chaleur urbaine)
- Transports (aérien, ferroviaire, maritime, routier)
- Banque et infrastructures des marchés financiers
- Santé (hôpitaux, laboratoires, dispositifs médicaux critiques)
- Eau potable et eaux usées
- Infrastructures numériques (IXP, DNS, TLD, cloud, data centers, CDN, services de confiance, réseaux publics)
- Gestion des services TIC B2B (MSP, MSSP)
- Administration publique
- Espace
Par défaut classement « Entité Importante » (EI) au-delà des seuils moyenne entreprise.
- Services postaux et d’expédition
- Gestion des déchets
- Produits chimiques (fabrication, distribution)
- Agroalimentaire (production, transformation, distribution)
- Industrie manufacturière (dispositifs médicaux, électronique, équipements électriques, machines, véhicules)
- Fournisseurs de services numériques (marketplaces, moteurs, réseaux sociaux)
- Recherche
Critère 2, les seuils de taille
NIS2 reprend la définition européenne des entreprises (recommandation 2003/361/CE). Le tableau ci-dessous résume qui tombe dans quoi.
| Taille | Critères (salariés & CA/bilan) | Annexe I | Annexe II |
|---|---|---|---|
| Grande entreprise | ≥ 250 salariés et (> 50 M€ CA ou > 43 M€ bilan) | EE | EI |
| Moyenne entreprise | ≥ 50 salariés et (> 10 M€ CA ou > 10 M€ bilan) | EI | EI |
| Petite & micro | < 50 salariés et < 10 M€ CA et < 10 M€ bilan | Hors périmètre (sauf cas spéciaux) | |
Les seuils s’entendent au niveau de l’entité et pas du groupe, mais les relations de partenariat et de liaison peuvent agréger les effectifs et le CA (au sens de la recommandation européenne). Si ta PME est filiale d’un groupe qui dépasse les seuils, regarde de près.
Les cas où la taille n’a plus d’importance
NIS2 prévoit une liste de catégories soumises quelle que soit leur taille. C’est là que beaucoup de PME tombent par surprise :
- Fournisseurs de services DNS, peu importe le nombre de domaines
- Registres de noms de domaine de premier niveau (TLD)
- Prestataires d’enregistrement de noms de domaine (registrars)
- Prestataires de services de confiance (au sens eIDAS)
- Fournisseurs de réseaux publics de communications électroniques et services accessibles au public
- Entités désignées par un État membre comme critiques au niveau national ou régional
- Administration publique centrale
Autre angle mort : la chaîne d’approvisionnement. Même si ton entreprise n’est pas directement dans une annexe, si tu fournis un opérateur essentiel (un CHU, un opérateur énergie, une banque), il te demandera contractuellement un niveau de sécurité aligné sur NIS2. Concrètement, tu seras soumis aux mêmes exigences via le contrat.
Les PME qui tombent dedans sans le savoir
L’hébergeur web de 12 personnes. Annexe I. Dès qu’il atteint la moyenne entreprise (50 salariés et CA > 10 M€), entité importante ; entité essentielle à partir de la grande entreprise (250 salariés et CA > 50 M€). En dessous, tiré vers NIS2 par ses clients qui, eux, le sont.
L’infogéreur de 30 personnes. Annexe I dès le seuil moyenne entreprise (50 salariés et CA > 10 M€), classement EI. En dessous, pression contractuelle des clients EE qui exigent la conformité.
L’industriel de 80 salariés qui fabrique des équipements électriques. Annexe II, entité importante.
La coopérative agricole de 120 salariés. Annexe II, entité importante.
Le laboratoire de recherche privé. Annexe II dès qu’il dépasse les seuils de moyenne entreprise.
Le sous-traitant logiciel d’un OIV ou d’un opérateur de services essentiels. Même en dessous des seuils, embarqué via la supply chain.
Le test honnête, écris sur une feuille ton activité réelle et tes principaux clients. Si l’un des deux te met dans une des cases précédentes, considère-toi concerné.
Quelles obligations concrètes, au-delà des slogans ?
L’article 21 de la directive liste dix mesures techniques et organisationnelles minimales. Ce n’est pas un référentiel comme ISO 27001, c’est une liste d’objectifs. Libre à chaque entité de choisir ses moyens, avec une approche « toutes menaces » et proportionnée au risque.
Les dix mesures de l’article 21
- Politique d’analyse des risques et de sécurité des SI
- Gestion des incidents (détection, qualification, réponse)
- Continuité d’activité et reprise après sinistre, gestion des sauvegardes, gestion de crise
- Sécurité de la chaîne d’approvisionnement, relations fournisseurs et prestataires
- Sécurité de l’acquisition, du développement et de la maintenance des SI, y compris gestion et divulgation des vulnérabilités
- Politiques et procédures d’évaluation de l’efficacité des mesures
- Hygiène informatique et formation des équipes
- Chiffrement et cryptographie, politique d’usage
- Sécurité des ressources humaines, contrôle d’accès, gestion des actifs
- Authentification multifacteur (MFA) ou authentification continue, communications sécurisées (voix, vidéo, texte) et systèmes de communication d’urgence sécurisés
En clair : une gouvernance cyber documentée, des sauvegardes qui marchent, du MFA partout, du chiffrement, de la formation, un plan d’incident, un plan de reprise. Rien de magique, mais rien d’optionnel non plus.
Le trio de notification, 24h, 72h, 1 mois
L’article 23 impose un régime de notification en trois temps, déclenché dès qu’un incident significatif est détecté (incident qui cause ou peut causer une perturbation grave de l’exploitation, des pertes financières, ou un préjudice important à des tiers).
| Échéance | Type de rapport | Contenu attendu |
|---|---|---|
| 24 heures | Alerte précoce | Notification au CSIRT/ANSSI sans délai. Suspicion de malveillance ? Impact transfrontalier ? |
| 72 heures | Notification complète | Évaluation initiale de la sévérité, de l’impact, indicateurs de compromission (IoC). |
| 1 mois | Rapport final | Description détaillée, cause racine, mesures prises, mesures d’atténuation. |
Entre les deux, le CSIRT peut demander un rapport intermédiaire. Si l’incident n’est pas résolu au bout d’un mois, le rapport final sera établi un mois après la clôture effective.
Gouvernance et responsabilité des dirigeants
C’est l’un des gros changements par rapport à NIS1. L’article 20 prévoit que les organes de direction approuvent les mesures de gestion des risques cyber, supervisent leur mise en œuvre et peuvent être tenus personnellement responsables en cas de manquement.
Les dirigeants doivent aussi suivre une formation régulière en cyber pour identifier les risques et évaluer les pratiques (article 20 §2). Ce n’est pas symbolique : la directive elle-même, à son article 32 §5 b), permet aux autorités d’interdire temporairement à un dirigeant d’exercer des fonctions dirigeantes en cas de manquement caractérisé (pour les entités essentielles).
« Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21, supervisent sa mise en œuvre et puissent être tenus responsables des violations par les entités dudit article. » — Article 20 §1, directive (UE) 2022/2555.
La transposition française (loi Résilience)
La date limite de transposition fixée par la directive était le 17 octobre 2024. La France, comme la majorité des États membres, a dépassé cette échéance. La Commission européenne a engagé une procédure d’infraction : mise en demeure de 23 États membres en novembre 2024, puis avis motivé le 7 mai 2025 à 19 États dont la France — deuxième étape avant une éventuelle saisine de la CJUE.
Le véhicule législatif est le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dit loi Résilience. Il transpose NIS2 et la directive CER (résilience des entités critiques), et adapte le droit français à DORA (qui est un règlement européen, donc directement applicable, mais qui nécessite des adaptations nationales pour le secteur financier). Le texte a été adopté par le Sénat en première lecture le 12 mars 2025, examiné en commission spéciale à l’Assemblée nationale en septembre 2025, et la séance plénière à l’AN est attendue en juillet 2026 pour une promulgation prévisionnelle à l’été 2026, suivie des décrets et arrêtés d’application de l’ANSSI.
En attendant la promulgation, deux repères :
- La directive 2022/2555 s’impose déjà en partie par effet direct aux administrations et organes de l’État. Les obligations ne disparaîtront pas le jour de la promulgation, elles se préciseront.
- L’ANSSI publie le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité NIS2. C’est le document pivot pour construire sa feuille de route.
Traduction opérationnelle : commence maintenant. Attendre la promulgation pour s’y mettre, c’est se retrouver avec 6 à 12 mois de chantier à faire en quelques semaines le jour où les décrets sortiront.
Combien ça coûte de ne rien faire, le régime de sanctions
NIS2 aligne le régime de sanctions sur la logique RGPD. Les plafonds maximums sont harmonisés au niveau européen.
| Catégorie | Amende administrative maximale | Mesures complémentaires |
|---|---|---|
| Entité Essentielle | 10 M€ ou 2 % du CA mondial total annuel (le plus élevé) | Injonction de conformité, audit imposé, publication des manquements, responsabilité personnelle du dirigeant |
| Entité Importante | 7 M€ ou 1,4 % du CA mondial total annuel (le plus élevé) | Mêmes mesures administratives, possibilité de suspension d’agréments |
Une chose à garder en tête : l’autorité ne sanctionne pas pour un incident, elle sanctionne pour un défaut de mesures appropriées ou un défaut de notification. Tu peux subir une attaque et ne rien payer si tu as fait le boulot en amont et notifié correctement.
Checklist opérationnelle pour les 9 prochains mois
Voilà un plan que tu peux lancer lundi, même sans attendre la promulgation de la loi française. L’idée n’est pas d’être parfait en J+30, c’est d’avoir la bonne trajectoire.
## Semaines 1-4 : qualifier et cadrer
[ ] Qualifier statut : EE / EI / hors périmètre / supply chain
[ ] Documenter raisonnement (codes NAF, effectifs, CA, clients)
[ ] Cartographier actifs critiques et flux vers clients essentiels
[ ] Nommer un référent cyber rattaché à la direction
[ ] Sensibiliser le COMEX à la responsabilité personnelle
## Mois 2-4 : fondamentaux techniques
[ ] MFA sur tous les accès admin, VPN, SaaS, messagerie
[ ] Sauvegardes règle 3-2-1 + test restauration + copie offline
[ ] Chiffrement disques, sauvegardes, flux (TLS partout)
[ ] Centralisation logs 12 mois + alertes sur anomalies
[ ] Patch management 30j / 72h si exploit actif
## Mois 3-6 : gouvernance et processus
[ ] Analyse de risques écrite (EBIOS RM, ISO 27005)
[ ] Plan de réponse à incident (24h / 72h / 1 mois)
[ ] PRA / PCA avec RTO et RPO chiffrés
[ ] Inventaire prestataires critiques + clauses sécurité
[ ] Parcours formation cyber annuel obligatoire
## Mois 6-9 : tests et ajustements
[ ] Test de PRA complet avec restauration réelle
[ ] Exercice de crise cyber sur table avec direction
[ ] Audit ou pentest sur actifs les plus sensibles
[ ] Préparation dossier monespacenis2.cyber.gouv.frSemaines 1 à 4, clarifier sa situation
- Qualifier le statut. Entité essentielle, importante, hors périmètre ou embarquée via la supply chain. Documenter le raisonnement (codes NAF, effectifs, CA, secteurs des clients).
- Cartographier les actifs critiques. Applications métier, bases de données, SI RH/finance, flux vers les clients essentiels, dépendances cloud.
- Nommer un référent cyber rattaché à la direction. Si tu es trop petit pour un RSSI à temps plein, externalise.
- Sensibiliser le COMEX à la responsabilité personnelle. Ce n’est pas une option.
Mois 2 à 4, les fondamentaux techniques
- MFA partout, en priorité sur les accès admin, VPN, messagerie, SaaS métier. Un SSO Keycloak simplifie considérablement la vie.
- Sauvegardes. Applique la règle 3-2-1, teste les restaurations, au moins une copie offline ou air-gapped.
- Chiffrement. Disques, sauvegardes, flux (TLS partout), messagerie sensible. Pas juste pour les données perso au sens RGPD, pour tout ce qui est critique métier.
- Journalisation et détection. Centralise les logs (authentifications, accès admin, flux réseau), garde-les au moins 12 mois, mets en place des alertes sur les événements anormaux.
- Patch management. Processus documenté, fenêtres de maintenance connues, gestion des vulnérabilités critiques (délai cible 30 jours, 72h si exploitée dans la nature).
Mois 3 à 6, gouvernance et processus
- Analyse de risques écrite, méthode au choix (EBIOS RM, ISO 27005, méthode maison documentée). Elle doit parler au métier et pas juste au DSI.
- Plan de réponse à incident. Détection, qualification, confinement, éradication, retour à la normale, communication (incluant la notification ANSSI sous 24h/72h).
- Plan de continuité d’activité et plan de reprise. Voir notre guide PRA pour PME. Un RTO et un RPO chiffrés, pas « rapidement » ou « le moins de données possible ».
- Gestion de la supply chain. Inventaire des prestataires critiques, clauses contractuelles de sécurité, droit d’audit, plan de réversibilité.
- Formation. Un parcours annuel obligatoire pour tous, une formation dédiée pour les dirigeants, des exercices de phishing réguliers.
Mois 6 à 9, tests et ajustements
- Test de PRA complet, restauration réelle d’un périmètre critique, pas juste un test de bascule.
- Exercice de crise cyber sur table, avec la direction, les équipes SI et la communication.
- Audit ou test d’intrusion ciblé sur les actifs les plus sensibles.
- Mise à jour de la documentation et préparation du dossier de déclaration sur
monespacenis2.cyber.gouv.fr.
Objet : [NIS2 - Alerte précoce] Incident significatif - <raison sociale>
Entité : <raison sociale, SIREN, secteur annexe I/II>
Statut : EE / EI
Référent : <nom, fonction, téléphone, email>
1. Date et heure de détection (UTC+1) : ...
2. Nature suspectée de l’incident : ...
3. Caractère potentiellement malveillant : oui / non / indéterminé
4. Impact transfrontalier suspecté : oui / non
5. Services affectés et périmètre : ...
6. Premières mesures de confinement engagées : ...
7. Prochaine étape prévue : notification complète sous 72h
Canal officiel : monespacenis2.cyber.gouv.fr
CSIRT national : cert-fr@ssi.gouv.frNIS2 et souveraineté, la question qu’on ne peut plus éviter
NIS2 ne dit pas explicitement « hébergez en France ». Elle exige de gérer les risques de la chaîne d’approvisionnement, de pouvoir notifier vite, de maîtriser ses dépendances. En pratique, pour une entité essentielle ou importante, choisir un hébergeur soumis au Cloud Act ou à une juridiction extraterritoriale est un risque désormais difficile à documenter comme « acceptable » dans une analyse de risques NIS2.
Ce n’est pas une opinion, c’est la logique des critères. Si tu dois pouvoir notifier un incident en 24h, restaurer en X heures, prouver la maîtrise de tes données et de tes prestataires, un hyperscaler étranger ajoute une couche d’incertitude juridique et opérationnelle. C’est gérable, mais c’est plus lourd que d’héberger chez un prestataire soumis au seul droit français.
Comment Datacampus aide concrètement
On n’est pas un cabinet de conseil NIS2 et on ne vend pas de « certification NIS2 » (ça n’existe pas, au passage). Ce qu’on fait : fournir la brique infrastructure et infogérance sur laquelle tu peux construire une conformité NIS2 sans te battre avec ton hébergeur.
Supervision & patch management avec sauvegardes, gestion des incidents et délais contractuels alignés sur les exigences NIS2.
SLA en 3 niveaux (N0 Standard, N1 heures ouvrées, N2 24/7). Pour une EE ou EI, le N2 est en pratique le minimum si l’hébergement porte une activité critique.
Réplication inter-datacenters, sauvegardes chiffrées, tests de restauration documentés. Le RTO et le RPO sont écrits au contrat, pas laissés au bon vouloir.
Datacenter Cassin1 au Futuroscope, AS50446, stack 100 % open source, capital 100 % français, zéro dépendance à une juridiction extraterritoriale.
Circuits directs avec nos équipes, pas de call center, pas de ticket qui remonte en 48h depuis l’étranger. Crucial quand l’alerte ANSSI tombe à 24h.
Nextcloud, GitLab, Keycloak, Mailcow, Jitsi infogérés, auditables, pour cocher la maîtrise des fournisseurs logiciels de l’article 21.
TL;DR, ce qu’il faut retenir
- NIS2 = directive (UE) 2022/2555, publiée le 27 décembre 2022, qui remplace NIS1
- Transposition française en cours via la loi Résilience, ANSSI comme autorité compétente
- Deux catégories, entités essentielles (annexe I + grandes), entités importantes (annexe II ou moyennes)
- Seuils, moyenne entreprise (≥ 50 salariés et CA > 10 M€ ou bilan > 10 M€) pour être EI, grande entreprise (≥ 250 salariés et CA > 50 M€ ou bilan > 43 M€) en annexe I pour être EE
- Certaines catégories (DNS, TLD, registrars, services de confiance) sont concernées quelle que soit leur taille
- Sanctions, jusqu’à 10 M€ ou 2 % du CA mondial (EE), 7 M€ ou 1,4 % (EI), plus responsabilité personnelle des dirigeants
- Notification incidents, alerte 24h, notification 72h, rapport final 1 mois
- À faire maintenant, qualifier son statut, MFA, sauvegardes 3-2-1, PRA, analyse de risques, gouvernance, formation dirigeants
Si tu veux qu’on regarde ensemble comment ton hébergement actuel se positionne face à NIS2, ou comment construire une infrastructure qui coche les bonnes cases dès le départ, parle à notre équipe. On ne facture pas l’audit de départ, et on parle vrai : si tu n’as pas besoin de nous, on te le dira.
NIS2, ce n’est pas une case à cocher. C’est le moment où la cybersécurité devient un sujet de dirigeant, pas seulement de DSI. Le plus tôt tu l’intègres dans ta gouvernance, le moins la transposition française te coûtera cher.