Qu’est-ce que la directive NIS2 ?
La directive NIS2 (Network and Information Security 2) est le cadre européen renforcé de cybersécurité, transposé en droit français depuis octobre 2024. Elle remplace la directive NIS1 de 2016 et élargit considérablement le nombre d’entités concernées : la France passe de moins de 300 à plus de 15 000 organisations régulées.
Votre entreprise est-elle concernée ?
NIS2 s’applique aux entités qui remplissent au moins un de ces critères : un effectif supérieur à 50 salariés ou un chiffre d’affaires supérieur à 10 millions d’euros, et qui opèrent dans l’un des 18 secteurs désignés (dont les télécoms, l’énergie, la santé, le transport, les services numériques et l’industrie manufacturière).
Même si votre PME est en dessous de ces seuils, vos clients grands comptes soumis à NIS2 peuvent exiger de vous des garanties de cybersécurité dans la chaîne d’approvisionnement.
Les 10 mesures obligatoires de NIS2
- Analyse des risques : documenter formellement le processus d’identification et de traitement des risques cyber, révisé au minimum semestriellement.
- Gestion des incidents : processus de détection, réponse et récupération. Alerte initiale à l’ANSSI sous 24h, rapport détaillé sous 72h.
- Continuité d’activité : plan de reprise incluant sauvegardes testées et procédures de basculement.
- Sécurité de la chaîne d’approvisionnement : évaluation des risques liés aux fournisseurs et prestataires.
- Sécurité des réseaux et systèmes : pare-feux, segmentation, chiffrement, contrôle d’accès.
- Politiques de cyberhygiène et formation du personnel.
- Utilisation de la cryptographie et du chiffrement.
- Sécurité des ressources humaines et gestion des accès.
- Authentification multi-facteurs (MFA) pour tous les accès critiques.
- Procédures d’évaluation de l’efficacité des mesures de sécurité.
Calendrier de mise en conformité
Le délai officiel est fixé au 17 octobre 2026 pour l’application complète des 10 mesures. Les décrets d’application techniques par secteur sont en cours de publication au premier semestre 2026. L’ANSSI met à disposition le portail MonEspaceNIS2 pour accompagner les organisations.
Sanctions en cas de non-conformité
Les amendes peuvent atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes. Pour les entités essentielles, ce plafond monte à 10 millions d’euros ou 2 % du CA. Nouveauté majeure : la responsabilité personnelle des dirigeants est engagée (article 20).
FAQ — Directive NIS2
Ma PME de 30 salariés est-elle concernée par NIS2 ?
Pas directement si vous êtes en dessous de 50 salariés et 10 M€ de CA. Mais attention : si vous êtes fournisseur d’une entité régulée, celle-ci peut vous imposer des exigences de cybersécurité au titre de la sécurité de la chaîne d’approvisionnement.
Quelle différence entre NIS1 et NIS2 ?
NIS2 élargit le périmètre (de 300 à 15 000+ entités en France), renforce les sanctions (jusqu’à 10 M€), impose la notification d’incident en 24h, et engage la responsabilité personnelle des dirigeants.
Par où commencer la mise en conformité ?
Les « quick wins » recommandés : déployer le MFA sur tous les comptes, mettre en place un pare-feu managé, activer un EDR sur tous les postes, et documenter votre politique de sécurité.
Ce que DigiLAN peut faire pour vous
Les solutions DigiLAN.io (pare-feu managé, SD-WAN sécurisé, VPN chiffré) couvrent directement les mesures 5, 7 et 9 de NIS2. Notre offre par abonnement inclut la supervision 24/7, le reporting de conformité et l’accompagnement technique. Démarrez par un audit réseau gratuit.
