Guides & Ressources pratiques
Cotisations retraite : taux, tranches et répartition employeur en 2026
Réglementation NIS2 : définition, entreprises concernées et obligations de conformité
Points clés de l'article
- La réglementation NIS2 élargit le périmètre de cybersécurité à 18 secteurs et concerne environ 15 000 entités en France, contre 500 sous NIS1.
- Les entreprises de plus de 50 salariés ou 10 M€ de chiffre d'affaires dans les secteurs visés sont automatiquement soumises à la directive.
- L'article 21 impose 10 mesures techniques et organisationnelles : analyse de risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement.
- Les dirigeants portent une responsabilité personnelle et doivent suivre une formation en cybersécurité.
- Tout incident significatif doit être notifié à l'ANSSI dans un délai de 24 heures, puis complété sous 72 heures.
- Les sanctions atteignent 10 M€ ou 2 % du CA annuel mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que la directive NIS2 et son cadre de transposition en France
Les 18 secteurs et entreprises concernés par la réglementation NIS2
Le calendrier de mise en œuvre et les échéances clés
Les obligations de cybersécurité imposées par l'article 21
La gouvernance NIS2 : responsabilités des dirigeants et formation
Notification d'incident : délais et procédures à respecter
Sanctions, contrôles et risques en cas de non-conformité
Comment structurer un plan de mise en conformité NIS2 efficace
Qu'est-ce que la directive NIS2 et son cadre de transposition en France
La réglementation NIS2 désigne la directive (UE) 2022/2555 du 14 décembre 2022, qui remplace la première directive NIS adoptée en 2016. Son objectif : établir un niveau commun élevé de cybersécurité dans l'ensemble de l'Union européenne. Là où NIS1 couvrait environ 500 opérateurs de services essentiels (OSE) en France, NIS2 multiplie ce périmètre par 30.
En droit français, la transposition relève d'un projet de loi dédié, piloté par l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Le texte européen fixait une date limite de transposition au 17 octobre 2024. La France n'a pas respecté cette échéance. Le projet de loi, présenté en Conseil des ministres en octobre 2024, poursuit son parcours législatif en 2025. Toutefois, la directive produit déjà des effets juridiques : la Cour de justice de l'UE reconnaît l'effet direct vertical des directives non transposées à l'encontre des États membres.
Pour le directeur juridique, cette situation crée une zone d'incertitude. Le cadre réglementaire final dépendra des décrets d'application français, mais les exigences substantielles de la directive sont connues et stables. Anticiper la conformité sur la base du texte européen reste la stratégie la plus prudente.
Les 18 secteurs et entreprises concernés par la réglementation NIS2
La directive distingue 2 catégories d'entités soumises à des niveaux d'exigence différents.
Entités essentielles (EE) — 11 secteurs hautement critiques
| Secteur | Exemples d'activités |
|---|---|
| Énergie | Électricité, gaz, pétrole, hydrogène, réseaux de chaleur |
| Transports | Aérien, ferroviaire, maritime, routier |
| Banque | Établissements de crédit |
| Infrastructures des marchés financiers | Plateformes de négociation, contreparties centrales |
| Santé | Hôpitaux, laboratoires, fabricants de dispositifs médicaux |
| Eau potable | Captage, traitement, distribution |
| Eaux usées | Collecte et traitement |
| Infrastructure numérique | DNS, cloud, centres de données, réseaux de communication |
| Gestion des services TIC (B2B) | Fournisseurs de services managés et de sécurité managés |
| Espace | Opérateurs d'infrastructures spatiales |
| Administration publique | Entités de l'administration centrale |
Entités importantes (EI) — 7 secteurs critiques supplémentaires
| Secteur | Exemples d'activités |
|---|---|
| Services postaux et d'expédition | Opérateurs de courrier et colis |
| Gestion des déchets | Collecte, traitement, recyclage |
| Fabrication, production et distribution de produits chimiques | Industrie chimique |
| Production, transformation et distribution de denrées alimentaires | Agroalimentaire |
| Fabrication | Dispositifs médicaux, produits informatiques, électroniques, optiques, machines, véhicules |
| Fournisseurs numériques | Moteurs de recherche, places de marché, réseaux sociaux |
| Recherche | Organismes de recherche |
Critères de taille
Une entreprise est concernée si elle opère dans l'un de ces 18 secteurs et dépasse au moins un des seuils suivants :
- 50 salariés
- 10 M€ de chiffre d'affaires annuel
- 10 M€ de bilan annuel
Certaines entités sont désignées indépendamment de leur taille : fournisseurs de DNS, registres de noms de domaine de premier niveau, prestataires de services de confiance.
La qualification d'entité essentielle ou importante conditionne le niveau de sanctions et de contrôle applicable. Un audit juridique du périmètre d'activité permet de déterminer précisément la catégorie de rattachement.
Évaluer votre exposition avec un avocat en cybersécurité
Le calendrier de mise en œuvre et les échéances clés
| Échéance | Événement |
|---|---|
| 16 janvier 2023 | Entrée en vigueur de la directive NIS2 |
| 17 octobre 2024 | Date limite de transposition (non respectée par la France) |
| 17 avril 2025 | Date limite pour la constitution des listes d'entités essentielles et importantes par chaque État membre |
| 2025 (date précise inconnue) | Adoption attendue de la loi française de transposition |
| 2025-2026 | Publication des décrets d'application et des référentiels techniques de l'ANSSI |
L'ANSSI a lancé la plateforme « MonEspaceNIS2 » pour permettre aux entités de s'enregistrer et de vérifier leur éligibilité. Cette démarche d'auto-déclaration constitue la première étape formelle de mise en conformité.
Les obligations de cybersécurité imposées par l'article 21
L'article 21 de la directive énumère 10 catégories de mesures que chaque entité doit mettre en œuvre, proportionnellement à sa taille, son exposition aux risques et la criticité de ses services.
- Politiques d'analyse des risques et de sécurité des systèmes d'information
- Gestion des incidents : détection, réponse, remédiation
- Continuité d'activité : sauvegardes, reprise après sinistre, gestion de crise
- Sécurité de la chaîne d'approvisionnement : évaluation des fournisseurs et prestataires
- Sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes
- Évaluation de l'efficacité des mesures de gestion des risques (audits, tests)
- Pratiques de cyberhygiène et formation à la cybersécurité
- Politiques de cryptographie et, le cas échéant, de chiffrement
- Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
- Authentification multifacteur ou solutions d'authentification continue
Ces mesures ne sont pas optionnelles. Elles constituent le socle minimal exigé. Le directeur juridique doit s'assurer que chaque mesure est documentée, mise en œuvre et auditable, car la charge de la preuve de conformité repose sur l'entité.
La formalisation contractuelle de ces obligations, notamment vis-à-vis des sous-traitants et fournisseurs IT, relève directement de la direction juridique.
Structurer vos contrats cyber avec un avocat spécialisé
La gouvernance NIS2 : responsabilités des dirigeants et formation
La directive NIS2 introduit une rupture par rapport à NIS1 : elle engage directement la responsabilité des organes de direction. L'article 20 prévoit que les dirigeants doivent approuver les mesures de gestion des risques et superviser leur mise en œuvre. En cas de manquement, leur responsabilité personnelle peut être recherchée.
Obligations concrètes des dirigeants
- Approbation formelle de la politique de sécurité des systèmes d'information
- Supervision active de la mise en œuvre des mesures de l'article 21
- Suivi d'une formation en cybersécurité adaptée, afin d'évaluer les risques et leurs conséquences sur les activités de l'entité
- Extension de la formation encouragée pour l'ensemble des salariés
Cette obligation de formation n'est pas symbolique. Elle vise à garantir que les décisions de gouvernance intègrent une compréhension réelle des risques cyber. Pour le directeur juridique, cela implique de formaliser les preuves de formation (attestations, programmes, dates) et d'inscrire la cybersécurité à l'ordre du jour régulier des instances dirigeantes.
Notification d'incident : délais et procédures à respecter
La directive impose un processus de notification en 3 étapes auprès du CSIRT national (en France, le CERT-FR rattaché à l'ANSSI).
| Étape | Délai | Contenu attendu |
|---|---|---|
| Alerte précoce | 24 heures après détection | Nature de l'incident, soupçon d'acte malveillant, impact transfrontalier éventuel |
| Notification complète | 72 heures après détection | Évaluation de la gravité, de l'impact, indicateurs de compromission |
| Rapport final | 1 mois après la notification complète | Analyse détaillée, cause probable, mesures correctives appliquées |
Un incident est qualifié de « significatif » lorsqu'il provoque une perturbation opérationnelle grave du service ou des pertes financières pour l'entité, ou lorsqu'il affecte d'autres personnes physiques ou morales en causant un préjudice matériel ou immatériel considérable.
Le non-respect de ces délais constitue en soi un manquement sanctionnable. La direction juridique doit donc intégrer ces procédures dans le plan de réponse aux incidents et s'assurer que les équipes opérationnelles connaissent les circuits de remontée.
La rédaction d'une procédure de notification conforme suppose une articulation entre obligations NIS2 et RGPD, notamment en cas de violation de données personnelles.
Consulter un avocat en cybersécurité pour sécuriser vos procédures
Sanctions, contrôles et risques en cas de non-conformité
Le régime de sanctions prévu par NIS2 s'aligne sur la logique du RGPD : des amendes proportionnelles au chiffre d'affaires mondial.
| Catégorie | Amende maximale | Base de calcul alternative |
|---|---|---|
| Entité essentielle | 10 000 000 € | 2 % du CA annuel mondial |
| Entité importante | 7 000 000 € | 1,4 % du CA annuel mondial |
Le montant retenu est le plus élevé des deux. Les autorités compétentes (l'ANSSI en France) disposent de pouvoirs de contrôle étendus :
- Contrôles ex ante pour les entités essentielles : audits, inspections sur site, demandes de preuves documentaires
- Contrôles ex post pour les entités importantes : déclenchés sur signalement, incident ou indice de non-conformité
- Injonctions contraignantes : mise en demeure de remédier, suspension temporaire de certifications, interdiction temporaire d'exercer des fonctions de direction
Ce dernier point est inédit en droit de la cybersécurité en France. La possibilité de suspendre un dirigeant de ses fonctions pour défaut de conformité NIS2 crée un risque personnel direct que le directeur juridique doit porter à la connaissance du comité de direction.
Comment structurer un plan de mise en conformité NIS2 efficace
La mise en conformité NIS2 s'organise en 5 phases séquentielles, chacune relevant d'une responsabilité identifiable au sein de l'entreprise.
Phase 1 — Qualification et périmètre
- Vérifier l'éligibilité sur MonEspaceNIS2 (plateforme ANSSI)
- Identifier la catégorie (entité essentielle ou importante)
- Cartographier les systèmes d'information et services concernés
Phase 2 — Analyse de risques
- Conduire une analyse de risques formalisée (méthode EBIOS RM recommandée par l'ANSSI)
- Évaluer les risques liés à la chaîne d'approvisionnement
- Prioriser les mesures correctives selon la criticité
Phase 3 — Mise en œuvre des mesures de l'article 21
- Déployer les 10 catégories de mesures techniques et organisationnelles
- Réviser les contrats fournisseurs pour intégrer les exigences de sécurité
- Mettre en place l'authentification multifacteur et les politiques de chiffrement
Phase 4 — Gouvernance et formation
- Formaliser l'approbation des politiques de sécurité par les organes de direction
- Organiser les formations obligatoires des dirigeants
- Documenter les preuves de conformité (registres, PV, attestations)
Phase 5 — Procédures d'incident et tests
- Rédiger la procédure de notification conforme aux 3 étapes réglementaires
- Tester le plan de réponse aux incidents par des exercices de simulation
- Planifier des audits internes réguliers pour évaluer l'efficacité des mesures
La coordination entre direction juridique, DSI et direction générale est le facteur déterminant de réussite. Un accompagnement juridique spécialisé permet de sécuriser chaque étape.
Être accompagné par un avocat en cybersécurité
FAQ
Mon entreprise compte moins de 50 salariés : peut-elle être concernée par NIS2 ?
Oui, dans certains cas. Les fournisseurs de services DNS, les registres de noms de domaine de premier niveau et les prestataires de services de confiance sont soumis à NIS2 quelle que soit leur taille. Par ailleurs, un État membre peut désigner individuellement une entité si sa perturbation aurait un impact significatif sur la sécurité publique ou l'économie.
Quelle est la différence entre entité essentielle et entité importante ?
La distinction repose sur le secteur d'activité et la taille de l'entreprise. Les entités essentielles relèvent des 11 secteurs hautement critiques et sont soumises à des contrôles ex ante (audits préventifs). Les entités importantes relèvent des 7 secteurs critiques supplémentaires et font l'objet de contrôles ex post. Les plafonds de sanctions diffèrent également : 10 M€ ou 2 % du CA mondial pour les premières, 7 M€ ou 1,4 % pour les secondes.
NIS2 s'articule-t-elle avec le RGPD ?
Les deux textes coexistent. Un incident de cybersécurité impliquant des données personnelles déclenche simultanément les obligations de notification NIS2 (auprès de l'ANSSI) et RGPD (auprès de la CNIL, dans un délai de 72 heures). Les procédures internes doivent prévoir cette double notification pour éviter tout manquement.
Les dirigeants risquent-ils des sanctions personnelles ?
Oui. L'article 20 de la directive prévoit que les organes de direction approuvent et supervisent les mesures de cybersécurité. En cas de manquement, la directive autorise les États membres à prononcer une interdiction temporaire d'exercer des fonctions de direction. Ce risque personnel est inédit en matière de cybersécurité en France.
Quand faut-il commencer la mise en conformité ?
Dès maintenant. Bien que la loi française de transposition ne soit pas encore adoptée, les exigences substantielles de la directive sont connues. L'ANSSI recommande aux entités de s'enregistrer sur MonEspaceNIS2 et de lancer leur analyse de risques sans attendre la publication des décrets d'application.
Pour aller plus loin
NIS 2 MesServicesCyber - ANSSI
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
