NIS2 : mon entreprise est-elle concernée en 2025 et par où commencer ?

L’essentiel en 30 secondes

• NIS 2 est la directive européenne qui renforce la cybersécurité de milliers d’entités « essentielles » ou « importantes ». Elle fixe des mesures à mettre en place, des délais de notification d’incident et des sanctions en cas de manquement.
• En France, la loi de transposition est en cours d’achèvement : adoptée au Sénat le 12 mars 2025, elle doit encore être examinée par l’Assemblée nationale à l’automne 2025.

NIS 2, en deux mots

La directive (UE) 2022/2555 (« NIS 2 ») impose un socle commun de cybersécurité dans l’UE et remplace NIS 1. Les États membres devaient la transposer au plus tard le 17 octobre 2024. Elle s’appuie aussi sur les autorités nationales (en France, l’ANSSI) pour superviser l’application.

Êtes-vous concerné ? (auto-diagnostic rapide)

1. Votre taille
   Vous êtes a priori dans le champ si vous êtes une entreprise moyenne ou grande (réf. Recommandation 2003/361/CE) dans un secteur visé.
2. Votre secteur
   NIS 2 couvre des secteurs hautement critiques (annexe I) et critiques (annexe II), par ex. : énergie, transports, banque et marchés financiers, santé, eau potable/assainissement, infrastructures numériques (cloud, data centers, CDN, DNS), administration publique, alimentation, services numériques (marketplaces, moteurs de recherche, réseaux sociaux), poste/courrier, gestion des déchets, fabrication de certains produits critiques, etc.
3. Cas particuliers (même si vous êtes « petit »)
   – Prestataires de services de confiance qualifiés (eIDAS) et registres/registrars DNS : toujours dans le champ, quelle que soit la taille.
   – Les fournisseurs de réseaux/services de communications électroniques publics et certaines administrations publiques peuvent être visés selon des critères nationaux.
   – Un État membre peut identifier d’autres entités comme essentielles/importance « par désignation » en fonction du risque.

Conclusion rapide : si vous faites partie d’un des secteurs ci-dessus et que vous êtes ≥ 50 salariés ou ≥ 10 M€ de CA, il est probable que vous soyez concerné (niveau « essentiel » ou « important » selon le secteur). Vérification finale à réaliser au regard des textes nationaux d’application.

Faite le test sur MonEspaceNIS2 (site gouvernemental) : https://monespacenis2.cyber.gouv.fr 

Quelles obligations principales ?

NIS 2 exige des mesures techniques, organisationnelles et opérationnelles proportionnées au risque (art. 21). À minima :

• Politique d’analyse de risque & sécurité SI (alignable sur un SMSI de type ISO 27001)
• Gestion des incidents
• Continuité d’activité (sauvegardes, reprise, gestion de crise)
• Sécurité de la chaîne d’approvisionnement
• Sécurité de l’acquisition/développement/maintenance (gestion des vulnérabilités)
• Évaluation de l’efficacité des mesures
• Cyber-hygiène & formation
• Cryptographie/chiffrement appropriés
• Sécurité RH, contrôle d’accès & gestion des actifs
• MFA/authentification forte, communications et canaux d’urgence sécurisés

Côté gouvernance (art. 20), le dirigeant doit approuver ces mesures, superviser leur mise en œuvre et peut être tenu responsable en cas de violation de l’art. 21.

Délais de notification d’incident (art. 23)

• Alerte précoce : 24 h après connaissance de l’incident important
• Notification détaillée : 72 h
• Rapport final : 1 mois (ou rapport d’avancement si l’incident se poursuit)

Sanctions (plafonds NIS 2)

• Entités essentielles : jusqu’à 10 M€ ou 2 % du CA mondial (le plus élevé).
• Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA mondial.

Contexte France 2025 : où en est la transposition ?

• 12 mars 2025 : le Sénat adopte en première lecture le projet de loi « résilience des infrastructures critiques et renforcement de la cybersécurité » (transposition NIS 2, REC et dispositions liées à DORA).
• Automne 2025 : l’Assemblée nationale doit examiner le texte (procédure accélérée).
• Ressources officielles : dossier législatif Sénat/AN + portail ANSSI.

Check-list TPE/PME : 10 actions concrètes pour « être prêt NIS 2 »

1. Cartographier vos services critiques (processus, SI, dépendances cloud/fournisseurs).
   → Utile : réaliser un audit cybersécurité.
2. Qualifier votre exposition : taille (≥ 50/≥ 10 M€), secteur (annexes I & II), cas particuliers.
3. Nommer un responsable (pilotage NIS 2), briefer la direction (art. 20).
4. Mettre en place/mettre à niveau les mesures de l’art. 21 (politique SSI, PCA/PRS, MFA, etc.).
   → Référence gouvernance : ISO 27001.
5. Établir la procédure 24h/72h/30j (qui notifie ? à qui ? quelles infos ?).
6. Formaliser la gestion des vulnérabilités (corriger, divulguer si nécessaire).
7. Durcir la chaîne d’approvisionnement : exigences contractuelles & suivi des MSSP/éditeurs.
8. Former/entrainer (sensibilisation + exercices table-top gestion de crise).
   → Voir : sensibiliser ses salariés à la cybersécurité.
9. Mesurer (KPI sécurité : incidents, MTTD/MTTR, taux de patch, succès sauvegardes).
10. Prévoir le cas « amende » : trajectoire de conformité, journal des preuves, revue direction.

Et maintenant ?

Même avant la publication des derniers textes d’application français, se préparer sur le fond NIS 2 (mesures de l’art. 21, procédure de notification, gouvernance) vous fait gagner des mois et réduit le risque de non-conformité une fois les seuils nationaux précisés.

Pour un diagnostic d’éligibilité et un plan 90 jours adaptés à votre contexte, contactez-nous.

Sources officielles & Ressources utiles

• Directive (UE) 2022/2555 (NIS 2) — texte au JOUE (FR) : eur-lex.europa.eu
• ANSSI — La directive NIS 2 : cyber.gouv.fr
• Sénat — Dossier législatif (transposition) : senat.fr
• Assemblée nationale — Dossier (texte adopté par le Sénat, 12/03/2025) : assemblee-nationale.fr
• MonEspaceNIS2 (ANSSI) : monespacenis2.cyber.gouv.fr
• Légifrance — Dossier : legifrance.gouv.fr

Besoin d’un avis rapide sur votre éligibilité NIS 2 et vos priorités ? Contactez-nous via le formulaire : https://www.cyberses.fr/contact