15 mars 2026 20 min de lectureAventris

NIS2 : le guide complet pour les entreprises françaises (édition 2026)

La directive NIS2 (directive européenne 2022/2555), adoptée le 14 décembre 2022, représente un tournant majeur pour la cybersécurité en Europe. En remplacement de NIS1 (2016) qui ne couvrait qu'environ 300 Opérateurs de Services Essentiels (OSE) en France, NIS2 élargit considérablement son périmètre à plus de 15 000 entités françaises selon les estimations de l'ANSSI et de l'INSEE.

La transposition française se fait via le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, communément appelé « loi Résilience ». Au 14 mars 2026, ce texte a été adopté en première lecture au Sénat (15 octobre 2024), puis examiné en commission spéciale à l'Assemblée nationale (10 septembre 2025). L'adoption définitive est attendue pour le printemps-été 2026, avec une publication des décrets d'application techniques de l'ANSSI au second semestre 2026.

L'enjeu pour les entreprises est clair : ne pas attendre la promulgation. La mise en conformité prend entre 12 et 24 mois. Anticiper maintenant, c'est transformer une contrainte réglementaire en avantage compétitif. Pour un détail complet des 10 mesures de l'Article 21, consultez notre guide des mesures Article 21.

Qu'est-ce que NIS2 ?

La cybercriminalité est devenue la troisième économie mondiale selon le World Economic Forum. Face à cette réalité, l'Union européenne a choisi d'harmoniser le niveau de cybersécurité de ses États membres. NIS2 (Network and Information Security) est la réponse législative à ce défi.

Contrairement au RGPD qui est un règlement (directement applicable dans tous les États membres), NIS2 est une directive : chaque État doit la transposer dans son droit national, ce qui laisse une marge d'adaptation. En France, cette transposition se matérialise par la loi Résilience et les décrets ANSSI qui suivront.

NIS2 repose sur trois piliers fondamentaux :

  • Gouvernance : les dirigeants sont personnellement responsables de la cybersécurité (Article 20)
  • Gestion des risques : 10 catégories de mesures obligatoires (Article 21)
  • Notification d'incidents : triple délai de 24h, 72h et 1 mois (Article 23)

Qui est concerné en France ?

NIS2 distingue deux catégories d'entités régulées, basées sur des critères de taille et de secteur d'activité. Pour une analyse complète de ces catégories, consultez notre article Entités essentielles vs entités importantes.

Critères de taille

  • Entités essentielles (EE) : ≥ 250 salariés OU chiffre d'affaires ≥ 50 M€ OU bilan ≥ 43 M€, dans un secteur hautement critique
  • Entités importantes (EI) : ≥ 50 salariés OU ≥ 10 M€ de CA, dans un secteur hautement critique ou critique

Les 18 secteurs concernés

11 secteurs hautement critiques (Annexe I) : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administration publique, espace.

7 secteurs critiques (Annexe II) : services postaux et d'expédition, gestion des déchets, fabrication/production/distribution de produits chimiques, production/transformation/distribution de denrées alimentaires, fabrication (dispositifs médicaux, produits informatiques, équipements électroniques, machines, véhicules à moteur), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), organismes de recherche.

Certaines entités sont concernées quelle que soit leur taille : fournisseurs de services DNS, registres de noms de domaine de premier niveau (TLD), prestataires de services de confiance qualifiés, et opérateurs de points d'échange internet (IXP).

L'ANSSI a mis en place le portail Mon Espace NIS2 pour permettre aux organisations de vérifier si elles sont concernées et de s'enregistrer le moment venu.

Les 10 mesures de cybersécurité (Article 21)

L'Article 21, paragraphe 2, constitue le cœur opérationnel de NIS2. Il liste 10 catégories de mesures de gestion des risques que toutes les entités régulées doivent mettre en œuvre. Pour un guide d'implémentation détaillé de chaque mesure, consultez notre article Les 10 mesures NIS2 de l'Article 21.

(a) Politiques d'analyse des risques et de sécurité des systèmes d'information — Formaliser une politique de sécurité des SI (PSSI) basée sur une analyse de risques documentée. Concrètement : mener une analyse EBIOS RM, rédiger et faire valider la PSSI par la direction.

(b) Gestion des incidents — Mettre en place des procédures de détection, de réponse et de signalement des incidents. Concrètement : rédiger un plan de réponse aux incidents, définir les rôles et les circuits d'escalade.

(c) Continuité des activités — Élaborer des plans de continuité (PCA) et de reprise d'activité (PRA), incluant la gestion de crise et les sauvegardes. Concrètement : documenter les processus critiques, tester les sauvegardes régulièrement.

(d) Sécurité de la chaîne d'approvisionnement — Évaluer et gérer les risques liés aux fournisseurs et prestataires. Concrètement : cartographier les fournisseurs critiques, intégrer des clauses de sécurité dans les contrats.

(e) Sécurité de l'acquisition, du développement et de la maintenance — Intégrer la sécurité dans le cycle de vie des systèmes. Concrètement : mettre en place des revues de code, des tests de vulnérabilité et une gestion des correctifs.

(f) Évaluation de l'efficacité des mesures — Vérifier régulièrement que les mesures de sécurité sont effectives. Concrètement : mener des audits internes, des tests d'intrusion et des exercices de crise.

(g) Pratiques de cyberhygiène et formation — Former et sensibiliser tous les collaborateurs. Concrètement : campagnes de phishing simulé, formations obligatoires annuelles, charte informatique.

(h) Politiques de cryptographie — Mettre en œuvre le chiffrement des données sensibles. Concrètement : chiffrement au repos et en transit, gestion des clés et des certificats.

(i) Sécurité des RH, contrôle d'accès, gestion des actifs — Contrôler les accès et gérer le cycle de vie des collaborateurs et des actifs. Concrètement : principe du moindre privilège, inventaire des actifs, procesus d'arrivée/départ.

(j) Authentification multifacteur et communications sécurisées — Déployer le MFA et sécuriser les canaux de communication. Concrètement : MFA sur tous les accès critiques, VPN, communications chiffrées.

Notification des incidents (Article 23)

L'Article 23 impose un triple délai de notification en cas d'incident significatif, c'est-à-dire un incident ayant un impact significatif sur la fourniture des services. Pour une analyse détaillée de la transposition française, consultez notre page Transposition ANSSI.

  • Alerte précoce sous 24 heures : signaler l'incident à l'ANSSI (autorité compétente en France), en indiquant s'il est vraisemblablement d'origine malveillante ou s'il pourrait avoir un impact transfrontalier.
  • Notification sous 72 heures : fournir une évaluation initiale de l'incident, sa gravité, son impact et les indicateurs de compromission si disponibles.
  • Rapport final sous 1 mois : description détaillée de l'incident, cause probable, mesures de remédiation appliquées et impact transfrontalier éventuel.

Si l'incident implique des données personnelles, une notification CNIL (RGPD) peut être requise en parallèle, dans un délai de 72 heures. Les deux notifications sont distinctes et complémentaires.

Sanctions et responsabilité des dirigeants

NIS2 renforce considérablement le volet répressif par rapport à NIS1 :

  • Entités essentielles : amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).
  • Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial.

La grande nouveauté de NIS2 est la responsabilité personnelle des dirigeants (Article 20). Les organes de direction doivent approuver les mesures de gestion des risques et suivre des formations en cybersécurité. En cas de manquement grave, un dirigeant peut être temporairement suspendu de ses fonctions. Les sanctions non financières incluent également des avertissements publics, des audits obligatoires et des injonctions de mise en conformité. Pour approfondir la question de la proportionnalité et de la responsabilité, consultez notre article Article 21 : les mesures de gestion des risques.

Calendrier de la transposition en France

Le parcours législatif de la transposition NIS2 en France a connu plusieurs étapes clés. Pour une chronologie complète et mise à jour, consultez notre article Calendrier NIS2 : échéances 2025-2028.

  • 14 décembre 2022 : adoption de la directive NIS2 par le Parlement européen et le Conseil de l'UE.
  • 16 janvier 2023 : entrée en vigueur de la directive. Les États membres ont 21 mois pour transposer.
  • 17 octobre 2024 : date limite de transposition — non respectée par la France (comme par la majorité des États membres).
  • 15 octobre 2024 : présentation du projet de loi Résilience en Conseil des ministres.
  • Mars 2025 : adoption en première lecture au Sénat.
  • 10 septembre 2025 : vote en commission spéciale à l'Assemblée nationale.
  • Printemps-été 2026 (prévision) : adoption définitive et promulgation de la loi Résilience.
  • S2 2026 : publication des décrets d'application et du référentiel technique ANSSI.
  • 2026-2029 : période de transition progressive (jusqu'à 3 ans pour certaines catégories d'entités).

Plan d'action concret en 5 étapes

Voici la démarche recommandée pour structurer votre mise en conformité NIS2. Chaque étape correspond à un volet de la plateforme Aventris.

Étape 1 : Déterminer si votre organisation est concernée

Utilisez le portail Mon Espace NIS2 de l'ANSSI pour vérifier votre éligibilité. Si vous opérez dans l'un des 18 secteurs et dépassez les seuils de taille, vous êtes vraisemblablement concerné.

Étape 2 : Réaliser un auto-audit de maturité

Évaluez votre niveau de maturité actuel sur les 10 mesures de l'Article 21. L'auto-audit Aventris propose 94 questions réparties sur 14 piliers avec un scoring automatique pour identifier vos forces et vos lacunes.

Étape 3 : Cartographier les risques avec EBIOS RM

L'Article 21 §2(a) exige une analyse de risques formelle. La méthode EBIOS RM, développée par l'ANSSI, est la référence en France. Pour comprendre l'articulation entre EBIOS RM et NIS2, consultez notre article EBIOS RM et NIS2.

Étape 4 : Constituer le dossier de preuves

L'ANSSI vérifiera que chaque mesure est accompagnée de preuves tangibles : politiques signées, registres de risques, PV de tests, journaux de formation, résultats d'audits. Le dossier de preuves Aventris couvre les 65 exigences avec des campagnes de collecte et un suivi des échéances.

Étape 5 : Piloter et améliorer en continu

NIS2 n'est pas un projet ponctuel mais un processus continu. Le tableau de bord, les revues périodiques et l'échéancier Aventris permettent de maintenir la conformité dans la durée et de préparer sereinement les contrôles ANSSI.

FAQ — Questions fréquentes sur NIS2

Évaluez votre conformité NIS2 en 30 minutes

Aventris structure votre démarche NIS2 de bout en bout : auto-audit, EBIOS RM, dossier de preuves et pack audit ANSSI.

Articles connexes

Pratique

Les 10 mesures NIS2 de l'Article 21 : guide d'implémentation pratique

L'Article 21 est le cœur opérationnel de NIS2. Pour chacune des 10 mesures (a) à (j), découvrez ce qu'il faut faire concrètement, les preuves à produire et les quick wins à mettre en place.

15 mars 2026 15 min
Actualité

Directive NIS2 : calendrier complet et échéances 2025-2028 en France

La France accuse du retard dans la transposition de NIS2. Retrouvez la chronologie complète — de l'adoption européenne aux décrets ANSSI attendus — et les étapes clés pour votre mise en conformité.

15 mars 2026 8 min
Guide

Entités essentielles vs entités importantes NIS2 : êtes-vous concerné ?

NIS2 distingue entités essentielles (EE) et entités importantes (EI). Critères de taille, 18 secteurs concernés, différences de supervision et sanctions : tout comprendre pour situer votre organisation.

15 mars 2026 10 min