La directive NIS2 impose des normes de cybersécurité strictes aux structures de plus de 50 salariés ou 10 millions d'euros de chiffre d'affaires dans 18 secteurs critiques. Elle engage la responsabilité pénale des dirigeants et s'applique depuis le 17 octobre 2024 à plus de 15 000 entités françaises. Anticiper les contrôles de l'ANSSI passe par la sécurisation de la supply chain, la mise en place d'une gouvernance cyber et la détection proactive des incidents. Les sanctions peuvent atteindre 2 % du chiffre d'affaires mondial.
La directive NIS2 impose désormais des normes de cybersécurité strictes à plus de 15 000 entités en France, multipliant par trente le périmètre de régulation par rapport au cadre précédent. Ce texte, entré en vigueur le 17 octobre 2024, cible prioritairement les structures de plus de 50 salariés affichant un chiffre d'affaires supérieur à 10 millions d'euros. Pourtant, de nombreuses organisations ignorent encore leur assujettissement réel, notamment par le biais de leur appartenance aux 18 secteurs critiques ou à la chaîne de sous-traitance. Déterminer avec précision qui est concerné par NIS2 est le premier jalon pour éviter des sanctions pouvant atteindre 2 % du chiffre d'affaires mondial : cet article détaille les critères d'éligibilité et les obligations de conformité.
Sommaire
La directive NIS2 impose des normes de cybersécurité à 15 000 entités françaises réparties dans 18 secteurs. Les PME de plus de 50 salariés et 10 millions d'euros de chiffre d'affaires sont désormais ciblées, particulièrement dans l'énergie, la santé et les transports. Le périmètre de régulation repose d'abord sur la nature de l'activité : l'appartenance à un secteur critique constitue le premier filtre d'assujettissement.
La directive distingue les secteurs hautement critiques — énergie, transports, santé — des secteurs importants tels que la gestion des déchets, l'agroalimentaire ou la chimie. Le périmètre inclut également les administrations publiques et le secteur spatial. L'ANSSI supervise cette liste exhaustive pour la France, avec pour objectif d'harmoniser la protection des infrastructures vitales à l'échelle européenne. Chaque domaine possède des spécificités techniques propres à son métier, ce qui implique des approches de mise en conformité différenciées.
Une structure est concernée dès 50 salariés, à condition que son chiffre d'affaires annuel dépasse 10 millions d'euros, ce qui valide l'assujettissement automatique. Les critères de taille retenus pour l'application de la directive sont les suivants :
Des exceptions existent pour les petites structures : certaines micro-entreprises deviennent critiques si elles fournissent des services essentiels comme le DNS. L'impact sur la sécurité publique prime alors sur la taille de l'organisation.
Les Entités Essentielles subissent des contrôles ex-ante très stricts, tandis que les Entités Importantes font l'objet d'une surveillance ex-post déclenchée en cas d'incident avéré. Les exigences techniques varient selon le statut attribué par l'autorité nationale, et les délais de mise en conformité diffèrent en conséquence. La résilience opérationnelle reste l'objectif commun pour l'ensemble des entités régulées.
Le passage de NIS1 à NIS2 fait passer le nombre d'entités régulées de 500 à plus de 10 000 en France.
Au-delà du simple statut juridique, NIS2 impose des actions concrètes qui transforment la gestion interne des organisations concernées.
Les dirigeants doivent désormais approuver les mesures de cybersécurité : leur responsabilité pénale peut être engagée en cas de négligence grave. La gouvernance n'est plus une option technique mais un enjeu stratégique. Pour structurer cette démarche, il est utile de s'appuyer sur le pilotage des risques et de la conformité. La formation des instances dirigeantes devient obligatoire : elles doivent comprendre les cyber-risques pour arbitrer les budgets efficacement.
La directive impose une analyse de risques rigoureuse pour protéger les réseaux et les systèmes d'information contre les intrusions, avec des plans de continuité d'activité solides. Le signalement des incidents est strictement encadré : une notification initiale doit être envoyée sous 24 heures à l'ANSSI, suivie d'un rapport complet dans les 72 heures. Maîtriser la sécurité des systèmes d'information permet d'anticiper efficacement ces alertes : la détection rapide reste le meilleur rempart contre les crises majeures.
La sécurité ne s'arrête pas aux murs de l'entreprise : il faut évaluer le niveau cyber de tous les fournisseurs et inclure des clauses de sécurité spécifiques dans les contrats. Cette exigence crée un véritable effet de ruissellement sur l'ensemble de l'écosystème, contraignant même les sous-traitants non assujettis à s'aligner sur ces standards élevés. Auditer ses partenaires devient une pratique courante, ce qui réduit les vulnérabilités indirectes liées à la chaîne d'approvisionnement numérique.
Pour transformer ces contraintes légales en protection réelle, des solutions opérationnelles comme le Micro-SOC s'avèrent indispensables pour les PME et ETI concernées par NIS2.
Un Micro-SOC offre une supervision adaptée aux PME : il collecte les logs et détecte les comportements anormaux, répondant directement aux exigences de journalisation NIS2. La mise en place d'un Micro-SOC pour PME et ETI permet une qualification humaine des alertes qui évite la saturation des équipes. Réagir vite réduit l'impact financier d'une attaque : c'est l'atout majeur d'une approche pragmatique et dimensionnée.
Recruter un RSSI senior est complexe et coûteux. Le modèle CISO-as-a-Service apporte une expertise immédiatement opérationnelle, ce consultant pilotant la mise en conformité de bout en bout. Opter pour un RSSI externalisé ou un consultant garantit un suivi régulier sans peser sur la masse salariale, tout en assurant une neutralité précieuse lors des audits et une roadmap cyber cohérente dans le temps.
La conformité ne doit pas rester théorique. Opsky fusionne la gouvernance réglementaire avec la réalité technique du terrain : chaque recommandation est chiffrée et réalisable immédiatement. Grâce à la solution proposée par Opsky, l'objectif est d'élever la maturité cyber sans bloquer les processus métier.
| Besoin NIS2 | Solution technique | Apport GRC |
|---|---|---|
| Surveillance | Micro-SOC | Détection proactive |
| Gouvernance | CISO-as-a-Service | Pilotage stratégique |
| Supply chain | Audit tiers | Gestion des risques tiers |
| Incident | Plan de réponse | Conformité réglementaire |
Ignorer ces obligations expose l'entreprise à des conséquences lourdes, tant sur le plan financier que réputationnel.
Les amendes administratives sont dissuasives : pour les entités essentielles, elles peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, tandis que les entités importantes risquent jusqu'à 7 millions d'euros. La perte de confiance constitue le risque caché : un incident majeur non déclaré ternit l'image auprès des clients, et les assureurs pourraient refuser de couvrir les sinistres.
Les sanctions NIS2 ne sont pas que financières ; elles visent à imposer une culture de la responsabilité au sommet des entreprises.
L'ANSSI dispose de pouvoirs de contrôle étendus : les entreprises doivent fournir des preuves documentaires de leur démarche, et la cartographie des risques est souvent le premier document exigé. Préparer un audit de cybersécurité complet permet de démontrer une progression constante et une réduction réelle des vulnérabilités. Les indicateurs de performance du Micro-SOC servent de justificatifs techniques, prouvant que la détection est active et efficace : une posture proactive est toujours valorisée lors des inspections officielles.
Déterminer précisément qui est concerné par NIS2 est l'étape cruciale pour sécuriser vos actifs et éviter des sanctions lourdes. Identifiez votre statut, déployez un Micro-SOC et engagez la responsabilité de votre gouvernance pour transformer cette contrainte en levier de résilience.
La directive NIS2 s'applique aux entités opérant dans 18 secteurs stratégiques, incluant l'énergie, la santé, les transports et les services numériques. Sont principalement visées les entreprises de taille moyenne et les grandes structures employant plus de 50 salariés ou réalisant un chiffre d'affaires annuel supérieur à 10 millions d'euros. Certaines entités sont toutefois assujetties indépendamment de leur taille, comme les fournisseurs de services DNS, les registres de noms de domaine ou les administrations publiques. En France, l'ANSSI estime que plus de 10 000 organisations sont désormais soumises à ces nouvelles exigences de cybersécurité.
Quelle est la différence entre une entité essentielle et une entité importante ?La distinction repose sur la criticité du service rendu et l'impact d'une éventuelle interruption. Les entités essentielles (énergie, santé, transports) sont soumises à un régime de surveillance strict avec des contrôles ex-ante. Les entités importantes (gestion des déchets, agroalimentaire, services postaux) font l'objet d'une surveillance ex-post, déclenchée en cas d'incident avéré. Cette classification module également le niveau des sanctions financières : les entités essentielles encourent des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, tandis que le plafond pour les entités importantes est fixé à 7 millions d'euros ou 1,4 % du chiffre d'affaires.
Les PME et les sous-traitants doivent-ils également se mettre en conformité ?Oui, dès lors qu'une PME dépasse le seuil de 50 collaborateurs ou de 10 millions d'euros de chiffre d'affaires dans un secteur listé, elle devient directement assujettie. La directive introduit par ailleurs une obligation de sécurisation de la supply chain : les entités régulées doivent auditer le niveau de sécurité de leurs fournisseurs tiers. Par effet de ruissellement, même une petite structure non assujettie par sa taille devra élever ses standards de protection pour conserver ses contrats avec des donneurs d'ordres essentiels ou importants. La sécurité des systèmes d'information devient ainsi une condition sine qua non de la relation commerciale.
Quelles sont les sanctions prévues en cas de non-respect des obligations NIS2 ?Le cadre réglementaire prévoit des sanctions administratives et financières dissuasives pouvant atteindre plusieurs millions d'euros selon le statut de l'entité. Au-delà de l'impact pécuniaire, le défaut de conformité expose l'organisation à des risques réputationnels majeurs et à une remise en cause des couvertures d'assurance cyber. NIS2 introduit également la responsabilité pénale des dirigeants : ces derniers ont l'obligation d'approuver les mesures de gestion des risques et de suivre des formations spécifiques. En cas de négligence grave dans la mise en œuvre des dispositifs de sécurité, leur responsabilité personnelle peut être engagée.
Quelles sont les premières étapes pour valider sa conformité NIS2 ?La priorité est de réaliser une analyse de risques approfondie et de cartographier les systèmes d'information critiques. Il faut ensuite mettre en place des mesures de gouvernance, incluant la formation des collaborateurs et l'élaboration de plans de continuité d'activité. La détection proactive, via des solutions comme un Micro-SOC, est indispensable pour répondre aux exigences de signalement d'incidents sous 24 heures. Il est fortement recommandé de désigner un RSSI ou de faire appel à un CISO-as-a-Service pour piloter la roadmap de mise en conformité de manière pragmatique et structurée.
Comment le Micro-SOC aide-t-il à répondre aux exigences NIS2 ?Le Micro-SOC assure une supervision continue des systèmes d'information, collectant les logs et détectant les comportements anormaux en temps réel. Cette surveillance répond directement aux exigences de journalisation et de détection imposées par NIS2, tout en permettant de respecter le délai de notification de 24 heures à l'ANSSI. La qualification humaine des alertes évite la saturation des équipes et garantit une réponse rapide et proportionnée à chaque incident. Dimensionné pour les PME et ETI, le Micro-SOC constitue un outil pragmatique pour prouver une posture de sécurité active lors des audits de l'ANSSI.