SécuritéNIS2 : tout le monde attend « la date ». C'est exactement le piège (15 000 entreprises concernées, et le dirigeant est personnellement responsable)
« C'est pour quand, NIS2 ? » — vous posez la mauvaise question
C'est la question que me posent les dirigeants dès que le sujet arrive : *« NIS2, c'est applicable à partir de quand ? »* Ils attendent une date pour s'y mettre. Comme pour le RGPD en 2018, comme pour la facturation électronique ou l'AI Act.
Sauf que pour NIS2, il n'y a pas encore de date. Et c'est exactement là qu'est le piège.
La directive européenne NIS2 (règlement UE 2022/2555) aurait dû être transposée en droit français avant le 17 octobre 2024. La France a manqué l'échéance. Le texte de transposition — la loi Résilience — a été adopté en première lecture au Sénat le 12 mars 2025, puis s'est enlisé : au 2 juin 2026, il n'est toujours pas voté définitivement ni promulgué. Source : dossier législatif du Sénat.
Le réflexe naturel, c'est d'attendre. « On verra quand ce sera voté. » C'est l'erreur. Parce qu'une fois la loi promulguée et les décrets publiés, le délai de mise en conformité sera court — et la mise en conformité, elle, prend des mois. L'ANSSI ne s'y est pas trompée : elle a déjà publié, le 17 mars 2026, son Référentiel Cyber France (ReCyF), la feuille de route concrète des mesures à appliquer. Source : cyber.gouv.fr.
Autrement dit : le compte à rebours a déjà commencé. Il n'attend pas le vote. Et ce qui rend NIS2 différent des autres réglementations, c'est que cette fois, la responsabilité ne s'arrête pas à la société — elle remonte jusqu'à vous, dirigeant, personnellement. Voici ce que personne ne vous explique clairement.
Où en est vraiment la loi (le calendrier honnête)
On lit tout et son contraire sur les dates. Voici ce qui est officiellement établi — et ce qui ne l'est pas.
| Date | Étape | Statut |
|---|---|---|
| 16 janvier 2023 | Entrée en vigueur de la directive NIS2 au niveau européen | Fait |
| 17 octobre 2024 | Date limite de transposition imposée aux États membres | Échéance manquée par la France |
| 12 mars 2025 | Adoption en 1re lecture au Sénat du projet de loi Résilience | Fait |
| 17 mars 2026 | Publication par l'ANSSI du Référentiel Cyber France (ReCyF) | Fait |
| Examen à l'Assemblée nationale | Vote définitif puis promulgation de la loi | Toujours en attente au 2 juin 2026 |
| Après promulgation | Décrets et arrêtés ANSSI, puis enregistrement des entités et délais de conformité | Non daté officiellement |
Source : dossier législatif du Sénat et ANSSI — cyber.gouv.fr.
Méfiez-vous des dates précises qui circulent (« vote en juillet », « conformité en octobre »). À ce jour, elles proviennent de commentateurs, pas de sources officielles. La seule chose certaine : le texte avance, l'ANSSI a déjà sorti son référentiel, et le retard français ne durera pas éternellement. Construire votre conformité maintenant, pendant qu'il n'y a pas de pression de calendrier, c'est la transformer d'urgence subie en chantier maîtrisé.
Êtes-vous concerné ? (spoiler : bien plus d'entreprises que vous ne pensez)
NIS1, l'ancienne directive, ne visait que les « opérateurs d'importance vitale » : environ 300 entités en France. NIS2 fait exploser ce périmètre à près de 15 000 entités. Source : ANSSI.
Le changement est radical, parce que NIS2 raisonne désormais par secteur et par taille, et non plus par désignation individuelle.
Les 18 secteurs visés
La directive distingue 11 secteurs « hautement critiques » (Annexe I) et 7 secteurs « critiques » (Annexe II) :
- Hautement critiques : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (datacenters, cloud, DNS), gestion des services TIC en B2B, administration publique, espace.
- Critiques : services postaux, gestion des déchets, fabrication/industrie, production et distribution de produits chimiques, production et distribution alimentaire, fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.
Si vous éditez un SaaS, hébergez des services, faites de l'industrie ou de la sous-traitance industrielle, ou opérez dans la santé ou l'agroalimentaire, regardez de très près : vous êtes probablement dans le champ.
Le critère de taille
Au-delà du secteur, c'est votre taille qui déclenche l'assujettissement. Le seuil d'entrée correspond à la « moyenne entreprise » au sens européen :
- au moins 50 salariés, ou
- plus de 10 M€ de chiffre d'affaires annuel et plus de 10 M€ de total de bilan.
En dessous, vous êtes en principe hors champ direct (sauf désignation spécifique). Au-dessus, vous y êtes.
Entités Essentielles (EE) vs Entités Importantes (EI)
NIS2 crée deux catégories, avec des niveaux d'obligation et de contrôle différents :
| Entités Essentielles (EE) | Entités Importantes (EI) | |
|---|---|---|
| Qui | Grandes entreprises des secteurs hautement critiques (≥ 250 salariés, ou CA > 50 M€ et bilan > 43 M€) | Entreprises moyennes (≥ 50 salariés ou > 10 M€), et entités des secteurs critiques |
| Contrôle | Supervision proactive (audits, inspections *a priori*) | Supervision réactive (contrôle *a posteriori*, en cas d'incident ou de signalement) |
| Sanction max | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
La majorité des PME concernées tomberont dans la catégorie Entités Importantes — moins surveillées en amont, mais soumises aux mêmes obligations techniques de fond.
Le piège que personne ne vous montre : l'effet cascade fournisseurs
Voici le point que je martèle auprès des fondateurs que j'accompagne, et qui change tout : vous pouvez être hors champ NIS2 et quand même devoir vous y conformer.
Comment ? Par la chaîne d'approvisionnement. L'article 21 de la directive impose explicitement aux entités assujetties de sécuriser leurs relations avec leurs fournisseurs et prestataires. Concrètement, une entreprise soumise à NIS2 a l'obligation de s'assurer que ses sous-traitants — éditeurs de logiciels, hébergeurs, prestataires IT, agences techniques — appliquent un niveau de sécurité suffisant.
Résultat en chaîne :
- Votre gros client industriel soumis à NIS2 va vous demander, à vous son fournisseur de logiciel, des attestations de sécurité, des clauses contractuelles, parfois un audit.
- Si vous ne pouvez pas répondre, vous devenez le maillon faible — et un risque que votre client cherchera à éliminer.
- À l'inverse, une PME capable de prouver sa conformité aux exigences NIS2 devient un argument commercial face à des concurrents qui pataugent.
C'est exactement la même mécanique que pour la sécurité de la supply chain logicielle, dont j'ai décortiqué un cas réel avec l'attaque npm/axios : une faille chez un fournisseur contamine tout le monde en aval. NIS2 ne fait que graver cette logique dans la loi. Même si la directive ne vous vise pas directement, vos clients, eux, vont vous l'imposer. C'est la rupture commerciale silencieuse — le même piège que pour la facturation électronique, où l'enjeu réel n'est pas l'amende mais le client perdu.
La responsabilité personnelle du dirigeant (la vraie nouveauté)
C'est l'angle dont personne ne parle, et c'est pourtant le plus important pour vous qui dirigez.
Jusqu'ici, la cybersécurité était un sujet qu'on déléguait au DSI ou au prestataire IT. Avec NIS2, la responsabilité remonte juridiquement au niveau de la direction. Deux articles le gravent dans le marbre :
- Article 20 — Les organes de direction doivent approuver les mesures de gestion des risques cyber et superviser leur mise en œuvre. Et — point souvent ignoré — les dirigeants ont l'obligation de suivre une formation en cybersécurité, régulièrement, pour être capables d'identifier les risques et d'évaluer les mesures.
- Article 32 — En cas de manquement persistant d'une Entité Essentielle, les autorités peuvent aller jusqu'à interdire temporairement à une personne physique d'exercer des fonctions de direction (niveau dirigeant ou représentant légal), et suspendre certaines certifications ou autorisations.
Lisez bien la dernière ligne. Un dirigeant peut, en théorie, se voir temporairement interdit d'exercer ses fonctions en cas de manquement grave et répété aux obligations de cybersécurité. Source : directive (UE) 2022/2555, articles 20 et 32.
On passe d'une logique de « problème technique » à une logique de responsabilité de gouvernance, exactement comme la sécurité financière ou la conformité fiscale. La cybersécurité n'est plus un sujet d'ingénieur : c'est un sujet de comité de direction. C'est d'ailleurs pour ça que je traite la sécurité dès la conception sur chacun de mes projets, et pas comme une couche qu'on rajoute à la fin.
Les sanctions financières (et pourquoi elles ne sont pas le vrai sujet)
L'article 34 de la directive fixe les plafonds, en retenant le montant le plus élevé entre la valeur absolue et le pourcentage du chiffre d'affaires :
| Type d'entité | Sanction maximale |
|---|---|
| Entité Essentielle (EE) | 10 millions € ou 2 % du CA annuel mondial total |
| Entité Importante (EI) | 7 millions € ou 1,4 % du CA annuel mondial total |
Source : directive (UE) 2022/2555, article 34.
Ce sont des montants comparables au RGPD. Mais comme pour la facturation électronique, l'amende n'est pas le vrai risque pour la plupart des PME. Le vrai risque, c'est triple : l'incident lui-même (rançongiciel, vol de données, arrêt d'activité), la perte de clients par l'effet cascade décrit plus haut, et désormais la mise en cause personnelle du dirigeant. L'amende n'est que la cerise réglementaire sur un gâteau déjà coûteux.
Ce que vous devez réellement mettre en place
NIS2 ne demande pas de la magie : elle demande une hygiène de sécurité sérieuse et documentée. L'article 21 liste les mesures de gestion des risques attendues. Les voici traduites en langage de dirigeant :
| Exigence NIS2 (art. 21) | Ce que ça veut dire concrètement |
|---|---|
| Analyse des risques + politique de sécurité | Savoir ce qu'on protège, contre quoi, et l'avoir écrit |
| Gestion des incidents | Une procédure claire : qui fait quoi quand ça casse |
| Continuité d'activité et sauvegardes | Des sauvegardes testées, un plan de reprise |
| Sécurité de la chaîne d'approvisionnement | Évaluer et exiger la sécurité de ses fournisseurs |
| Sécurité du développement et de la maintenance | Coder, déployer et maintenir proprement (pas de rustines) |
| Cyber-hygiène et formation | Sensibiliser les équipes, former la direction |
| Chiffrement et cryptographie | Protéger les données au repos et en transit |
| Authentification multifacteur (MFA) et accès | MFA partout, principe du moindre privilège |
À cela s'ajoute une obligation que beaucoup sous-estiment : la notification des incidents significatifs à l'autorité (article 23), avec des délais stricts.
- Alerte précoce sous 24 heures après la prise de connaissance de l'incident.
- Notification complète sous 72 heures (évaluation de la gravité, de l'impact, des indicateurs de compromission).
- Rapport final sous un mois (cause racine, mesures prises, impact).
Source : directive (UE) 2022/2555, article 23. 24 heures, c'est court. Sans procédure préparée à l'avance, c'est intenable.
Le ReCyF de l'ANSSI : votre feuille de route est déjà publiée
Bonne nouvelle dans tout ça : vous n'avez pas à deviner ce que l'État attend. Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Source : cyber.gouv.fr.
C'est un document structuré par objectifs de sécurité, avec des mesures graduées selon que vous êtes Entité Importante ou Entité Essentielle. Tant que la loi n'est pas promulguée, il a une valeur de recommandation — mais il deviendra la base contraignante. L'utiliser dès aujourd'hui comme grille d'auto-évaluation, c'est prendre une longueur d'avance gratuite. C'est exactement ce que je fais avec les PME que j'accompagne : on confronte l'existant au ReCyF, on identifie les écarts, on priorise.
NIS2, AI Act, facturation électronique : la même logique de fond
Si vous me lisez régulièrement, vous voyez le motif se répéter. En 2026, trois grandes réglementations se télescopent pour les dirigeants de PME :
- la facturation électronique, qui touche votre compta et vos flux ;
- l'AI Act, qui touche vos usages de l'IA ;
- NIS2, qui touche votre cybersécurité et votre gouvernance.
Trois textes différents, une même logique de fond : la conformité n'est plus une option de grande entreprise, c'est une condition d'exercice pour les PME. Et toutes les trois partagent le même piège — on les sous-estime parce qu'elles n'ont « pas encore de date ferme » ou « pas encore frappé », alors que la mise en conformité, elle, prend des mois. Celui qui anticipe transforme une contrainte en avantage ; celui qui attend subit dans l'urgence.
Votre plan d'action (sans attendre la date)
Voici la démarche que je recommande, en 6 étapes, étalées sur environ 12 semaines. Elle ne dépend d'aucune date de vote : elle vous prépare quoi qu'il arrive.
Étape 1 — Auto-diagnostic d'assujettissement (semaines 1-2)
Déterminez votre situation : votre secteur figure-t-il dans les 18 listés ? Atteignez-vous le seuil de taille (≥ 50 salariés ou > 10 M€) ? Êtes-vous potentiellement Entité Essentielle ou Importante ? Et surtout : un de vos gros clients est-il assujetti (effet cascade) ? Si oui à l'une de ces questions, continuez.
Étape 2 — Cartographie des risques et des actifs (semaines 3-4)
Listez vos systèmes, vos données sensibles, vos dépendances (fournisseurs, SaaS, hébergeurs). Identifiez où sont les risques majeurs. C'est la base exigée par l'article 21, et c'est aussi simplement du bon sens.
Étape 3 — Gap analysis face au ReCyF (semaines 5-6)
Confrontez votre existant au Référentiel Cyber France de l'ANSSI. Pour chaque objectif de sécurité, êtes-vous conforme, partiellement, ou pas du tout ? Vous obtenez une liste priorisée d'actions concrètes.
Étape 4 — Déploiement des mesures techniques (semaines 7-8)
Attaquez les écarts prioritaires : MFA généralisée, chiffrement, sauvegardes testées, gestion des accès, sécurisation du développement et des déploiements. C'est le cœur technique — et c'est exactement le type de chantier sur lequel j'interviens.
Étape 5 — Procédure d'incident et notification 24h (semaines 9-10)
Rédigez et testez votre procédure de réponse à incident, avec la chaîne d'alerte permettant de notifier l'autorité sous 24 heures. Faites un exercice à blanc : une procédure jamais testée ne tient pas le jour J.
Étape 6 — Formation de la direction et documentation (semaines 11-12)
Formez les dirigeants (obligation de l'article 20), faites approuver formellement les mesures par la direction, et centralisez toute la documentation. En cas de contrôle, c'est cette traçabilité qui fait la différence.
Conclusion : n'attendez pas le pistolet de départ
NIS2 n'a pas encore de date d'application en France. La tentation est immense d'attendre. Mais attendre, c'est se condamner à tout faire dans l'urgence le jour où la loi tombera — avec une mise en conformité qui prend des mois, un dirigeant désormais personnellement exposé, et des clients qui, eux, n'attendront pas la loi pour vous réclamer des garanties.
Le bon moment pour construire une cybersécurité sérieuse, ce n'est pas quand la loi vous y oblige sous peine de sanction. C'est maintenant, pendant que c'est encore un choix et pas une urgence.
Vous vous demandez si vous êtes concerné par NIS2, directement ou par effet cascade, et par où commencer ? Parlons-en : en 30 minutes, on regarde votre situation — secteur, taille, clients assujettis, écarts face au ReCyF — et on définit les priorités concrètes avant que le calendrier ne s'emballe.
Questions fréquentes
Ma PME de 30 salariés est-elle concernée par NIS2 ?
Directement, probablement pas : le seuil d'entrée est la « moyenne entreprise » (au moins 50 salariés, ou plus de 10 M€ de CA et de bilan). En dessous, vous êtes en principe hors champ. Mais attention à l'effet cascade : si l'un de vos clients est assujetti à NIS2, il devra sécuriser sa chaîne d'approvisionnement (article 21) et vous demandera des garanties de sécurité, voire un audit. En pratique, beaucoup de petites structures se mettent à niveau parce que leurs clients l'exigent, pas parce que la loi les vise.
Quelle est la date d'application de NIS2 en France ?
Au 2 juin 2026, aucune date n'est officiellement fixée. La directive européenne aurait dû être transposée avant le 17 octobre 2024, mais la loi française de transposition (loi Résilience), adoptée au Sénat le 12 mars 2025, est toujours en attente d'examen définitif à l'Assemblée nationale. Méfiez-vous des dates précises qui circulent : elles ne sont pas officielles. La logique à retenir : ne pas attendre le vote pour se préparer, car la mise en conformité prend plusieurs mois.
Quelle différence entre Entité Essentielle et Entité Importante ?
Les Entités Essentielles sont les grandes entreprises des secteurs hautement critiques (≥ 250 salariés ou CA > 50 M€) : elles subissent une supervision proactive (audits, inspections) et risquent jusqu'à 10 M€ ou 2 % du CA mondial. Les Entités Importantes (entreprises moyennes, ou entités des secteurs critiques) sont contrôlées a posteriori et risquent jusqu'à 7 M€ ou 1,4 %. Les obligations techniques de fond (article 21) sont en grande partie les mêmes pour les deux.
Un dirigeant peut-il vraiment être tenu personnellement responsable ?
Oui, c'est la grande nouveauté de NIS2. L'article 20 impose aux organes de direction d'approuver les mesures de sécurité, de superviser leur mise en œuvre et de suivre une formation cyber régulière. L'article 32 va plus loin : en cas de manquement persistant d'une Entité Essentielle, les autorités peuvent prononcer une interdiction temporaire d'exercer des fonctions de direction. La cybersécurité devient un sujet de gouvernance, au même titre que la conformité fiscale.
Combien de temps faut-il pour se mettre en conformité NIS2 ?
Comptez de l'ordre de 3 mois pour une PME qui part d'une base saine, davantage si la maturité cyber est faible. Le plan type : auto-diagnostic d'assujettissement, cartographie des risques, analyse des écarts face au Référentiel Cyber France (ReCyF) de l'ANSSI, déploiement des mesures techniques (MFA, chiffrement, sauvegardes, gestion des accès), procédure d'incident avec notification sous 24 heures, puis formation de la direction et documentation. C'est précisément parce que ça prend des mois qu'il ne faut pas attendre la date de vote.
Le RGPD me protège-t-il déjà au titre de NIS2 ?
Non, ce sont deux logiques distinctes mais complémentaires. Le RGPD protège les données personnelles ; NIS2 protège la sécurité et la continuité des systèmes d'information eux-mêmes, qu'ils contiennent ou non des données personnelles. Si vous êtes déjà sérieux sur le RGPD, une partie du chemin est faite (gouvernance, gestion des incidents, sécurité des données), mais NIS2 ajoute des exigences propres : sécurité de la chaîne d'approvisionnement, notification sous 24 h à l'ANSSI, responsabilité de la direction et formation obligatoire des dirigeants.
Un projet en tête ? Parlons-en
Discutons de votre projet lors d'un appel gratuit de 30 minutes. Notre équipe à Lyon est là pour transformer vos idées en réalité.
Réserver un appel gratuit
