Accueil Expertise Blog Contact
Accueil/ Blog/ Cybersécurité
Cybersécurité · Conformité

NIS2 : ce que la directive
change concrètement pour votre SI

Karim Badreddine
Président & Fondateur · Whixor Technology
Juillet 2026 Lecture · 7 min

La directive NIS2 est entrée en application depuis octobre 2024. Deux ans après, beaucoup d'organisations n'ont pas encore finalisé leur mise en conformité. Ce que la directive exige concrètement — et comment s'y préparer sans désorganiser votre système d'information.

Un périmètre considérablement élargi

La directive NIS1 concernait principalement les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN). NIS2 change l'échelle : on passe d'environ 600 entités concernées en France à plusieurs milliers, réparties dans 18 secteurs d'activité.

Deux catégories sont désormais définies — les entités essentielles et les entités importantes — avec des exigences et des régimes de contrôle différenciés. Le critère de classification repose principalement sur la taille de l'organisation (effectif, chiffre d'affaires) et le secteur d'activité.

Suis-je concerné ?

Si votre organisation emploie plus de 50 personnes ou réalise un chiffre d'affaires supérieur à 10 millions d'euros, et qu'elle opère dans l'un des 18 secteurs listés (énergie, transport, santé, banque, infrastructure numérique, administration publique, services postaux, gestion des déchets, industrie critique...), vous êtes probablement concerné. La vérification passe par l'ANSSI, qui publie un outil d'auto-évaluation.

Les nouvelles obligations de sécurité

NIS2 impose un socle de mesures techniques et organisationnelles que les entités concernées doivent mettre en œuvre. Parmi les principales obligations :

  • Politique de sécurité des systèmes d'information documentée et approuvée par la direction
  • Gestion des risques formalisée, avec revue régulière
  • Plan de continuité d'activité et de reprise après sinistre
  • Sécurité de la chaîne d'approvisionnement numérique (vos fournisseurs IT sont inclus dans le périmètre)
  • Politique de gestion des vulnérabilités et des correctifs
  • Contrôles d'accès et authentification forte
  • Chiffrement des données en transit et au repos pour les actifs critiques
  • Formation et sensibilisation régulières des collaborateurs

"NIS2 ne crée pas de nouvelles bonnes pratiques. Elle rend obligatoires celles que les organisations sérieuses appliquaient déjà."

Un régime de signalement resserré

Le délai de signalement des incidents significatifs est l'une des évolutions les plus contraignantes de NIS2. Le calendrier est le suivant :

DélaiAction requiseDestinataire
24 heuresNotification préliminaire de l'incidentANSSI / CERT-FR
72 heuresNotification initiale avec évaluation de l'impactANSSI / CERT-FR
1 moisRapport final détaillé avec analyse des causesANSSI / CERT-FR

Ce calendrier suppose une capacité de détection et d'analyse rapide que beaucoup d'organisations ne possèdent pas encore. La mise en place d'un SOC — interne ou infogéré — devient de fait une nécessité pour tenir ces délais.

Gouvernance et responsabilité des dirigeants

NIS2 introduit une nouveauté majeure : la responsabilité personnelle des dirigeants. Les membres de l'organe de direction peuvent être tenus responsables en cas de manquement aux obligations de sécurité, y compris financièrement. Cette disposition modifie profondément la relation entre la direction et la DSI — la cybersécurité n'est plus seulement un sujet technique, c'est un sujet de gouvernance.

Concrètement, cela signifie que les plans de sécurité, les budgets associés et les résultats des audits doivent désormais passer par le conseil d'administration ou la direction générale, pas seulement par la DSI.

Sanctions et régime de contrôle

Le régime de sanctions est significativement renforcé par rapport à NIS1. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial.

L'ANSSI dispose également de nouveaux pouvoirs d'inspection et peut ordonner des mesures correctives avec délais contraignants.

Par où commencer : notre approche en quatre étapes

  1. Vérifier son assujettissement — utiliser l'outil d'auto-évaluation de l'ANSSI et identifier sa catégorie (essentielle ou importante)
  2. Cartographier les écarts — comparer les mesures de sécurité en place avec les exigences NIS2 pour identifier les chantiers prioritaires
  3. Construire un plan de mise en conformité — prioriser les actions par niveau de risque et d'impact, avec un calendrier réaliste et un budget validé par la direction
  4. Mettre en place le dispositif de signalement — capacité de détection, procédures de remontée et contacts ANSSI établis avant qu'un incident survienne
Accompagnement Whixor

Nous accompagnons les organisations dans leur mise en conformité NIS2 : audit d'écart, feuille de route priorisée, déploiement des mesures techniques et accompagnement à la mise en place du dispositif de signalement. Notre approche s'adapte à votre niveau de maturité actuel — sans partir de zéro là où ce n'est pas nécessaire.

© Whixor Technology 2020 – 2026 Île-de-France