NIS2 en France : ce qui change concrètement pour votre entreprise en 2026
La directive européenne NIS2 impose de nouvelles obligations aux entreprises de taille intermédiaire dès cette année. Voici les impacts réels, les délais à respecter et comment se préparer.

Depuis le 17 octobre 2024, la France devait transposer la directive NIS2 dans son droit national. Si la loi de transposition accuse du retard, les entreprises ont tout intérêt à anticiper dès maintenant — les obligations seront exigeantes et les délais de mise en conformité, courts.
NIS2 concerne environ 10 000 entités en France, contre 300 sous NIS1. Si vous avez plus de 50 salariés ou 10 M€ de CA dans un secteur sensible, vous êtes probablement concerné.
Qui est concerné par NIS2 ?
La directive distingue deux catégories d'entités : les entités essentielles (EE) et les entités importantes (EI). Les premières font l'objet de contrôles proactifs par l'ANSSI, les secondes sont soumises à des contrôles réactifs, déclenchés en cas d'incident.
- Énergie, transports, banque, infrastructure financière, santé, eau potable et eaux usées
- Infrastructure numérique, services TIC B2B, administration publique
- Services postaux, gestion des déchets, fabrication critique (médical, chimique, agroalimentaire)
- Fournisseurs numériques : places de marché, moteurs de recherche, réseaux sociaux
Quelles obligations concrètes ?
NIS2 impose quatre grands blocs d'exigences que toute entité concernée devra satisfaire :
1. Gouvernance et responsabilité de la direction
Les dirigeants devront approuver personnellement les mesures de cybersécurité et suivre des formations obligatoires. En cas de manquement grave, leur responsabilité personnelle peut être engagée — une nouveauté majeure par rapport à NIS1.
La cybersécurité n'est plus seulement une affaire de DSI. NIS2 en fait une responsabilité de gouvernance, portée au plus haut niveau de l'entreprise.
2. Gestion des risques et mesures techniques
Chaque entité devra mettre en place une analyse de risques documentée, des politiques de sécurité, de contrôle d'accès, de gestion des correctifs et de continuité d'activité. La directive impose une approche proportionnée au risque, ce qui laisse une marge d'interprétation — mais aussi de responsabilité.
3. Sécurité de la chaîne d'approvisionnement
NIS2 étend les exigences à vos prestataires et sous-traitants. Il faudra évaluer la maturité cyber de vos fournisseurs critiques et intégrer des clauses contractuelles adaptées.
4. Sanctions et contrôles
Les amendes peuvent atteindre 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles, et 7 millions ou 1,4 % pour les entités importantes. L'ANSSI disposera d'un pouvoir d'injonction, voire de suspension temporaire pour les dirigeants.
Par où commencer ?
Chez KC Cybersecurity, nous recommandons de démarrer par un audit 360° de maturité pour situer votre niveau actuel par rapport aux exigences NIS2. Cela permet de prioriser les chantiers les plus urgents et de construire un plan d'actions réaliste avant l'entrée en vigueur effective.
ARTICLES CONNEXES
DORA : ce que les prestataires financiers doivent savoir
Le règlement DORA s'applique à tout le secteur financier européen depuis janvier 2025. Focus sur les obligations qui impactent directement les prestataires informatiques.
Certification ISO 27001 : par où commencer vraiment ?
De l'analyse des écarts à l'audit de certification, le parcours ISO 27001 est exigeant. Voici la feuille de route que nous appliquons à nos clients pour atteindre la certification en 9 à 12 mois.
