Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Rechercher

  1. Orange Cyberdefense
  2. Ressources
  3. Blog
  4. NIS2 : obligations, échéances, sanctions et mise en conformité

NIS2 : obligations, échéances, sanctions et mise en conformité

Trois collègues travaillant ensemble.

Partager

Les délais pour respecter la mise en conformité de directive NIS 2 approchent pour les entreprises françaises. Cet article vous résume les étapes importantes à venir : le cadre réglementaire, la transposition nationale, la classification des entités, les secteurs concernés, ainsi que les sanctions en cas de non-conformité. 

L'essentiel de votre hack'tu cybersécurité

  • Les remaniements ministériels actuels (rentrée 2025) ont impacté le calendrier des priorités législatives et la transposition de la directiveNIS 2 ;   

  • La directive NIS 2 vise à renforcer la cybersécurité des entreprises dans l’UE en élargissant son champ d’application et en imposant des obligations plus strictes, avec une transposition nationale pour la France prévue dès que les textes seront (loi, décrets, arrêtés) par l'Assemblée nationale ; 

  • En France, entre 15 000 et 18 000 entreprises seront concernées, classifiées en entités essentielles (EE) ou importantes (EI), avec des obligations spécifiques selon leur classification, notamment en matière de gestion des risques et de signalement des incidents ; 

  • Les entreprises non conformes risquent des sanctions financières importantes, jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les EE. 

Qu’est ce que la directive NIS2 ? 

La directive NIS2 (« Network and Information Systems ») est une législation européenne visant à renforcer et à uniformiser la résilience des entités importantes et essentielles. Elle vise également à homogénéiser les critères du champ d’application et les référentiels européens, pour éviter les écueils rencontrés par NIS 1. Ses obligations comprennent des mesures techniques et organisationnelles à appliquer pour toutes les entités régulées (cf. Articles 20, 21, 23 du projet de loi).

Qui est concerné par la directive NIS 2 ?

Classification des entreprises régulées : entités essentielles (EE) et entités importantes (EI)

Le niveau d’obligation des entreprises pour entrer en conformité et renforcer leur résilience en matière de cybersécurité peuvent varier en fonction de leur statut. Les entreprises régulées par la directive NIS 2 sont en effet classifiées en deux catégories. Les entités essentielles (EE) d’une part et les entités importantes (EI) d’une autre. A la différence de NIS 1, qui classait les OSE en fonction du secteur d’activité, NIS 2 tient compte de la taille et du chiffre d’affaires de l’entreprise. Cette catégorisation est donc établie en fonction du degré de criticité, de taille et de chiffre d'affaires pour les entreprises régulées.  

Une fois le projet de loi entré en vigueur, il incombera aux entreprises françaises d’effectuer les démarches auprès de l’ANSSI pour savoir si elles sont concernées par la directive, et le cas échéant connaître leur classification et les obligations qui les engagent. Voici pour rappel une définition des entités importantes et des entités essentielles. 

  • Les entités importantes (EI) : les entités importantes sont des organisations qui jouent un rôle crucial dans le maintien des services essentiels ou des infrastructures critiques, sans nécessairement atteindre les seuils d’effectifs ou de chiffre d’affaires des entités essentielles. Elles peuvent inclure des entreprises ou organismes dont la défaillance ou la perturbation pourrait avoir des répercussions significatives sur la sécurité, la santé publique ou l’économie. Conformément à la directive NIS 2, ces entités doivent mettre en œuvre des mesures de sécurité adaptées, assurer une gestion efficace des incidents et signaler rapidement toute situation susceptible d’affecter la continuité de leurs activités ;  
     
  • Les entités essentielles (EE) : les entités essentielles sont des organisations qui fournissent des services ou infrastructures hautement critiques, employant au moins 250 personnes ou dont le chiffre d’affaires annuel excède 50 millions d’euros. Toute défaillance ou perturbation liée à une alerte ou une crise cyber sur ce type d’entreprise pouvant avoir des conséquences sur l’économie, la sécurité et la santé publiques, ces entités sont soumises à des exigences plus strictes dans le cadre de la directive NIS 2. Elles doivent ainsi respecter des mesures de sécurité renforcées et signaler rapidement les incidents. 

Parmi les 18 secteurs d’activité critiques des entreprises régulées, on trouve : 

  • L'énergie : électricité, gaz, pétrole ;    
  • Les transports, aériens, ferroviaires, maritimes ;   
  • La santé, hôpitaux et centres de soins ;  
  • Le secteur financier, banques et marchés financiers ;  
  • La distribution de l'eau ; 
  • Les infrastructures numériques critiques. 

Selon Yann Lonlas, Consultant en cybersécurité chez Orange Cyberdefense, « le référentiel NIS 2 en France est plus léger pour les EI que pour les EE ». Les principales actions pour les EE concernent :

  • La gestion d’équipements dédiés à l’administration du système d’information ;
  • La mise en place d’un centre opérationnel de sécurité (SOC) ;
  • Le durcissement des configurations ;
  • La réalisation d’audits réguliers ;
  • La formalisation de la gestion des risques.

Les obligations pour les EI représentent environ 60 % de celles des EE.

Quelles sont les prochaines échéances de la directive NIS 2 ? 

La transposition nationale de la directive NIS2 a été voté au sénat le 12 mars 2025 et fera l’objet d’un vote à l’Assemblée nationale en septembre 2025, pour une mise en application en France d’ici la fin d’année, avec la sortie du/des décrets contentant le référentiel de mesure. A partir de cette date, les entreprises régulées auront 3 ans pour se mettre en conformité.

Les étapes et enjeux de la transposition nationale pour la directive NIS 2

En France, la transposition de NIS 2 concerne entre 15 000 et 18 000 entreprises(2), réparties en deux catégories : entités essentielles (EE) et importantes (EI). Ce projet de loi sera voté par l’Assemblée nationale dès que le gouvernement sera constitué, pour une mise en application prévue début 2026.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a défini 20 objectifs stratégiques pour encadrer cette transposition, qui devrait connaître peu de modifications par rapport à la version de juillet 2024.

Les entreprises concernées auront trois ans pour se conformer, et devront effectuer notamment :

  • Leur déclaration en ligne via « MonEspaceNIS2 » (en phase Bêta) ;
  • Le respect des obligations en gestion des risques, mesures juridiques, techniques et organisationnelles ;
  • Le signalement obligatoire de tout incident majeur à l’ANSSI(4).

Passé ce délai, les entreprises feront l’objet de contrôles via l’ANSSI. Des sanctions financières et organisationnelles seront prévues pour celles qui ne seraient pas en conformité au regard de cette nouvelle directive.

L’impact du remaniements ministériels sur les échéances de la directive NIS 2

Actuellement, la transposition de la directive NIS 2 est en pause. Cette situation est principalement due aux récents changements de gouvernement, qui ont entraîné une période d'attente et de réévaluation des priorités politiques et réglementaires. La directive NIS 2 vise à renforcer la cybersécurité au sein de l'Union européenne en imposant de nouvelles obligations aux acteurs clés du secteur numérique. 

Son adoption et sa transposition dans le droit national sont essentielles pour garantir un niveau élevé de sécurité des réseaux et des systèmes d'information.

Cependant, en raison de cette période de transition politique, la mise en œuvre de ces mesures a été temporairement suspendue. Les autorités travaillent actuellement à la révision des textes législatifs et à la définition d'une feuille de route claire pour la suite des démarches.

Chez Orange Cyberdefense, nous suivons de près l'évolution de la situation et vous apportons déjà quelques éclairages pour vous aider à comprendre les enjeux de cette directive au travers de cette article.

Quelles sont les sanctions encourues en cas de non-conformité à NIS 2 ?

Une cyberattaque coûte en moyenne 466 000 euros à une PME française et peut représenter jusqu’à 10 % de son chiffre d’affaires(3)

« Si la mise en conformité représente un coût de sécurisation, ce n’est rien comparé au coût de reconstruction d’un système d'information (SI) après une attaque qui est en moyenne dix fois supérieur à celui de la prévention et peut varier selon l’infrastructure et le secteur d'activité des clients » précise Yann Lonlas.  

Il faut également bien avoir en tête que les sanctions en cas de manquement sont sévères : les amendes pourront atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les EE, et 7 millions d’euros ou 1,4 % pour les EI. Les dirigeants peuvent également faire face à des poursuites judiciaires et des interdictions d’exercé un poste similaire. 

Comment se préparer à NIS 2 ?

Même si le référentiel NIS 2 n’est pas encore totalement stabilisé, il est possible d’anticiper sa mise en conformité dès aujourd’hui. 

Nos experts recommandent une approche déclinée en 3 piliers :

  • Identifier ses activités et les liens avec son SI
  • Connaître son exposition aux risques cyber
  • Connaître son niveau de cybersécurité

Et de se focaliser sur les 3 articles importants de cette directive :

  • Article 20 : Gouvernance et formation
  • Article 21 : Mesures de gestion des risques en matière de gestion de cybersécurité
  • Article 23 : Obligation d'informations

Et maintenant ?

    Orange Cyberdefense propose un accompagnement complet, allant du conseil à l’audit, en passant par la mise en œuvre d’outils de cybersécurité. Nos experts interviennent sur l’analyse des risques, la mise à jour des systèmes, la surveillance et la détection des incidents, pour assurer la conformité et renforcer la résilience de votre organisation. 

    Si vous souhaitez approfondir certains points ou avez d’autres questions, n’hésitez pas à contacter l'un de nos experts

    Sources et notes

    (1) Pour des informations plus détaillées, nous vous renvoyons vers les annexes de la directive et les articles 8 et 9 du Projet de loi Résilience : https://www.senat.fr/petite-loi-ameli/2024-2025/394.html ; 

    (2) Cette information est calculée sur la base d’extraction SIREN et des chiffres de l’INSEE. A titre de comparaison, NIS1 concernait 300 entreprises en France ; 

    (3) « Le coût réel des cyberattaques : la menace financière qui pèse sur chaque entreprise française », Crisehelp : https://crisehelp.fr/cout-reel-cyberattaque-entreprise-france/ ; 

    (4) La transposition nationale Française de NIS2 stipule à date que tout incident important défini par l’article 17 du projet de loi est un incident qui :
    « A causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour la personne concernée » ; 
    « A affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, moraux, corporels considérables ». 
    Au niveau de la règlementation européenne de NIS2, le texte est un plus précis : « Un incident ayant causé une perte financière de 500 000 € ou 5% du CA annuel, le montant le plus bas des deux étant retenu »
    « Un incident ayant permis des fuites de données concernées par le secret des affaires (Directive EU 2016/943) » ; 
    « Un incident causant ou capable de causer la mort d’une personne ou de faire des dommages considérables à sa santé » ; 
    « Un incident dont la réalisation a permis un accès non autorisé capable de causer de sévères disruptions opérationnelles » ; 
    « Un incident affectant 5 % des utilisateurs » ;  
    « Un incident validant les 3 critères suivants : 2 occurrence au minimum en moins de 6 mois; même cause racine; ces incidents cumulés valident le critères de coût financier ».

    Victime d’un incident ?

    Vous faites face à une cyberattaque ?

    Nos experts sont joignables 24h/24, 7j/7.

    Contactez l'assistance