NIS2 en France 2026 : périmètre, obligations et comment s'y préparer

La directive NIS2 est passée d'une conversation de comités à une obligation légale qui concerne des milliers d'entreprises. Si votre organisation relève de l'un des secteurs couverts, en 2026 il ne s'agit plus de se préparer : il s'agit de démontrer que vous l'êtes. Dans cet article, je vous explique sans détour ce qu'exige NIS2, qui est concerné, ce qui change par rapport à NIS1, les délais de notification, les sanctions réelles et comment la certification PECB Lead Implementer s'intègre à votre feuille de route.

Qu'est-ce que NIS2 et ce qui change par rapport à NIS1

NIS2 est la directive (UE) 2022/2555 relative à des mesures pour un niveau élevé commun de cybersécurité dans toute l'Union. Elle remplace la NIS de 2016 et la transforme en quelque chose de plus ambitieux : elle élargit les secteurs, relève le niveau minimal de mesures techniques et organisationnelles, durcit les obligations de notification et, surtout, fait porter la responsabilité ultime sur l'organe de direction de l'entité.

En France, la transposition de NIS2 en droit national désigne l'ANSSI (Agence nationale de la sécurité des systèmes d'information) comme autorité nationale de référence et s'appuie sur les CSIRT pour la notification des incidents.

À qui ça s'applique en France

Le périmètre est large et, si vous ne vous êtes jamais penché dessus, il risque de vous surprendre. NIS2 couvre 18 secteurs regroupés en deux catégories :

Entités essentielles (impact élevé) : énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique et espace.

Entités importantes (impact significatif) : services postaux et de messagerie, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution de denrées alimentaires, fabrication de dispositifs médicaux, d'ordinateurs et d'électronique, de véhicules et autres équipements de transport, fournisseurs de services numériques et organismes de recherche.

Le critère de taille est déterminant : en général, NIS2 s'applique aux entités moyennes ou grandes (plus de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires) dans ces secteurs. Mais il y a des exceptions : certains services critiques sont assujettis quelle que soit leur taille, y compris des PME qui fournissent des services essentiels à d'autres entités.

Les mesures de l'article 21

L'article 21 de NIS2 énumère dix blocs de mesures techniques, opérationnelles et organisationnelles que toute entité assujettie doit mettre en œuvre. C'est la colonne vertébrale de la conformité. Voici les dix blocs, avec ce que chacun signifie en pratique :

1. Politiques d'analyse des risques et de sécurité de l'information. Un cadre de gestion des risques formel, pas improvisé.
2. Gestion des incidents. Des processus pour détecter, réagir et se rétablir.
3. Continuité d'activité. Gestion des sauvegardes, reprise après sinistre et gestion de crise.
4. Sécurité de la chaîne d'approvisionnement. Comment vous gérez le risque de vos prestataires TIC.
5. Sécurité de l'acquisition, du développement et de la maintenance des systèmes. Y compris la gestion et la divulgation des vulnérabilités.
6. Politiques et procédures pour évaluer l'efficacité des mesures. Comment vous mesurez que ce que vous avez mis en place fonctionne.
7. Pratiques de base de cyberhygiène et formation. Une sensibilisation récurrente, pas un cours annuel de conformité.
8. Politiques et procédures sur l'usage de la cryptographie. Et le chiffrement lorsque c'est pertinent.
9. Sécurité des ressources humaines. Contrôle des accès, gestion des identités.
10. Authentification multifacteur et solutions de communication sécurisées.

Si votre organisation dispose déjà d'un système de management de la sécurité de l'information conforme à ISO/IEC 27001, vous partez avec une bonne partie du chemin déjà fait. Mais NIS2 va plus loin sur certains points, en particulier la gestion du risque de la chaîne d'approvisionnement et la responsabilité de la direction.

Délais de notification des incidents

L'un des changements les plus exigeants de NIS2 est le régime de notification des incidents significatifs. Les délais sont courts et n'admettent aucune improvisation :

• 24 heures : alerte précoce au CSIRT compétent s'il y a des indices que l'incident peut résulter d'actes malveillants ou avoir un impact transfrontalier.
• 72 heures : notification formelle de l'incident, avec une évaluation initiale (gravité, impact, indicateurs de compromission).
• 1 mois : rapport final avec les causes profondes, les mesures prises et les conséquences.

Ces délais ne sont pas négociables et exigent d'avoir des processus de détection et de classification matures avant que l'incident ne survienne, pas après.

Sanctions et responsabilité de la direction

Le régime de sanctions de NIS2 est délibérément dissuasif. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, 7 millions d'euros ou 1,4 % du chiffre d'affaires.

Mais la nouveauté la plus importante n'est pas le montant : c'est que NIS2 rend personnellement responsables les membres de l'organe de direction. La directive exige qu'ils approuvent les mesures de gestion des risques, en supervisent l'application et reçoivent une formation périodique en cybersécurité. Ils peuvent être temporairement interdits d'exercer des fonctions dirigeantes en cas de manquement grave avéré.

Feuille de route pour démarrer

Si votre organisation est assujettie et n'a pas encore avancé, voici ce que je recommande dans les projets sur lesquels je travaille, dans cet ordre :

1. Test d'applicabilité. Confirmez si votre entité est couverte (secteur + taille) et dans quelle catégorie (essentielle ou importante). Il y a des nuances, et elles ne sont pas évidentes.
2. Analyse d'écart par rapport à l'article 21. Dix blocs de mesures, ce que vous avez déjà et ce qui manque. Vous avez probablement plus que vous ne le pensez, surtout si vous travaillez avec ISO 27001.
3. Cadre de notification des incidents. Procédures, modèles et exercices pour les délais de 24 h, 72 h et 1 mois.
4. Inventaire des prestataires TIC critiques. Sans une cartographie claire des prestataires, le pilier chaîne d'approvisionnement est impossible.
5. Implication formelle de l'organe de direction. Approbation des politiques, plan de formation spécifique et traçabilité documentaire de son implication.

La différence entre les organisations qui se conformeront à NIS2 sans encombre et celles qui écoperont de sanctions ne sera pas le budget, mais l'anticipation. Celui qui commence en 2026 avec calme y arrive ; celui qui commence à la première inspection est déjà en retard.

Se former et se certifier

Si vous voulez franchir le pas vers la certification officielle PECB, le cours NIS2 Lead Implementer est la voie directe : Self-Study officiel PECB pour avancer à votre rythme et préparer l'examen de certification.