📌 En bref. La directive européenne NIS2 a été transposée en France par la loi du 30 avril 2025. Elle concerne environ 15 000 entités françaises réparties en 18 secteurs critiques, dès 50 salariés ou 10 M€ de CA/bilan. Les obligations couvrent 6 domaines : gouvernance, gestion des risques, notification d'incidents sous 24h, continuité d'activité, sécurité de la chaîne d'approvisionnement et sensibilisation. Les sanctions atteignent 10 M€ ou 2 % du CA mondial. Le coût de mise en conformité pour une PME de 50-250 salariés se situe entre 25 000 et 80 000 € la première année. Ce guide propose une checklist en 25 points, une feuille de route 12 mois et les 6 aides financières mobilisables.
📖 Sommaire
- Panorama NIS2 : de quoi parle-t-on ?
- Êtes-vous concerné ? Le test en 3 questions
- Les 6 obligations légales à respecter
- Checklist de diagnostic en 25 points
- Feuille de route 12 mois — 11 étapes
- Coûts de mise en conformité par taille
- Sanctions et responsabilité du dirigeant
- Aides financières mobilisables
- Questions fréquentes
1. Panorama NIS2 : de quoi parle-t-on ?
La directive NIS2 (Network and Information Security 2) est la réponse européenne à l'explosion de la menace cyber depuis 2020. Adoptée par l'Union Européenne le 14 décembre 2022 (Directive UE 2022/2555), elle remplace la précédente directive NIS (2016) devenue insuffisante face à la sophistication des attaques.
Transposition en France : loi du 30 avril 2025 portant transposition des directives NIS2, DORA et CER. L'ANSSI est désignée comme autorité nationale compétente et opère la supervision opérationnelle.
Objectif de NIS2 : élever le niveau de cybersécurité des acteurs qui font tourner la société européenne (énergie, transports, santé, alimentation, numérique…) pour éviter que la chaîne ne se rompe en cas d'attaque coordonnée.
2. Êtes-vous concerné ? Le test en 3 questions
Le champ d'application de NIS2 combine secteur d'activité et taille de l'entreprise.
Question 1 — Votre secteur d'activité
Annexe I — Secteurs essentiels : énergie (électricité, gaz, pétrole, hydrogène), transport (aérien, ferroviaire, maritime, routier), banque, marchés financiers, santé, eau potable, eaux usées, infrastructure numérique (FAI, DNS, datacenters, cloud, CDN), gestion services TIC B2B (MSP, MSSP), administration publique, espace.
Annexe II — Secteurs importants : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), organismes de recherche.
Question 2 — Votre taille
| Catégorie | Effectif | CA / Bilan | Statut si secteur essentiel (Annexe I) | Statut si secteur important (Annexe II) |
|---|---|---|---|---|
| Grande | ≥ 250 salariés | ≥ 50 M€ CA ou 43 M€ bilan | Essentielle | Importante |
| Moyenne | 50-249 salariés | 10-50 M€ CA ou 10-43 M€ bilan | Importante | Importante |
| Petite | 10-49 salariés | 2-10 M€ CA/bilan | Non concernée (sauf exceptions) | Non concernée |
| Micro | < 10 salariés | < 2 M€ CA/bilan | Non concernée (sauf DNS, TLD, cloud critique) | Non concernée |
Question 3 — Cas particuliers
Certaines entités sont concernées quelle que soit leur taille : prestataires de services DNS, registres TLD, fournisseurs de services de cloud computing, prestataires de services de confiance qualifiés, opérateurs de services critiques désignés par l'ANSSI.
👉 Faites le test rapide en 5 questions sur notre calculateur NIS2/DORA pour connaître votre statut définitif.
3. Les 6 obligations légales à respecter
Obligation 1 — Enregistrement auprès de l'ANSSI
Sous 3 mois après identification comme entité concernée. Portail MonServiceSécurisé. Désignation d'un point de contact principal et d'un suppléant.
Obligation 2 — Politique de gestion des risques cyber
Documentée et approuvée par la direction. Doit couvrir : analyse de risques, politique de sécurité de l'information (PSSI), gestion des accès et des identités, sécurité des ressources humaines (habilitations, sensibilisation), sécurité physique et environnementale, chiffrement, gestion des vulnérabilités.
Obligation 3 — Notification d'incident significatif
Trois échéances cumulatives à partir de la prise de connaissance de l'incident :
- Alerte précoce < 24 h : première notification au CSIRT compétent
- Notification complète < 72 h : évaluation initiale, indicateurs de compromission, mesures prises
- Rapport final < 1 mois : analyse détaillée des causes, impact, mesures correctives durables
Obligation 4 — Plan de continuité d'activité (PCA/PRA)
Sauvegardes documentées et testées, plan de reprise informatique (PRI), plan de continuité métier (PCM), procédures d'escalade et de communication de crise, exercices de simulation au moins annuels.
Obligation 5 — Sécurité de la chaîne d'approvisionnement
Cartographie des prestataires critiques (TIC, cloud, MSSP), clauses cybersécurité dans les contrats, audit ou évaluation périodique de leur niveau de sécurité, plan de continuité en cas de défaillance d'un fournisseur critique.
Obligation 6 — Sensibilisation et formation
Programme annuel obligatoire pour 100 % des collaborateurs, formations spécifiques pour les administrateurs et les fonctions sensibles (finance, RH, direction). Traçabilité des formations (dates, contenus, présences) pour justification en cas d'inspection.
4. Checklist de diagnostic en 25 points
Utilisez cette checklist pour évaluer votre position actuelle. Chaque case cochée = un point acquis. Score cible ≥ 20/25 pour une conformité solide.
🏛️ Gouvernance (5 points)
- Un référent cybersécurité (RSSI ou équivalent) est désigné et connu de la direction
- Le comité de direction a formellement validé la politique de sécurité de l'information
- Un budget cybersécurité annuel est alloué et exécuté
- Un tableau de bord d'indicateurs sécurité est présenté au moins semestriellement
- Le dirigeant a suivi une formation cybersécurité dans les 12 derniers mois
🛡️ Mesures techniques (10 points)
- MFA activée sur tous les outils critiques (M365, VPN, admin, banque)
- EDR déployé et centralisé sur tous les postes et serveurs
- Chiffrement disque activé sur tous les postes portables (BitLocker/FileVault)
- Sauvegardes 3-2-1-1-0 en place et testées au moins semestriellement
- Système de détection des intrusions (IDS/IPS ou EDR avec module réseau)
- Journalisation centralisée (SIEM ou solution équivalente)
- Politique de mots de passe robuste (12+ caractères, coffre-fort)
- Segmentation réseau (VLAN, zones DMZ, réseau invité isolé)
- Gestion des vulnérabilités (scan mensuel, patch management < 30 j)
- Filtrage web et messagerie anti-phishing en place
📚 Procédures organisationnelles (5 points)
- Politique de sécurité de l'information (PSSI) écrite et diffusée
- Procédure d'incident cyber documentée et testée
- Plan de continuité d'activité (PCA/PRA) écrit et testé annuellement
- Registre RGPD tenu à jour avec bases légales et durées de conservation
- Charte informatique signée par tous les collaborateurs
👥 Facteur humain (3 points)
- Programme de sensibilisation annuel pour 100 % des collaborateurs
- Au moins une campagne de phishing simulé par an
- Canal de signalement des mails suspects (bouton Outlook ou équivalent)
🔗 Chaîne d'approvisionnement (2 points)
- Cartographie des prestataires TIC critiques avec évaluation cyber
- Clauses cybersécurité et audit dans les contrats des prestataires critiques
5. Feuille de route 12 mois — 11 étapes
Mois 1-3 : Cadrage et diagnostic
- Vérifier votre statut NIS2 (entité essentielle, importante ou hors champ) avec notre calculateur dédié
- Enregistrer votre entité auprès de l'ANSSI si concernée (portail MonServiceSécurisé) sous 3 mois
- Réaliser un diagnostic initial approfondi — idéalement le Diagnostic Cybersécurité BPI France 2030 cofinancé jusqu'à 50 %
- Constituer votre comité NIS2 interne : DG, DSI/RSSI, DRH, juridique, opérations
Mois 4-6 : Bases techniques et organisationnelles
- Déployer les 4 fondamentaux techniques : MFA, EDR, sauvegardes 3-2-1-1-0, chiffrement
- Rédiger la politique de sécurité de l'information (PSSI) et la faire approuver par le comité de direction
- Documenter la procédure d'incident cyber avec arbre de décision et contacts d'urgence
- Mettre en place la journalisation centralisée (SIEM léger type Wazuh ou Sentinel Business Continuity)
Mois 7-12 : Structuration et pérennisation
- Réaliser un premier exercice de crise cyber (tabletop exercise de 3-4 heures)
- Cartographier et auditer vos prestataires TIC critiques — clauses contractuelles + questionnaire sécurité
- Lancer le programme annuel de sensibilisation : formation obligatoire + campagne phishing simulé
6. Coûts de mise en conformité par taille
| Poste | PME 50-99 salariés | PME 100-249 salariés | ETI 250-500 salariés |
|---|---|---|---|
| Diagnostic initial (une fois) | 4 000 — 8 000 € | 8 000 — 14 000 € | 14 000 — 30 000 € |
| Politique SSI + procédures (une fois) | 5 000 — 12 000 € | 10 000 — 20 000 € | 20 000 — 40 000 € |
| Déploiement MFA + EDR + sauvegardes (une fois + annuel) | 8 000 — 20 000 € | 15 000 — 40 000 € | 40 000 — 100 000 € |
| Formation + phishing simulé (annuel) | 3 000 — 8 000 € | 6 000 — 15 000 € | 15 000 — 35 000 € |
| Audit prestataires TIC critiques | 3 000 — 6 000 € | 6 000 — 12 000 € | 10 000 — 25 000 € |
| Total année 1 | ~ 25 000 — 55 000 € | ~ 45 000 — 100 000 € | ~ 100 000 — 230 000 € |
| Fonctionnement annuel (années suivantes) | ~ 15 000 — 30 000 € | ~ 25 000 — 55 000 € | ~ 55 000 — 130 000 € |
7. Sanctions et responsabilité du dirigeant
Sanctions financières
- Entité essentielle : jusqu'à 10 M€ ou 2 % du CA mondial annuel (le plus élevé)
- Entité importante : jusqu'à 7 M€ ou 1,4 % du CA mondial annuel
Sanctions non financières
- Suspension temporaire de l'autorité d'exercer (pour les prestataires réglementés)
- Publication de la sanction sur le site de l'ANSSI
- Interdiction temporaire pour le dirigeant d'exercer des fonctions de gestion dans l'entité concernée
Responsabilité personnelle du dirigeant
Contrairement à NIS1, NIS2 introduit une responsabilité personnelle du dirigeant en cas de manquement grave. Le dirigeant doit :
- Approuver formellement les mesures de gestion des risques cyber
- Superviser leur mise en œuvre (comité de pilotage régulier)
- Suivre une formation cybersécurité lui-même (obligation directe)
Un défaut d'exercice de ces obligations peut engager la responsabilité civile, voire pénale, du dirigeant en cas de préjudice grave lié à une cyberattaque.
8. Aides financières mobilisables
- Diagnostic Cybersécurité BPI France 2030 — cofinancement jusqu'à 50 % (ETI) ou 32 % (TPE/PME), plafond 14 000 € HT
- France Num — diagnostic numérique avec volet cyber, gratuit ou subventionné
- Fonds européens FEDER & Digital Europe — 40 à 80 % selon projet
- Pack Numérique Région Hauts-de-France — programme régional PME
- OPCO (Atlas, AKTO, OPCOmmerce…) — prise en charge formation cyber jusqu'à 100 %
- MonExpertCyber.gouv.fr — plateforme officielle ANSSI de mise en relation prestataires labellisés
👉 Retrouvez toutes les aides à jour sur notre Hub Cyber Hauts-de-France.
📜 Êtes-vous concerné par NIS2 ?
Vérifiez en 5 questions si votre entreprise doit se mettre en conformité et recevez votre plan d'action prioritaire.
Questions fréquentes
Quelles PME sont concernées par NIS2 en France ?
Une PME est concernée si elle appartient à l'un des 18 secteurs listés en annexes I et II de la directive NIS2 ET si elle emploie 50 salariés ou plus OU génère 10 M€ de CA/bilan annuel ou plus. Environ 15 000 entités françaises sont concernées, dont plusieurs milliers en Hauts-de-France.
Quelle est la différence entre entité essentielle et entité importante ?
Une entité essentielle est une grande entreprise (250+ salariés ou 50 M€+ de CA) dans un secteur essentiel (annexe I). Une entité importante est soit une entreprise moyenne dans un secteur essentiel, soit une entité de toute taille dans un secteur important (annexe II). Les entités essentielles sont soumises à une supervision proactive tandis que les entités importantes sont soumises à une supervision réactive.
Quelles sont les sanctions NIS2 en cas de non-conformité ?
Jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes. Responsabilité personnelle du dirigeant possible en cas de manquement grave. Sanctions non financières prévues (suspension d'agrément, publication).
Quel est le délai de mise en conformité NIS2 ?
Enregistrement ANSSI sous 3 mois. Mise en conformité complète opérationnelle en 12 à 18 mois. Une PME typique met 10 à 14 mois à structurer sa conformité si elle démarre de zéro.
Combien coûte la mise en conformité NIS2 pour une PME ?
Pour une PME de 50 à 250 salariés démarrant de zéro : 25 000 à 80 000 € la première année (audit, politique SSI, PCA/PRA, formation, premières mesures techniques), puis 15 000 à 50 000 € par an de fonctionnement. Pour une ETI de 250 à 500 salariés : 60 000 à 200 000 € la première année. Cofinancement BPI France 2030 jusqu'à 50 %.