📌 En bref. La directive européenne NIS2 a été transposée en France par la loi du 30 avril 2025. Elle concerne environ 15 000 entités françaises réparties en 18 secteurs critiques, dès 50 salariés ou 10 M€ de CA/bilan. Les obligations couvrent 6 domaines : gouvernance, gestion des risques, notification d'incidents sous 24h, continuité d'activité, sécurité de la chaîne d'approvisionnement et sensibilisation. Les sanctions atteignent 10 M€ ou 2 % du CA mondial. Le coût de mise en conformité pour une PME de 50-250 salariés se situe entre 25 000 et 80 000 € la première année. Ce guide propose une checklist en 25 points, une feuille de route 12 mois et les 6 aides financières mobilisables.

📖 Sommaire

  1. Panorama NIS2 : de quoi parle-t-on ?
  2. Êtes-vous concerné ? Le test en 3 questions
  3. Les 6 obligations légales à respecter
  4. Checklist de diagnostic en 25 points
  5. Feuille de route 12 mois — 11 étapes
  6. Coûts de mise en conformité par taille
  7. Sanctions et responsabilité du dirigeant
  8. Aides financières mobilisables
  9. Questions fréquentes

1. Panorama NIS2 : de quoi parle-t-on ?

La directive NIS2 (Network and Information Security 2) est la réponse européenne à l'explosion de la menace cyber depuis 2020. Adoptée par l'Union Européenne le 14 décembre 2022 (Directive UE 2022/2555), elle remplace la précédente directive NIS (2016) devenue insuffisante face à la sophistication des attaques.

Transposition en France : loi du 30 avril 2025 portant transposition des directives NIS2, DORA et CER. L'ANSSI est désignée comme autorité nationale compétente et opère la supervision opérationnelle.

15 000entités françaises concernées (vs 500 avec NIS1)
18secteurs critiques listés en annexes I & II
10 M€de sanction maximale (ou 2 % CA mondial)
24 hpour l'alerte précoce d'incident au CSIRT

Objectif de NIS2 : élever le niveau de cybersécurité des acteurs qui font tourner la société européenne (énergie, transports, santé, alimentation, numérique…) pour éviter que la chaîne ne se rompe en cas d'attaque coordonnée.

2. Êtes-vous concerné ? Le test en 3 questions

Le champ d'application de NIS2 combine secteur d'activité et taille de l'entreprise.

Question 1 — Votre secteur d'activité

Annexe I — Secteurs essentiels : énergie (électricité, gaz, pétrole, hydrogène), transport (aérien, ferroviaire, maritime, routier), banque, marchés financiers, santé, eau potable, eaux usées, infrastructure numérique (FAI, DNS, datacenters, cloud, CDN), gestion services TIC B2B (MSP, MSSP), administration publique, espace.

Annexe II — Secteurs importants : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), organismes de recherche.

Question 2 — Votre taille

CatégorieEffectifCA / BilanStatut si secteur essentiel (Annexe I)Statut si secteur important (Annexe II)
Grande≥ 250 salariés≥ 50 M€ CA ou 43 M€ bilanEssentielleImportante
Moyenne50-249 salariés10-50 M€ CA ou 10-43 M€ bilanImportanteImportante
Petite10-49 salariés2-10 M€ CA/bilanNon concernée (sauf exceptions)Non concernée
Micro< 10 salariés< 2 M€ CA/bilanNon concernée (sauf DNS, TLD, cloud critique)Non concernée

Question 3 — Cas particuliers

Certaines entités sont concernées quelle que soit leur taille : prestataires de services DNS, registres TLD, fournisseurs de services de cloud computing, prestataires de services de confiance qualifiés, opérateurs de services critiques désignés par l'ANSSI.

👉 Faites le test rapide en 5 questions sur notre calculateur NIS2/DORA pour connaître votre statut définitif.

3. Les 6 obligations légales à respecter

Obligation 1 — Enregistrement auprès de l'ANSSI

Sous 3 mois après identification comme entité concernée. Portail MonServiceSécurisé. Désignation d'un point de contact principal et d'un suppléant.

Obligation 2 — Politique de gestion des risques cyber

Documentée et approuvée par la direction. Doit couvrir : analyse de risques, politique de sécurité de l'information (PSSI), gestion des accès et des identités, sécurité des ressources humaines (habilitations, sensibilisation), sécurité physique et environnementale, chiffrement, gestion des vulnérabilités.

Obligation 3 — Notification d'incident significatif

Trois échéances cumulatives à partir de la prise de connaissance de l'incident :

Obligation 4 — Plan de continuité d'activité (PCA/PRA)

Sauvegardes documentées et testées, plan de reprise informatique (PRI), plan de continuité métier (PCM), procédures d'escalade et de communication de crise, exercices de simulation au moins annuels.

Obligation 5 — Sécurité de la chaîne d'approvisionnement

Cartographie des prestataires critiques (TIC, cloud, MSSP), clauses cybersécurité dans les contrats, audit ou évaluation périodique de leur niveau de sécurité, plan de continuité en cas de défaillance d'un fournisseur critique.

Obligation 6 — Sensibilisation et formation

Programme annuel obligatoire pour 100 % des collaborateurs, formations spécifiques pour les administrateurs et les fonctions sensibles (finance, RH, direction). Traçabilité des formations (dates, contenus, présences) pour justification en cas d'inspection.

4. Checklist de diagnostic en 25 points

Utilisez cette checklist pour évaluer votre position actuelle. Chaque case cochée = un point acquis. Score cible ≥ 20/25 pour une conformité solide.

🏛️ Gouvernance (5 points)

🛡️ Mesures techniques (10 points)

📚 Procédures organisationnelles (5 points)

👥 Facteur humain (3 points)

🔗 Chaîne d'approvisionnement (2 points)

5. Feuille de route 12 mois — 11 étapes

Mois 1-3 : Cadrage et diagnostic

  1. Vérifier votre statut NIS2 (entité essentielle, importante ou hors champ) avec notre calculateur dédié
  2. Enregistrer votre entité auprès de l'ANSSI si concernée (portail MonServiceSécurisé) sous 3 mois
  3. Réaliser un diagnostic initial approfondi — idéalement le Diagnostic Cybersécurité BPI France 2030 cofinancé jusqu'à 50 %
  4. Constituer votre comité NIS2 interne : DG, DSI/RSSI, DRH, juridique, opérations

Mois 4-6 : Bases techniques et organisationnelles

  1. Déployer les 4 fondamentaux techniques : MFA, EDR, sauvegardes 3-2-1-1-0, chiffrement
  2. Rédiger la politique de sécurité de l'information (PSSI) et la faire approuver par le comité de direction
  3. Documenter la procédure d'incident cyber avec arbre de décision et contacts d'urgence
  4. Mettre en place la journalisation centralisée (SIEM léger type Wazuh ou Sentinel Business Continuity)

Mois 7-12 : Structuration et pérennisation

  1. Réaliser un premier exercice de crise cyber (tabletop exercise de 3-4 heures)
  2. Cartographier et auditer vos prestataires TIC critiques — clauses contractuelles + questionnaire sécurité
  3. Lancer le programme annuel de sensibilisation : formation obligatoire + campagne phishing simulé

6. Coûts de mise en conformité par taille

PostePME 50-99 salariésPME 100-249 salariésETI 250-500 salariés
Diagnostic initial (une fois)4 000 — 8 000 €8 000 — 14 000 €14 000 — 30 000 €
Politique SSI + procédures (une fois)5 000 — 12 000 €10 000 — 20 000 €20 000 — 40 000 €
Déploiement MFA + EDR + sauvegardes (une fois + annuel)8 000 — 20 000 €15 000 — 40 000 €40 000 — 100 000 €
Formation + phishing simulé (annuel)3 000 — 8 000 €6 000 — 15 000 €15 000 — 35 000 €
Audit prestataires TIC critiques3 000 — 6 000 €6 000 — 12 000 €10 000 — 25 000 €
Total année 1~ 25 000 — 55 000 €~ 45 000 — 100 000 €~ 100 000 — 230 000 €
Fonctionnement annuel (années suivantes)~ 15 000 — 30 000 €~ 25 000 — 55 000 €~ 55 000 — 130 000 €
💡 Cofinancement BPI France 2030. Le Diagnostic Cybersécurité BPI cofinance jusqu'à 50 % pour les ETI et 32 % pour les TPE/PME, dans la limite de 14 000 € HT. Un excellent point de départ pour cadrer votre démarche NIS2.

7. Sanctions et responsabilité du dirigeant

Sanctions financières

Sanctions non financières

Responsabilité personnelle du dirigeant

Contrairement à NIS1, NIS2 introduit une responsabilité personnelle du dirigeant en cas de manquement grave. Le dirigeant doit :

Un défaut d'exercice de ces obligations peut engager la responsabilité civile, voire pénale, du dirigeant en cas de préjudice grave lié à une cyberattaque.

8. Aides financières mobilisables

👉 Retrouvez toutes les aides à jour sur notre Hub Cyber Hauts-de-France.

Christophe Moisan

À propos de l'auteur

Christophe Moisan est consultant senior en cybersécurité et Cloud Computing, +20 ans d'expérience en management des SI. Fondateur de MEDERI CONSULTING (Amiens, Creil). Agréé Diagnostic Cybersécurité BPI France 2030 et référencé MonExpertCyber (ANSSI + Cybermalveillance.gouv.fr).

En savoir plus →

📜 Êtes-vous concerné par NIS2 ?

Vérifiez en 5 questions si votre entreprise doit se mettre en conformité et recevez votre plan d'action prioritaire.

Questions fréquentes

Quelles PME sont concernées par NIS2 en France ?

Une PME est concernée si elle appartient à l'un des 18 secteurs listés en annexes I et II de la directive NIS2 ET si elle emploie 50 salariés ou plus OU génère 10 M€ de CA/bilan annuel ou plus. Environ 15 000 entités françaises sont concernées, dont plusieurs milliers en Hauts-de-France.

Quelle est la différence entre entité essentielle et entité importante ?

Une entité essentielle est une grande entreprise (250+ salariés ou 50 M€+ de CA) dans un secteur essentiel (annexe I). Une entité importante est soit une entreprise moyenne dans un secteur essentiel, soit une entité de toute taille dans un secteur important (annexe II). Les entités essentielles sont soumises à une supervision proactive tandis que les entités importantes sont soumises à une supervision réactive.

Quelles sont les sanctions NIS2 en cas de non-conformité ?

Jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes. Responsabilité personnelle du dirigeant possible en cas de manquement grave. Sanctions non financières prévues (suspension d'agrément, publication).

Quel est le délai de mise en conformité NIS2 ?

Enregistrement ANSSI sous 3 mois. Mise en conformité complète opérationnelle en 12 à 18 mois. Une PME typique met 10 à 14 mois à structurer sa conformité si elle démarre de zéro.

Combien coûte la mise en conformité NIS2 pour une PME ?

Pour une PME de 50 à 250 salariés démarrant de zéro : 25 000 à 80 000 € la première année (audit, politique SSI, PCA/PRA, formation, premières mesures techniques), puis 15 000 à 50 000 € par an de fonctionnement. Pour une ETI de 250 à 500 salariés : 60 000 à 200 000 € la première année. Cofinancement BPI France 2030 jusqu'à 50 %.