Directive NIS2 : comprendre le nouveau cadre européen de cybersécurité et ses impacts pour les entreprises en France

En 2025, plus de 40% des entreprises déclarent avoir subi au moins une cyberattaque significative*. Face à cette menace, l’Union européenne a fait le choix de renforcer la cybersécurité de ses organisations en instaurant des obligations destinées à élever le niveau de maturité cyber de l’ensemble du tissu économique ainsi que des administrations publiques et des collectivités territoriales.

Qu’est-ce que NIS2 ?

La directive NIS2 (Network and Information Security 2) qui vise à assurer un niveau élevé et commun de cybersécurité dans toute l’Union Européenne devient donc le texte européen de référence en la matière. Adoptée le 14 décembre 2022 et entrée en vigueur le 18 octobre 2024, elle abroge et remplace la première directive NIS, adoptée en 2016.

Les objectifs de NIS2

NIS2 poursuit trois ambitions principales :

1. Élargir le périmètre des entités soumises à des obligations de cybersécurité en intégrant de nouveaux secteurs jugés critiques pour l’économie et la société ;
2. Harmoniser les exigences entre les États membres afin de garantir un niveau de sécurité élevé et cohérent à l’échelle européenne ;
3. Renforcer la coopération entre les autorités nationales et les mécanismes de réponse aux incidents à l’échelle de l’UE.

Concrètement, NIS2 impose aux entités concernées de mettre en œuvre des mesures de gestion des risques cyber avec 20 objectifs de sécurité définis dans la directive, de notifier les incidents significatifs aux autorités compétentes et engage la responsabilité des dirigeants dans la gouvernance de la cybersécurité.

Les entités concernées

NIS2 ne cible plus seulement les opérateurs vitaux mais des milliers de PME, ETI et grandes entreprises. Les organisations sont classées en deux catégories, entités essentielles (EE) ou entités importantes (El) selon la criticité de leur activité et leur taille. Les EE sont soumises à des exigences de cybersécurité plus strictes que les El.

La directive identifie deux types de secteurs: hautement critiques (Annexe I de la directive) et critiques (Annexe || de la directive).

• Les secteurs hautement critiques sont l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC, l’administration publique et l’espace.

• Les secteurs critiques sont les services postaux, la gestion des déchets, la fabrication de produits chimiques, l’agro-alimentaire, l’industrie manufacturière, les fournisseurs de services numériques et la recherche.

Les classification en EE et El suit cette logique :

Il existe quelques cas sortant de cette classification notamment pour les fournisseurs d’infrastructure numérique. Numeum vous propose une cartographie permettant de définir si votre entreprise est assujettie ou non et sous quelle catégorie. Vous pouvez également utiliser le simulateur NIS2 proposé par l’ANSSI.

Attention : une révision de la directive NIS2 est en cours au niveau européen. Elle introduit une nouvelle catégorie d’entreprises : les small mid-caps ayant 1 000 employés, 200 millions d’euros de chiffre d’affaires ou 172 millions d’euros d’actifs totaux. Le seuil applicable aux entités essentielles (EE) serait donc relevé, passant des entreprises de taille moyenne aux small mid-caps.

En France

En France, près de 15 000 entités seraient concernées par la directive NIS2. L’autorité compétente en matière de contrôle et de supervision est l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Puisqu’il s’agit d’une directive, NIS2 nécessite une transposition en droit interne pour être pleinement applicable. À cette fin, le gouvernement a présenté le projet de loi « Résilience », visant à transposer plusieurs textes européens relatifs à la cybersécurité : NIS2, DORA et REC.

Ce projet de loi a été adopté en première lecture au Sénat en 2025 et demeure, à ce stade, en attente d’examen par l’Assemblée nationale. Les contributions de Numeum sur ce texte peuvent être consultées sur ce fil Ensemble. Vous pourrez aussi y suivre les futures informations relatives à son examen.

Mise en œuvre de NIS2

Malgré l’absence de transposition à ce jour, l’ANSSI appelle l’ensemble des entités assujetties à ne pas attendre pour commencer leur mise en conformité. En effet, l’ANSSI rappelle que l’objectif premier est bel et bien de protéger son organisation face aux cybermenaces qui, elles, n’attendent pas.

Attention, les entreprises du secteur numérique** ne sont pas concernées par la transposition nationale. En effet, en raison de la nature transfrontalières de leurs activités, un règlement d’exécution a été proposé par la Commission Européenne. Ce règlement d’exécution détaille notamment les exigences techniques et méthodologiques relatives aux mesures de gestion des risques liés à la cybersécurité pour ces entités. Le référentiel à suivre est donc celui-ci.

Pour les autres secteurs, l’ANSSI a choisi de lancer, le 18 mars dernier, un « mouvement collectif de sécurisation » avec la publication du référentiel de sécurité ReCyF*** permettant aux entités assujetties de se mettre en conformité. Elle met également à disposition des entités un certain nombre d’outils d’aide à la mise en conformité sur MonEspaceNIS2 (outil de comparaison des référentiels de cybersécurité existants avec ReCyF ; FAQ; contenu pédagogique…).

L’ANSSI appelle toutes les entités concernées à se pré-enregistrer et à signaler leurs incidents dès maintenant sur club.ssi.gouv.fr.

Vous pouvez retrouver en pièce jointe la présentation réalisée par l’ANSSI concernant le référentiel ReCyF et les chemins de mise en conformité. Numeum vous propose aussi un webinaire de décryptage réalisé avec notre avocat partenaire Maitre Ledieu.

NIS2, une opportunité pour la filière de la cybersécurité

Avec 15 000 entités assujetties en France, la directive NIS2 ouvre un marché conséquent pour la filière de la cybersécurité qui va devoir se mettre en ordre de bataille pour accompagner la sécurisation de ces entités.

Numeum joue pleinement son rôle d’accompagnement de la filière en suivant les groupes de travail de l’ANSSI sur le futur label de confiance NIS2 et en partageant de la veille régulière sur la directive et la politique d’accompagnement prévue par l’ANSSI. Pour suivre nos actions en la matière, nous vous invitons à suivre la Commission Cybersécurité sur Ensemble.

* 11ème baromètre annuel du CESIN (lien)

** Fournisseurs de services DNS, registres des noms de domaine de premier niveau, fournisseurs de services d’informatique en nuage, fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenus, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et fournisseurs de services de confiance (les entités concernées).

*** L’ANSSI propose ce référentiel en « recette» pour aider les entités assujetties mais son utilisation n’est pas obligatoire. Seule l’atteinte des objectifs de sécurité définis dans la directive l’est. Cette approche permet de faciliter les travaux de mise en conformité pour les entités utilisant déjà d’autres référentiels (ex : ISO27001 ; NIST…). Un outil de comparaison est mis à disposition pour identifier les recoupements et les manquements par rapport aux exigences NIS2.