Directive NIS2 : ce qui change pour les entreprises en 2026

Qu'est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security 2) est la refonte majeure du cadre europeen de cybersecurite. Adoptee par le Parlement europeen en novembre 2022, elle remplace la directive NIS1 de 2016, jugee insuffisante face a l'evolution des menaces.

L'objectif est clair : relever le niveau global de cybersecurite dans l'Union europeenne en imposant des obligations strictes a un nombre beaucoup plus large d'organisations. La France a transpose cette directive dans son droit national, et les obligations sont en vigueur. Les entreprises concernees doivent se mettre en conformite sans delai.

De NIS1 a NIS2 : ce qui a change

La directive NIS1 ne concernait qu'un nombre restreint d'operateurs de services essentiels (OSE) et de fournisseurs de services numeriques. En France, cela representait environ 500 entites. NIS2 change completement la donne :

Qui est concerne par NIS2 ?

NIS2 distingue deux categories d'entites : les entites essentielles et les entites importantes. La classification depend de votre secteur d'activite et de votre taille.

Les entites essentielles (supervision stricte)

Ce sont les organisations dont l'arret aurait un impact grave sur la societe. Elles sont soumises a des controles proactifs de l'ANSSI (Agence nationale de la securite des systemes d'information) :

• Energie (electricite, gaz, petrole, hydrogene)
• Transports (aerien, ferroviaire, maritime, routier)
• Banque et infrastructures financieres
• Sante (hopitaux, laboratoires, fabricants de dispositifs medicaux)
• Eau potable et eaux usees
• Infrastructure numerique (DNS, data centers, cloud, reseaux de communication)
• Administration publique
• Espace

Les entites importantes (supervision reactive)

Ces organisations sont soumises a des obligations similaires, mais avec une supervision moins intrusive (controles uniquement en cas d'incident ou de signalement) :

• Services postaux et de courrier
• Gestion des dechets
• Fabrication et distribution de produits chimiques
• Production et distribution alimentaire
• Industrie manufacturiere (dispositifs medicaux, electronique, vehicules, machines)
• Services numeriques (places de marche en ligne, moteurs de recherche, reseaux sociaux)
• Recherche

Criteres de taille

En regle generale, NIS2 s'applique aux entreprises des secteurs concernes qui remplissent au moins un des criteres suivants :

• 50 salaries ou plus
• Chiffre d'affaires annuel superieur a 10 millions d'euros
• Total de bilan annuel superieur a 10 millions d'euros

Cependant, certaines entites sont concernees quelle que soit leur taille : les fournisseurs de DNS, les registres de noms de domaine, les fournisseurs de reseaux de communication publics, et les entites identifiees comme critiques par les Etats membres.

Les obligations cles de NIS2

La directive impose quatre grands piliers d'obligations. Voici le detail de chacun :

1. Gouvernance et responsabilite des dirigeants

C'est l'un des changements les plus significatifs de NIS2 : les dirigeants sont personnellement responsables de la conformite. Concretement :

• Les organes de direction doivent approuver les mesures de gestion des risques.
• Les dirigeants doivent suivre une formation en cybersecurite.
• En cas de manquement grave, les dirigeants peuvent etre temporairement interdits d'exercer des fonctions de direction.

2. Gestion des risques et mesures de securite

Les entites concernees doivent mettre en oeuvre des mesures de securite "appropriees et proportionnees" couvrant au minimum :

• Analyse des risques : identification et evaluation reguliere des menaces pesant sur vos systemes d'information.
• Gestion des incidents : procedures de detection, de reponse et de notification des incidents de securite.
• Continuite d'activite : plan de continuite (PCA) et plan de reprise d'activite (PRA), sauvegardes, gestion de crise.
• Securite de la chaine d'approvisionnement : evaluation de la securite de vos fournisseurs et prestataires.
• Securite dans l'acquisition et le developpement : securite integree dans les processus d'achat et de developpement de systemes.
• Evaluation de l'efficacite : tests reguliers (audits, tests d'intrusion) pour verifier le niveau de securite.
• Hygiene informatique et formation : pratiques de base (mots de passe, MFA, mises a jour) et sensibilisation des collaborateurs.
• Chiffrement : utilisation de la cryptographie et du chiffrement la ou c'est necessaire.
• Controle d'acces : gestion des identites, des acces et des actifs.
• Authentification : solutions d'authentification multi-facteurs (MFA) ou d'authentification continue.

3. Notification des incidents

NIS2 impose un processus de notification en trois etapes, avec des delais stricts :

1. Alerte initiale sous 24 heures : des que vous avez connaissance d'un incident significatif, vous devez notifier l'ANSSI dans les 24 heures. Cette premiere alerte peut etre succincte.
2. Rapport intermediaire sous 72 heures : une mise a jour plus detaillee, incluant une premiere evaluation de la gravite, de l'impact et des indicateurs de compromission.
3. Rapport final sous 1 mois : description complete de l'incident, de la cause profonde, des mesures d'attenuation et de l'impact transfrontalier eventuel.

4. Securite de la chaine d'approvisionnement

C'est un point particulierement important pour les entreprises de la region toulousaine, ou les chaines de sous-traitance sont longues (aeronautique, spatial, defense). NIS2 exige que chaque entite concernee :

• Evalue les risques lies a ses fournisseurs directs et prestataires de services.
• Integre des clauses de securite dans ses contrats.
• Verifie regulierement le niveau de securite de ses partenaires.
• Prenne en compte les vulnerabilites specifiques a chaque fournisseur.

En pratique, cela signifie que si vous etes sous-traitant d'un donneur d'ordre soumis a NIS2, il va vous demander de prouver votre conformite. Ne pas etre pret peut vous faire perdre des marches.

Les sanctions en cas de non-conformite

NIS2 durcit considerablement les sanctions par rapport a NIS1 :

• Entites essentielles : amendes jusqu'a 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus eleve etant retenu).
• Entites importantes : amendes jusqu'a 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial.
• Dirigeants : interdiction temporaire d'exercer des fonctions de direction en cas de manquements graves repetes.
• Publication : l'ANSSI peut rendre publics les manquements constates, ce qui represente un risque de reputation considerable.

Calendrier et echeances

Voici les dates cles a retenir :

• Janvier 2023 : entree en vigueur de la directive au niveau europeen.
• Octobre 2024 : date limite de transposition dans le droit national des Etats membres.
• 2025 : la France a finalise sa transposition. L'ANSSI a publie les listes de criteres et les guides d'accompagnement.
• 2026 : les controles de conformite sont effectifs. Les entites essentielles sont soumises a des audits proactifs. Les entites importantes peuvent etre controlees en cas d'incident.

Si vous n'avez pas encore commence votre mise en conformite, il est urgent d'agir. Les controles sont en cours et les sanctions sont applicables.

Comment se mettre en conformite : 8 etapes pratiques

Voici un plan d'action concret pour les PME et ETI qui doivent se conformer a NIS2 :

Etape 1 : Determiner si vous etes concerne

Verifiez si votre secteur d'activite figure dans la liste NIS2 et si vous remplissez les criteres de taille. N'oubliez pas l'effet chaine d'approvisionnement : meme si vous n'etes pas directement concerne, vos clients peuvent vous imposer des exigences.

Etape 2 : Realiser un audit de securite

Faites un etat des lieux complet de votre securite informatique actuelle. Identifiez les ecarts entre votre situation et les exigences NIS2. C'est la base de tout plan de remise a niveau. Chez CoreWave, nous proposons un audit informatique gratuit qui couvre les principaux points de controle NIS2.

Etape 3 : Nommer un responsable

Designez une personne (interne ou externe) responsable de la cybersecurite et de la conformite NIS2. Cette personne rapporte directement a la direction et coordonne les actions de mise en conformite.

Etape 4 : Mettre en place une politique de gestion des risques

Documentez votre politique de securite des systemes d'information (PSSI). Elle doit couvrir l'analyse des risques, les mesures de protection, la gestion des incidents et la continuite d'activite.

Etape 5 : Deployer les mesures techniques

Les mesures minimales a deployer :

• Authentification multi-facteurs (MFA) sur tous les acces critiques
• Solution de detection et reponse aux menaces (EDR) sur tous les postes
• Sauvegardes regulieres, testees et externalisees
• Mises a jour de securite dans un delai maximum de 72 heures apres publication
• Segmentation reseau pour limiter la propagation des attaques
• Chiffrement des donnees sensibles (en transit et au repos)
• Journalisation centralisee des evenements de securite

Un prestataire d'infogerance specialise peut deployer l'ensemble de ces mesures dans un delai de 2 a 4 semaines pour une PME de 20 a 50 postes.

Etape 6 : Elaborer un plan de continuite et de reprise

NIS2 exige un PCA (plan de continuite d'activite) et un PRA (plan de reprise d'activite). Ces plans doivent :

• Definir les scenarios de crise (ransomware, panne majeure, inondation du data center...)
• Identifier les systemes critiques et leurs delais de reprise acceptables (RTO/RPO)
• Prevoir les procedures de bascule et de restauration
• Etre testes au moins une fois par an

Etape 7 : Former les collaborateurs et les dirigeants

NIS2 impose explicitement la formation des dirigeants. Au-dela de cette obligation, la sensibilisation de l'ensemble des collaborateurs est indispensable :

• Formation annuelle a la cybersecurite (phishing, mots de passe, ingenierie sociale)
• Exercices de simulation (faux phishing, simulation de crise)
• Procedures claires de signalement des incidents

Etape 8 : Mettre en place le processus de notification

Preparez les procedures de notification a l'ANSSI en respectant les delais imposes (24h / 72h / 1 mois). Designez les personnes habilitees a notifier et preparez les modeles de rapports a l'avance.

Impact specifique pour les entreprises toulousaines

La region Occitanie, et Toulouse en particulier, est touchee de plein fouet par NIS2 pour plusieurs raisons :

• Filiere aeronautique et spatiale : les entites du secteur aerospatial relevent directement des "entites essentielles" ou des "entites importantes" (transport, fabrication). Les milliers de sous-traitants de la filiere sont concernes par l'effet chaine d'approvisionnement.
• Sante : les cliniques, hopitaux et laboratoires de la region sont desormais des entites essentielles. Leurs prestataires IT doivent etre conformes.
• Education et recherche : les universites toulousaines et les centres de recherche (CNRS, ONERA, CNES) sont dans le perimetre NIS2. Leurs prestataires informatiques doivent garantir un niveau de securite adequat.
• Services numeriques : les nombreuses startups et ESN (entreprises de services numeriques) de la French Tech Toulouse sont potentiellement concernees si elles depassent les seuils de taille.
• Agroalimentaire : le secteur de la production et de la distribution alimentaire est un nouvel entrant dans NIS2. Les cooperatives agricoles et les transformateurs de la region Occitanie doivent se conformer.

Comment CoreWave vous accompagne dans la conformite NIS2

Chez CoreWave, nous accompagnons les entreprises, ecoles et associations de Toulouse et de la region Occitanie dans leur mise en conformite NIS2. Notre approche est pragmatique et adaptee aux PME :

Audit initial NIS2

Nous realisons un diagnostic complet de votre posture de securite par rapport aux exigences NIS2. Cet audit identifie les ecarts, priorise les actions et chiffre le budget necessaire.

Deploiement des mesures techniques

Notre equipe deploie l'ensemble des mesures de securite requises : EDR, MFA, sauvegardes externalisees, segmentation reseau, journalisation, chiffrement. Nous utilisons des solutions professionnelles eprouvees et nous assurons leur maintien en condition operationnelle via notre offre d'infogerance.

Documentation et gouvernance

Nous vous aidons a rediger votre PSSI, votre PCA/PRA, vos procedures de notification et votre documentation de conformite. Ces documents sont indispensables en cas de controle.

Supervision et reponse aux incidents

Notre supervision 24/7 et nos outils de detection permettent d'identifier et de traiter les incidents en temps reel. En cas d'incident significatif, nous vous accompagnons dans la notification a l'ANSSI et dans la gestion de crise.

Formation et sensibilisation

Nous proposons des sessions de formation pour vos dirigeants (obligation NIS2) et des campagnes de sensibilisation pour vos collaborateurs (simulations de phishing, bonnes pratiques, procedures de signalement).

Notre offre cybersecurite couvre l'ensemble des exigences NIS2 dans un format adapte aux PME : des solutions professionnelles a un cout maitrise, deployees et maintenues par des experts locaux.

Conclusion : NIS2, contrainte ou opportunite ?

NIS2 peut sembler etre une contrainte administrative de plus. Mais c'est aussi une opportunite de structurer votre securite informatique, de proteger votre activite et de renforcer la confiance de vos clients et partenaires.

Les entreprises qui anticipent la mise en conformite en tirent un avantage competitif : elles peuvent repondre aux appels d'offres qui exigent un niveau de securite eleve, elles rassurent leurs donneurs d'ordre, et surtout, elles se protegent contre des menaces bien reelles.

A Toulouse, ou les chaines de valeur sont longues et interconnectees (aeronautique, spatial, sante, recherche), la securite de chaque maillon est l'affaire de tous. NIS2 formalise cette realite. Autant s'y preparer serieusement, et rapidement.

Pour savoir ou vous en etes et par quoi commencer, demandez votre audit gratuit. En une heure, nous evaluons votre posture de securite et nous vous proposons un plan d'action concret.