En une phrase. La directive NIS2 (directive (UE) 2022/2555) est transposée en France par la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui désigne l’ANSSI comme autorité nationale, soumet environ 15 000 entités françaises (contre ~500 sous NIS1) à des obligations de gestion des risques cyber, d’enregistrement et de notification d’incidents, sous peine de sanctions pouvant atteindre 10 M€ ou 2 % du chiffre d’affaires mondial.
La France a manqué l’échéance de transposition fixée au 17 octobre 2024 par l’article 41 de la directive NIS2 — comme la majorité des États membres, ce qui a valu à Paris une procédure d’infraction ouverte par la Commission européenne fin novembre 2024. La transposition est intervenue via un texte unique couvrant trois directives : NIS2, REC (résilience des entités critiques, directive (UE) 2022/2557) et DORA (volet directive (UE) 2022/2556).
Cet article détaille qui est concerné en France, ce que l’ANSSI exige concrètement, le calendrier de mise en conformité et les sanctions. Pour le contexte européen général, voir notre guide de la directive NIS2 et l’historique de la directive NIS première version.
Points clés
- 15 000 entités environ concernées en France selon l’ANSSI, dans 18 secteurs d’activité, contre ~500 opérateurs de services essentiels sous NIS1.
- Deux catégories : entités essentielles (EE) et entités importantes (EI), déterminées par secteur et par taille.
- Enregistrement obligatoire auprès de l’ANSSI via la plateforme MonEspaceNIS2 (monespacenis2.cyber.gouv.fr).
- Notification d’incidents importants : alerte précoce sous 24 h, notification sous 72 h, rapport final sous un mois.
- Sanctions : jusqu’à 10 M€ ou 2 % du CA mondial (EE), 7 M€ ou 1,4 % (EI), et responsabilité personnelle des dirigeants.
1. Qui est concerné : entités essentielles et importantes
NIS2 fonctionne par croisement secteur × taille. Les secteurs sont listés en annexes I et II de la directive : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace (annexe I — secteurs hautement critiques), puis services postaux, gestion des déchets, chimie, agroalimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules), fournisseurs numériques et recherche (annexe II).
Les seuils de taille suivent la recommandation 2003/361/CE :
- Entité essentielle : grande entreprise (≥ 250 salariés ou CA > 50 M€ et bilan > 43 M€) d’un secteur de l’annexe I.
- Entité importante : entreprise moyenne (≥ 50 salariés ou CA > 10 M€) des annexes I ou II, ainsi que les grandes entreprises de l’annexe II.
Certaines entités sont concernées quelle que soit leur taille : fournisseurs de services DNS, registres de noms de domaine, prestataires de services de confiance qualifiés (voir notre guide eIDAS), opérateurs télécoms, ou toute entité désignée comme critique au titre de la directive REC. Les anciens OIV et OSE basculent mécaniquement dans le dispositif.
Point souvent négligé : les collectivités territoriales entrent dans le périmètre français (régions, départements, communes de plus de 30 000 habitants et leurs groupements) — une extension nationale que la directive laissait à l’appréciation des États membres. Voir nos développements sur le RGPD dans les collectivités territoriales, dont les obligations se cumulent avec NIS2.
2. La loi de transposition française
Le projet de loi « résilience des infrastructures critiques et renforcement de la cybersécurité », présenté en Conseil des ministres le 15 octobre 2024, a été adopté par le Sénat en première lecture le 12 mars 2025, puis a poursuivi son parcours parlementaire jusqu’à son adoption définitive en 2025. Le texte s’articule en trois titres (REC, NIS2, DORA) et renvoie l’essentiel des exigences techniques à des décrets d’application et à des référentiels ANSSI.
Trois choix français méritent l’attention :
- L’ANSSI est l’autorité compétente unique pour NIS2 (hors secteur financier, supervisé par l’ACPR et l’AMF au titre de DORA).
- Un délai de mise en conformité progressif : l’ANSSI a annoncé publiquement que les entités disposeraient d’environ 3 ans à compter de la publication des exigences techniques pour atteindre la conformité complète, avec une logique d’accompagnement avant sanction.
- Une commission des sanctions dédiée, distincte des services opérationnels de l’ANSSI, prononce les amendes.
3. Les obligations concrètes
Enregistrement
Chaque entité doit s’auto-identifier et s’enregistrer auprès de l’ANSSI via MonEspaceNIS2. L’ANSSI met à disposition un test d’auto-évaluation (« Mon Espace NIS2 ») pour déterminer si l’on est EE, EI ou hors périmètre.
Gestion des risques (article 21 de la directive)
Dix familles de mesures minimales : analyse de risques et politiques de sécurité, gestion des incidents, continuité d’activité et gestion de crise (voir notre guide du plan de continuité d’activité), sécurité de la chaîne d’approvisionnement, sécurité de l’acquisition et du développement, évaluation de l’efficacité des mesures, hygiène informatique et formation, cryptographie, sécurité des ressources humaines et contrôle d’accès, authentification multifacteur. L’ANSSI décline ces exigences en objectifs de sécurité largement alignés sur son guide d’hygiène informatique et sur la démarche PSSI.
Notification d’incidents
Trois échéances pour tout incident important : alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous un mois. Le parallèle avec la notification de violation de données RGPD est évident — mais les deux obligations sont cumulatives et adressées à des autorités différentes (ANSSI vs CNIL).
Gouvernance et responsabilité des dirigeants
L’article 20 de la directive impose que les organes de direction approuvent les mesures de gestion des risques, en supervisent la mise en œuvre et soient formés. En cas de manquement, les dirigeants d’entités essentielles peuvent être tenus responsables et faire l’objet d’une interdiction temporaire d’exercer des fonctions dirigeantes.
4. Sanctions
Le régime de sanctions français reprend les planchers de la directive :
| Manquement | Entité essentielle | Entité importante |
|---|---|---|
| Obligations de gestion des risques / notification | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
| Pouvoirs complémentaires | Suspension de certification, injonctions, astreintes, responsabilité des dirigeants | Injonctions, astreintes |
À la différence du RGPD, le contrôle est aussi préventif pour les entités essentielles : audits sur pièces et sur place, scans de sécurité, demandes d’information — l’ANSSI n’attend pas l’incident. Les audits pourront s’appuyer sur des prestataires qualifiés PASSI.
5. Calendrier 2026 et plan d’action
- Immédiat : qualifier votre statut (EE/EI/hors champ) et vous enregistrer sur MonEspaceNIS2.
- T3 2026 : cartographier le SI et les dépendances fournisseurs — la cartographie du système d’information est le prérequis de toute mise en conformité.
- T4 2026 : analyse de risques (EBIOS Risk Manager), PSSI, plan de traitement priorisé.
- 2027 : déploiement des mesures (MFA, sauvegardes, détection, PCA/PRA), formation des dirigeants, exercices de crise.
- En continu : procédure de notification 24 h/72 h testée, revue annuelle.
L’ANSSI centralise la documentation officielle (FAQ, objectifs de sécurité, textes) sur cyber.gouv.fr.
Pour les organisations qui traitent aussi des données personnelles — c’est-à-dire toutes — la conformité NIS2 recoupe largement l’article 32 du RGPD (sécurité des traitements). Une plateforme d’automatisation comme Legiscope permet de mutualiser les deux référentiels : cartographie des traitements et des actifs, registre unique, suivi des mesures de sécurité et des notifications, plutôt que deux chantiers parallèles.
FAQ
La loi NIS2 française est-elle déjà applicable ?
La loi de transposition a été adoptée en 2025, mais son application effective dépend des décrets et référentiels techniques ANSSI. L’ANSSI a annoncé un délai de mise en conformité d’environ 3 ans après publication des exigences, avec une phase d’accompagnement avant les premières sanctions. L’obligation d’enregistrement, elle, est immédiate.
Comment savoir si mon entreprise est une entité essentielle ou importante ?
Croisez votre secteur (annexes I et II de la directive) avec votre taille (50 salariés / 10 M€ pour importante, 250 salariés / 50 M€ pour essentielle). L’ANSSI propose un test en ligne sur MonEspaceNIS2. En cas de doute, faites l’exercice par entité juridique, pas par groupe.
Quelle différence entre NIS2 et le RGPD ?
Le RGPD protège les données personnelles, NIS2 protège les systèmes d’information critiques. Les mesures techniques se recoupent (analyse de risques, sécurité, notification d’incidents), mais les autorités (CNIL vs ANSSI), les délais de notification et les sanctions diffèrent. Un même incident peut devoir être notifié aux deux.
Les sous-traitants des entités NIS2 sont-ils concernés ?
Indirectement mais sûrement : la sécurité de la chaîne d’approvisionnement fait partie des dix mesures obligatoires. Les entités régulées imposeront contractuellement des exigences de sécurité à leurs fournisseurs, comme le RGPD l’a fait via l’article 28.
Conclusion
NIS2 multiplie par trente le nombre d’organisations régulées en France et fait entrer la cybersécurité dans le champ de la responsabilité des dirigeants. Le calendrier français laisse du temps — environ trois ans — mais l’ampleur du chantier (cartographie, analyse de risques, PCA, notification, fournisseurs) impose de commencer en 2026. Les entités qui ont déjà structuré leur conformité RGPD partent avec une longueur d’avance : la gouvernance, le registre et la logique de gestion des risques sont les mêmes.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial