← Tous les articles
14 juin 2026·5 min de lecture

Qu'est-ce que NIS2 ? Le guide complet pour les ETI françaises

La directive NIS2 est la nouvelle réglementation européenne sur la cybersécurité. Elle va concerner environ 15 000 entreprises françaises et impose des obligations concrètes avant fin 2027.

D'où vient NIS2 ?

NIS2 (Network and Information Security 2) est une directive européenne adoptée en décembre 2022 (UE 2022/2555). Elle remplace et élargit considérablement la directive NIS1 de 2016, qui ne concernait qu'une poignée d'opérateurs critiques.

En France, la transposition en droit national est en cours. La loi française est attendue pour l'été 2026, avec une conformité exigée d'ici fin 2027. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est l'autorité de contrôle compétente.

Pourquoi NIS2 est différente de NIS1

NIS1 concernait environ 300 entreprises en France. NIS2 en concernera 15 000 à 18 000. L'élargissement est massif, pour plusieurs raisons :

  • Les seuils de taille ont été abaissés (désormais à partir de 50 salariés ou 10 M€ de CA)
  • De nouveaux secteurs ont été ajoutés (industrie, alimentation, espace...)
  • La chaîne d'approvisionnement est incluse : vos fournisseurs aussi peuvent être dans le scope
  • Les sanctions sont nettement plus élevées

Ce que NIS2 impose concrètement

NIS2 n'impose pas d'être parfait sur le plan technique. Elle impose de documenter, gérer et améliorer votre niveau de sécurité selon 5 domaines définis par l'ANSSI :

Gouvernance
Avoir une politique de sécurité formalisée, des rôles définis, une formation annuelle.
Protection
Contrôle d'accès, chiffrement des données sensibles, gestion des mises à jour.
Gestion des incidents
Capacité à détecter, notifier (sous 24h à l'ANSSI) et traiter les incidents.
Continuité d'activité
Plan de continuité (PCA), plan de reprise (PRA), sauvegardes testées.
Chaîne d'approvisionnement
Évaluation de la sécurité de vos fournisseurs et prestataires IT.

Les sanctions prévues

Pour les entités dites importantes (50-250 salariés, CA 10-50 M€) : amendes jusqu'à 7 millions d'euros ou 1,4% du CA mondial. Pour les entités essentielles (plus grandes) : jusqu'à 10 millions d'euros ou 2% du CA mondial.

Au-delà des amendes, la directive prévoit la responsabilité personnelle des dirigeants en cas de négligence avérée.

Par où commencer ?

La première étape est toujours un diagnostic de l'existant. Avant de lancer des projets techniques, il faut savoir où vous en êtes sur les 5 domaines NIS2 — pour prioriser les efforts et documenter votre démarche.

C'est exactement ce que fait Netcurity : un questionnaire guidé de 25 questions, un score par domaine, et un plan d'action priorisé — avec un rapport PDF prêt à présenter à votre direction ou lors d'un contrôle ANSSI.

Votre entreprise est-elle concernée par NIS2 ?

Faites le diagnostic en 20 minutes. Score de maturité + rapport PDF ANSSI.

Accès anticipé →