NIS2 et loi Résilience : le guide complet pour les entreprises (2026)

La directive européenne NIS2, transposée en France par la loi Résilience (attendue à l’été 2026), fait passer le nombre d’entreprises soumises à des obligations de cybersécurité d’environ 500 à près de 15 000. Si vous êtes une entreprise de plus de 50 salariés dans l’un des 18 secteurs concernés, vous êtes probablement visé, avec à la clé des obligations concrètes, un enregistrement auprès de l’ANSSI, et des sanctions pouvant atteindre 10 millions d’euros. Voici ce que vous devez savoir, expliqué simplement.

En tant que formateur en cybersécurité, je vois affluer les questions d’entreprises inquiètes : « Suis-je concerné par NIS2 ? », « Qu’est-ce que je risque ? », « Par où je commence ? ». Le sujet paraît opaque, entre le jargon européen, une loi française qui a pris du retard, et des sanctions qui font peur. Mon but ici est de vous le rendre clair et actionnable, sans jargon inutile. On va voir ce qu’est NIS2, qui est vraiment concerné, les obligations exactes, le calendrier, les sanctions, et surtout comment vous y préparer sereinement. Pas de panique : bien accompagné, c’est un chantier tout à fait gérable.

Note importante : cet article a une visée pédagogique et informative, à jour de la situation à l’été 2026. La loi Résilience étant en cours d’adoption, certains détails techniques seront précisés par décrets. Pour une analyse de votre situation précise, rapprochez-vous d’un professionnel ou de l’ANSSI. Je signale ce qui est confirmé et ce qui reste à préciser.

NIS2, c’est quoi ? (et la loi Résilience)

NIS2 (pour « Network and Information Security 2 ») est une directive européenne adoptée fin 2022. Son objectif : rehausser et harmoniser le niveau de cybersécurité des organisations qui jouent un rôle important dans l’économie et les services essentiels, à travers toute l’Union européenne. Elle remplace la première directive NIS de 2016, jugée trop limitée.

comprendre nis2 en une image

Une directive européenne n’est pas directement applicable : chaque pays doit la transposer dans sa propre loi. En France, cette transposition se fait via le projet de loi Résilience (son nom complet : « loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité »). Ce texte transpose en réalité trois directives d’un coup : NIS2, REC (résilience des entités critiques) et DORA (pour le secteur financier). La France a pris du retard (l’échéance européenne était fixée à octobre 2024), et l’examen à l’Assemblée nationale est attendu pour l’été 2026, avec une promulgation dans la foulée.

Le regard du formateur : le changement d’échelle est vertigineux, et c’est ça qu’il faut comprendre. On passe d’environ 500 organisations concernées (les grands opérateurs vitaux) à près de 15 000. NIS2 fait entrer la cybersécurité dans le quotidien de milliers de PME et d’ETI qui ne s’étaient jamais senties concernées jusque-là. Si c’est votre cas, ce n’est pas une raison de paniquer, mais c’est le moment de s’y mettre.

Qui est concerné par NIS2 ? (entités essentielles et importantes)

C’est LA question centrale. Pour savoir si vous êtes concerné, le principe est un croisement entre votre secteur d’activité et votre taille. Si vous cochez les deux, vous êtes dans le périmètre.

La directive couvre 18 secteurs, répartis en deux annexes. On y trouve notamment : l’énergie, les transports, la banque, la santé, l’eau potable et les eaux usées, les infrastructures numériques, l’administration publique, l’espace (secteurs dits « hautement critiques »), mais aussi les services postaux, la gestion des déchets, la chimie, l’agroalimentaire, la fabrication de produits (dispositifs médicaux, électronique, machines, véhicules), les fournisseurs numériques et la recherche.

Ensuite, la loi distingue deux catégories, qui déterminent le niveau d’obligations et de sanctions :

CatégorieTaille (repères)Contrôle
Entité essentielle (EE)Grande entreprise : ≥ 250 salariés, ou CA > 50 M€, dans un secteur hautement critiqueSupervision proactive (contrôles réguliers)
Entité importante (EI)Moyenne entreprise : ≥ 50 salariés ou CA > 10 M€, dans un secteur concernéContrôle réactif (en cas d’incident ou de signalement)

Attention à deux points souvent méconnus. D’abord, certaines entités sont concernées quelle que soit leur taille : fournisseurs de DNS, bureaux d’enregistrement de noms de domaine, prestataires de services de confiance, opérateurs de télécommunications. Ensuite, nouveauté par rapport à NIS1 : les collectivités territoriales (notamment les communes de plus de 30 000 habitants, les départements et régions) entrent dans le périmètre.

Même en dessous des seuils, vous pouvez être touché. C’est le point que beaucoup de dirigeants de petites entreprises ratent. Les entités soumises à NIS2 ont l’obligation de sécuriser leur chaîne d’approvisionnement. Concrètement, si vous êtes sous-traitant d’une grande entreprise concernée, elle vous imposera contractuellement des exigences de sécurité, même si vous n’êtes pas directement visé par la loi. NIS2 va donc se diffuser bien au-delà des 15 000 entités officielles, via effet de cascade.

Le meilleur réflexe pour savoir où vous en êtes : l’ANSSI a mis en place une plateforme dédiée, MonEspaceNIS2, qui permet un premier diagnostic en ligne et l’enregistrement des entités concernées.

Les obligations concrètes de NIS2

Si vous êtes concerné, que devez-vous faire, concrètement ? Les obligations tournent autour de quatre grands axes. Bonne nouvelle : elles suivent une logique « proportionnée au risque », c’est-à-dire adaptée à votre taille et à votre criticité.

  • La gouvernance. Les dirigeants doivent approuver la politique de gestion des risques cyber et se former à la cybersécurité. La sécurité devient une responsabilité de la direction, pas seulement du service informatique.
  • Les mesures techniques et organisationnelles. Un socle de base : analyse des risques, gestion des accès, chiffrement, authentification multifacteur, sauvegardes, continuité d’activité, et sécurisation de la chaîne d’approvisionnement.
  • La notification des incidents. En cas d’incident important, un calendrier strict s’applique : une alerte précoce sous 24 heures, une notification détaillée sous 72 heures, et un rapport final sous un mois, auprès de l’ANSSI.
  • L’enregistrement. Chaque entité concernée doit s’enregistrer auprès de l’ANSSI via la plateforme MonEspaceNIS2.

Pour vous aider à passer de ces principes à des mesures concrètes, l’ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF). Ce document de travail liste les mesures recommandées, organisées autour d’une vingtaine d’objectifs de sécurité (20 pour les entités essentielles, 15 pour les importantes). C’est votre feuille de route opérationnelle.

Le regard du formateur : ne vous laissez pas intimider par la liste. Si vous regardez bien, l’essentiel de ces obligations, ce sont des bonnes pratiques de cybersécurité que toute entreprise devrait déjà appliquer : sauvegardes, double authentification, gestion des accès, sensibilisation des équipes. NIS2 ne réinvente pas la sécurité, elle rend obligatoire ce qui était recommandé. Si vous avez déjà une hygiène cyber correcte, vous partez avec une longueur d’avance.

Les sanctions : qu’est-ce qu’on risque ?

C’est ce qui inquiète le plus, et le régime est effectivement sévère, calqué sur celui du RGPD. Les amendes maximales sont les suivantes :

Type d’entitéAmende maximale
Entité essentielleJusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial (le plus élevé)
Entité importanteJusqu’à 7 M€ ou 1,4 % du chiffre d’affaires mondial

Mais l’innovation la plus marquante de NIS2 dépasse l’argent : c’est la responsabilité personnelle des dirigeants. En cas de manquement grave, les organes de direction peuvent être tenus personnellement responsables, et la loi française devrait permettre à l’ANSSI de prononcer une interdiction temporaire d’exercer des fonctions dirigeantes. S’ajoute une dimension réputationnelle : l’ANSSI peut rendre publiques les sanctions. Autant dire que la conformité devient un sujet de comité de direction, pas seulement un sujet technique.

Rassurez-vous toutefois sur un point : l’ANSSI a clairement indiqué qu’elle privilégierait, dans un premier temps, une logique d’accompagnement avant sanction. Les entités disposeront d’environ trois ans à compter de la publication des exigences pour atteindre la conformité complète, et les premiers contrôles avec sanctions effectives ne sont pas attendus avant 2027-2028. Le message n’est pas « vous allez être sanctionné demain », c’est « commencez à vous préparer maintenant ».

Le calendrier à retenir

  • Mars 2026 : publication du référentiel ReCyF par l’ANSSI (feuille de route des mesures).
  • Été 2026 : examen et adoption attendus de la loi Résilience à l’Assemblée nationale, puis promulgation.
  • Fin 2026 : période transitoire d’enregistrement et d’auto-évaluation via MonEspaceNIS2.
  • 2027 : premiers contrôles ciblés, en priorité sur les entités essentielles.
  • 2028 et au-delà : montée en charge de la supervision et sanctions pleinement effectives.

La leçon de ce calendrier : vous avez du temps, mais pas tant que ça. Un chantier de mise en conformité prend en général de 4 à 8 mois pour une organisation de maturité moyenne (plus pour une entité essentielle partant de zéro). Et les prestataires d’audit qualifiés sont déjà très demandés. Anticiper, c’est éviter la bousculade.

Comment se préparer à NIS2 : par où commencer

Plutôt que de vous noyer, voici les premières actions concrètes, dans l’ordre. C’est la démarche que je recommande.

  1. Vérifiez si vous êtes concerné. Croisez votre secteur et votre taille, et faites le diagnostic sur MonEspaceNIS2. En cas de doute (secteur limite, statut de sous-traitant), demandez conseil.
  2. Faites un état des lieux. Comparez votre niveau actuel aux objectifs du ReCyF. Où en êtes-vous sur les sauvegardes, la double authentification, la gestion des accès, la sensibilisation ?
  3. Mettez en place la gouvernance. Désignez un responsable sécurité, faites valider votre politique de sécurité par la direction, et formez vos dirigeants.
  4. Renforcez les bases techniques. Authentification multifacteur, sauvegardes testées, journalisation, plan de réponse aux incidents.
  5. Formez vos équipes. La sensibilisation du personnel est une obligation explicite, et c’est aussi la mesure la plus efficace : la majorité des incidents commencent par une erreur humaine.

Ce dernier point est souvent sous-estimé, alors qu’il conditionne tout le reste. Une charte informatique claire et une équipe formée valent mieux que le meilleur des logiciels. Si vous voulez avancer sur ce volet, notre guide sur la charte informatique et notre générateur gratuit sont un bon point de départ.

Formez vos équipes à la cybersécurité pour être prêt
La formation des collaborateurs et des dirigeants est au cœur des obligations NIS2, et c’est le levier le plus efficace pour réduire vos risques. Les formations Cyberini, certifiées Qualiopi et finançables via le CPF, vous aident à mettre votre organisation à niveau, du débutant au professionnel. Découvrir les formations ou comprendre les risques en cas de fuite de données.

Questions fréquentes

Ma PME est-elle concernée par NIS2 ?

Vous êtes probablement concerné si votre entreprise compte au moins 50 salariés ou réalise plus de 10 M€ de chiffre d’affaires, et que votre activité relève de l’un des 18 secteurs listés par la directive. Certaines entités (fournisseurs DNS, télécoms, prestataires de confiance) sont concernées quelle que soit leur taille. Même en dessous des seuils, vous pouvez être impacté indirectement en tant que sous-traitant. Le diagnostic sur MonEspaceNIS2 permet de vérifier.

Quelle est la différence entre entité essentielle et entité importante ?

Les entités essentielles sont les grandes organisations (250+ salariés ou CA > 50 M€) des secteurs les plus critiques (énergie, santé, transports…), soumises à une supervision proactive. Les entités importantes sont des structures de taille moyenne (50+ salariés ou CA > 10 M€) dans un périmètre plus large, contrôlées de façon réactive. Les sanctions maximales diffèrent : 10 M€ ou 2 % du CA pour les essentielles, 7 M€ ou 1,4 % pour les importantes.

Quand la loi NIS2 entre-t-elle en vigueur en France ?

La transposition se fait via la loi Résilience, dont l’examen à l’Assemblée nationale est attendu à l’été 2026, avec une promulgation dans la foulée. Une période transitoire suit, avec un enregistrement des entités fin 2026, des premiers contrôles en 2027, et des sanctions pleinement effectives à partir de 2028 environ. Les entités disposent d’environ trois ans pour se mettre en conformité complète.

Quelles sont les sanctions en cas de non-conformité à NIS2 ?

Les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour une entité essentielle, et 7 millions d’euros ou 1,4 % pour une entité importante. NIS2 introduit aussi la responsabilité personnelle des dirigeants, pouvant aller jusqu’à une interdiction temporaire d’exercer, ainsi que la publication possible des sanctions par l’ANSSI.

Quelle différence entre NIS2 et le RGPD ?

Le RGPD protège les données personnelles et relève de la CNIL. NIS2 vise la cybersécurité globale des organisations critiques et relève de l’ANSSI. Les deux se recoupent (analyse de risques, notification d’incidents) mais ont des autorités, des délais et des sanctions distincts. Un même incident touchant des données personnelles peut devoir être notifié à la fois à l’ANSSI (sous 24h au titre de NIS2) et à la CNIL (sous 72h au titre du RGPD).

La certification ISO 27001 suffit-elle pour être conforme à NIS2 ?

Non, mais elle constitue une base solide. NIS2 impose des obligations spécifiques (délais de notification stricts, gouvernance et responsabilité des dirigeants, gestion des tiers) qui vont au-delà du périmètre d’ISO 27001. Une organisation déjà certifiée ISO 27001 aura toutefois un chantier de mise en conformité nettement réduit.