Directive NIS2 : comprendre à qui elle s’adresse et comment s’y préparer

NIS2, en quelques mots

Adoptée fin 2022 et entrée en vigueur au niveau européen en janvier 2023, la directive NIS2 – Network and Information Security 2 (En français : sécurité des réseaux et des systèmes d’information) succède à NIS1. Son objectif est clair : renforcer la résilience numérique des secteurs essentiels à l’économie et à la société, tout en harmonisant les exigences de cybersécurité au sein de l’Union européenne.

Là où NIS1 ciblait principalement les opérateurs de services essentiels (énergie, transport, santé), NIS2 élargit considérablement son périmètre. Elle intègre davantage de secteurs, mais aussi la notion de chaîne d’approvisionnement : un prestataire peut être concerné non pas par son secteur, mais par le rôle critique qu’il joue pour ses clients.

Quels secteurs et quelles organisations sont concernés ?

La directive NIS2 couvre un périmètre beaucoup plus large que sa première version. Elle s’adresse à des organisations publiques et privées opérant dans des secteurs considérés comme essentiels ou importants pour le fonctionnement de l’économie et de la société.

Parmi les principaux secteurs concernés, on retrouve notamment :

• la santé et la recherche,
• l’énergie, les transports, l’eau potable et les eaux usées,
• les infrastructures numériques, les fournisseurs de services numériques et la gestion des services TIC,
• le secteur bancaire et les infrastructures des marchés financiers,
• les administrations publiques,
• les services postaux et d’expédition,
• la gestion des déchets,
• la production, transformation et distribution des denrées alimentaires,
• la fabrication, production et distribution de produits chimiques,
• ainsi que l’industrie manufacturière.

Au-delà du secteur d’activité, une organisation est susceptible d’être concernée si elle :

• emploie plus de 50 salariés ou réalise plus de 10 M€ de chiffre d’affaires,
• ou fournit des services essentiels à des entités elles-mêmes soumises à NIS2.

En pratique, même certaines PME peuvent entrer dans le périmètre, notamment via leur rôle dans la chaîne d’approvisionnement (hébergement, infogérance, services IT, prestataires critiques). C’est l’un des changements majeurs introduits par NIS2.

Entités essentielles et entités importantes : une logique de proportionnalité

Pour garantir une application réaliste et adaptée aux enjeux de chacun, la directive NIS2 distingue deux catégories d’organisations régulées, reprises par l’ANSSI dans le cadre de la transposition française : les entités essentielles (EE) et les entités importantes (EI).

Cette distinction repose principalement sur trois critères : le secteur d’activité, le degré de criticité, ainsi que la taille et le chiffre d’affaires de l’organisation.

Dans le cas général :

• les entités essentielles regroupent les organisations les plus critiques. Il s’agit notamment de structures appartenant à des secteurs hautement critiques et dépassant certains seuils (environ 250 salariés ou 50 M€ de chiffre d’affaires),
• les entités importantes concernent des organisations de secteurs critiques, souvent de taille intermédiaire, dépassant généralement 50 salariés ou 10 M€ de chiffre d’affaires.

Cette catégorisation permet d’appliquer des exigences proportionnées : les obligations existent pour les deux types d’entités, mais leur niveau de contrôle, de supervision et de sanctions peut varier.

Des exceptions existent pour certaines catégories spécifiques (administrations publiques, fournisseurs de services numériques critiques, prestataires de confiance, opérateurs de communications électroniques), et des précisions continuent d’être apportées au fil de la transposition nationale.

À retenir : même si vous n’êtes pas classé « entité essentielle », être identifié comme entité importante implique déjà des obligations concrètes en matière de gouvernance, de gestion des risques et de traitement des incidents.

Ce que NIS2 change concrètement pour votre organisation

NIS2 ne se limite pas à des mesures techniques. Elle impose une approche globale et proportionnée de la cybersécurité. Les organisations concernées doivent démontrer qu’elles maîtrisent leurs risques numériques et qu’elles sont capables de réagir efficacement en cas d’incident.

Concrètement, cela se traduit par :

• la mise en place de mesures techniques et organisationnelles adaptées (gestion des accès, sauvegardes, continuité d’activité),
• une gouvernance claire de la cybersécurité, avec une implication de la direction,
• des capacités de détection, de gestion et de notification des incidents,
• et une attention particulière portée à la sécurité des prestataires et partenaires.

L’enjeu n’est pas de viser une sécurité parfaite, mais un niveau de maturité cohérent avec vos risques réels et votre rôle dans l’écosystème numérique.

Pourquoi anticiper NIS2 dès maintenant

Même si la transposition nationale évolue encore, attendre serait une erreur stratégique. Anticiper NIS2 permet de réduire l’exposition aux cyberattaques, de renforcer la continuité de vos activités et de gagner en crédibilité auprès de vos clients et partenaires.

Pour les PME et collectivités, NIS2 agit comme un cadre structurant. Elle aide à prioriser les actions de cybersécurité, à clarifier les responsabilités internes et à sortir d’une approche uniquement réactive.

CYBIAH, un accompagnement pragmatique et accessible

CYBIAH accompagne les PME et les collectivités dans une montée en maturité progressive face aux exigences de NIS2. L’approche se veut concrète, pédagogique et adaptée à la réalité des organisations de terrain.

L’accompagnement repose notamment sur :

• la sensibilisation des dirigeant·es, élu·es et équipes opérationnelles,
• l’évaluation de la maturité cybersécurité et l’identification des actifs critiques,
• la structuration de la gouvernance et des priorités de sécurité,
• la définition d’une trajectoire de conformité NIS2 réaliste et proportionnée.

CYBIAH ne se substitue pas à un audit réglementaire, mais permet de poser des bases solides, compréhensibles et actionnables, pour aborder NIS2 avec méthode et sérénité.

NIS2 : une contrainte… ou un levier de résilience

Plutôt qu’une obligation subie, NIS2 peut devenir un véritable levier de transformation. Elle incite les organisations à mieux connaître leurs risques, à renforcer leur résilience et à instaurer une culture de cybersécurité durable.

Avec CYBIAH, les exigences réglementaires se traduisent en actions concrètes, adaptées à votre taille et à vos enjeux. Une première étape essentielle pour sécuriser votre organisation et s’inscrire durablement dans un écosystème numérique de confiance.

Passer à l’action avec CYBIAH

Vous souhaitez vous mettre en conformité avec NIS2 ?

CYBIAH vous accompagne dans votre montée en maturité cybersécurité grâce à un dispositif financé par l’Union européenne et la Région Île-de-France, pensé pour les PME et collectivités.

👉 Contactez-nous et devenez bénéficiaire CYBIAH

En savoir plus :

• Consulter le dossier législatif contenant le projet de loi sur le site Légifrance : Projet de Loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (PRMD2412608L)
• Afficher la directive dans son intégralité
• Lire la plaquette de l’ANSSI
• Accéder au simulateur MonEspaceNIS2 pour voir si votre entité entre dans le périmètre d’application de la directive NIS2