Parler à un expert
Directive (UE) 2022/2555 · Loi Résilience août 2026 · Contrôles ANSSI 2027

NIS 2 expliqué simplement

La nouvelle réglementation européenne qui renforce la cybersécurité de 15 000 entreprises françaises — qui est concerné, quelles obligations, quelles sanctions, sources officielles à l'appui.

Vérifier mon régime applicableCalculer mon amende potentielle
Sommaire de la page
01Comment on en est arrivé là02C'est quoi NIS 2 ?03Suis-je concerné ?04Tableau 5 réglementations05Simulateur d'amende065 étapes obligatoires07Ressources officielles
Calendrier réglementaire

Comment on en est arrivé

De la publication de NIS 2 (décembre 2022) au démarrage des contrôles ANSSI (2027) : 5 années pour transformer le cadre cyber européen.

Décembre 2022

Publication de NIS 2

La directive (UE) 2022/2555 est publiée au Journal officiel de l'Union européenne. NIS 2 élargit massivement le périmètre par rapport à NIS 1 : 18 secteurs essentiels et importants, environ 15 000 entreprises concernées en France (×30 vs NIS 1).

17 octobre 2024

Date butoir de transposition

Date limite pour la transposition de NIS 2 dans le droit national. La France n'a pas respecté ce délai — la Commission européenne a engagé une procédure d'infraction en novembre 2024.

Août 2026

Loi Résilience en vigueur

Entrée en vigueur effective de la Loi Résilience, qui transpose NIS 2 en droit français. Toutes les entités essentielles et importantes sont soumises aux obligations : analyse des risques, formation dirigeants, notification incidents sous 24h.

2027

Démarrage des contrôles ANSSI

L'ANSSI commence ses contrôles sur les Entités Essentielles et Importantes. Sanctions financières (jusqu'à 10 M€ ou 2 % du CA mondial) et personnelles (responsabilité civile et pénale des dirigeants) deviennent applicables.

Sources : EUR-Lex (Directive UE 2022/2555) · ANSSI / cyber.gouv.fr

Définitions

C'est quoi NIS 2 ?

Une directive européenne qui impose un socle commun de cybersécurité aux acteurs critiques de l'UE.

Objectif

Protéger les infrastructures critiques européennes contre les cyberattaques. Harmoniser les exigences cyber entre les 27 États membres.

Application en France

Transposition via la Loi Résilience en vigueur août 2026. L'ANSSI est l'autorité compétente. Les contrôles démarrent en 2027.

Amendes financières

Jusqu'à 10 M€ ou 2% du CA mondial (le plus élevé des deux) pour les Entités Essentielles. 7 M€ ou 1,4% pour les Entités Importantes.

Article 34 directive (UE) 2022/2555

Responsabilité personnelle dirigeants

Les dirigeants peuvent être tenus civilement et pénalement responsables. Possibilité d'interdiction temporaire d'exercer les fonctions de direction.

Article 20 directive (UE) 2022/2555

Notification incidents 24h

Alerte précoce sous 24h, notification complète sous 72h, rapport final sous 1 mois. Toute attaque significative doit être déclarée à l'ANSSI.

Article 23 directive (UE) 2022/2555

Article 21 §2

Les 10 mesures de sécurité à mettre en place

Socle technique imposé par la directive (UE) 2022/2555 à toute Entité Essentielle ou Importante.

  1. Politiques d'analyse des risques cyber
  2. Gestion des incidents (détection, réponse, retour d'expérience)
  3. Continuité d'activité et reprise après sinistre
  4. Sécurité de la chaîne d'approvisionnement
  5. Sécurité dans l'acquisition, le développement et la maintenance
  6. Politiques d'évaluation de l'efficacité des mesures
  7. Pratiques de cyber-hygiène et formations
  8. Cryptographie et chiffrement
  9. Sécurité des ressources humaines et contrôle d'accès
  10. Authentification multi-facteurs et communications sécurisées

Source : Article 21 §2 directive (UE) 2022/2555

Comprendre NIS 2 en vidéo

Suis-je concerné par NIS 2 ?

Vous êtes concerné si votre entreprise répond à 2 critères cumulatifs définis par l'Article 2 de la directive.

1

Taille de l'entreprise

≥ 50 salariés OU > 10 M€ de chiffre d'affaires

2

Secteur d'activité

Vous opérez dans l'un des 18 secteurs critiques ou essentiels

Les 18 secteurs concernés

Entités Essentielles (Annexe I) — sanctions jusqu'à 10 M€ ou 2 % du CA mondial
Entités Importantes (Annexe II) — sanctions jusqu'à 7 M€ ou 1,4 % du CA mondial

Énergie

électricité, gaz, pétrole, hydrogène

Transports

ferroviaire, aérien, maritime, routier

Banque

établissements de crédit

Marchés financiers

plateformes de négociation, contreparties centrales

Santé

hôpitaux, laboratoires, pharmacies

Eau potable

distribution, eaux usées

Infra numériques

DNS, TLD, cloud, data centers

Espace

opérateurs de services spatiaux

Administrations

État, régions, départements

Services postaux

courriers, livraison

Gestion des déchets

collecte, traitement

Industrie

chimie, pharmacie, agroalimentaire, équipements

Services numériques

réseaux sociaux, moteurs de recherche, marketplaces

Recherche

organismes de recherche

Alimentation

production, transformation, distribution

Bon à savoir : même hors seuils, vous pouvez être concerné indirectement via la chaîne d'approvisionnement de vos clients EE/EI (Article 21 §3).

Checker des régimes applicables

Quels textes réglementaires s'appliquent à vous ?

NIS 2 ne couvre pas tout le monde. Selon votre activité, vous pouvez aussi être soumis à DORA (secteur financier), au CRA (produits numériques), ou à un régime allégé via votre chaîne d'approvisionnement.

1Êtes-vous une entité financière supervisée par l'ACPR ou l'AMF ?

Banque, assurance, OPC, gestion d'actifs, prestataire de services de paiement, fintech sous agrément.

2Fabriquez, importez ou distribuez-vous des produits avec composants numériques ?

Objets connectés (IoT), logiciels embarqués, produits avec API/connectivité réseau.

3Effectif de votre entreprise

4Chiffre d'affaires annuel

5Secteur d'activité principal

Simulateur Article 34

Quelle amende NIS 2 votre entreprise risque-t-elle ?

Calcul officiel selon l'Article 34 de la directive (UE) 2022/2555. Le montant retenu est le plus élevé entre le plafond fixe et le pourcentage du CA mondial annuel.

Saisissez votre CA consolidé monde de l'exercice précédent.

Type d'entité au regard de NIS 2
Comparatif réglementaire

5 réglementations cyber UE à connaître en 2026

NIS 2 ne se lit jamais seul. Selon votre activité, plusieurs textes peuvent s'appliquer en parallèle ou en exclusif.

TexteChamp d'applicationCiblesAutoritéSanctions maxEntrée en vigueur
NIS 2Directive (UE) 2022/2555
Cybersécurité des entités essentielles et importantes18 secteurs (énergie, santé, transports, banque, eau, infra. numériques, industrie…)ANSSI (France)Jusqu'à 10 M€ ou 2% du CA mondial (EE) / 7 M€ ou 1,4% (EI)Août 2026 (France)
Source →
DORARèglement (UE) 2022/2554
Résilience opérationnelle numérique du secteur financierBanques, assurances, OPC, prestataires de services de paiement, fintechsACPR / AMFSanctions ACPR/AMF (proportionnées aux manquements)Janvier 2025
Source →
RGPDRèglement (UE) 2016/679
Protection des données personnellesToutes les entités traitant des données personnelles de résidents UECNIL (France)Jusqu'à 20 M€ ou 4% du CA mondialMai 2018
Source →
CRACyber Resilience Act (UE) 2024/2847
Cybersécurité des produits avec composants numériques (security-by-design)Fabricants, importateurs et distributeurs de produits IoT et logicielsAutorités nationales de surveillance du marchéJusqu'à 15 M€ ou 2,5% du CA mondialDécembre 2027 (échéance pleine)
Source →
AI ActRèglement (UE) 2024/1689
Encadrement des systèmes d'intelligence artificielle (par niveaux de risque)Fournisseurs et déployeurs de systèmes IA en UEAutorités nationales (en France : à désigner)Jusqu'à 35 M€ ou 7% du CA mondial (IA à haut risque)Phasé : 2025-2027
Source →

Pour les entités financières, DORA prime sur NIS 2 (lex specialis). Pour les fabricants de produits IoT, le CRA s'applique en cumul avec NIS 2. Le RGPD reste applicable dès lors que vous traitez des données personnelles, indépendamment des autres régimes.

Plan de conformité

Les 5 étapes obligatoires NIS 2

Articles 20, 21, 23 et 27 de la directive (UE) 2022/2555 — un parcours en 5 étapes pour structurer votre mise en conformité.

1

Gouvernance cyber

Désigner un responsable cybersécurité, mettre en place un comité dédié, formaliser une politique de sécurité.

Article 20 (gouvernance) + Article 21 §2 (politique de sécurité)

2

Enregistrement auprès de l'ANSSI

Pré-enregistrement volontaire ouvert dès aujourd'hui sur MonEspaceNIS2. Devient obligatoire dès l'entrée en vigueur de la Loi Résilience.

Article 27 (transmission d'informations à l'ANSSI)

3

Analyse des risques cyber

Identifier vos actifs critiques, évaluer les menaces, mesurer l'impact, classifier les risques selon une méthodologie reconnue (EBIOS RM, ISO 27005).

Article 21 §1 et §2(a)

4

Mesures techniques et organisationnelles

Implémenter les 10 mesures de l'Article 21 : sécurité accès, cryptographie, sauvegardes, plan de continuité, gestion fournisseurs, divulgation vulnérabilités, etc.

Article 21 §2 (10 mesures détaillées)

5

Formation des dirigeants & équipes

Formation obligatoire du dirigeant (preuves d'engagement). Sensibilisation régulière des collaborateurs aux bonnes pratiques cyber. Responsabilité personnelle en cas de manquement.

Article 20 §2 (formation des organes de direction)

Bon à savoir : jusqu'à 70% d'aides de l'État (Bpifrance, ANSSI) pour financer votre mise en conformité.

Calculer mes aides

Ressources officielles

Pour aller plus loin dans votre compréhension de NIS 2, des sources juridiques et institutionnelles à jour.

📋

Directive NIS 2 — texte officiel

Directive (UE) 2022/2555 complète en français, accès EUR-Lex

eur-lex.europa.eu
🔒

cyber.gouv.fr (ANSSI)

Réglementation NIS 2, ReCyF et guides pratiques

cyber.gouv.fr
🏛️

MonEspaceNIS2

Plateforme officielle de pré-enregistrement des entités

monespacenis2.cyber.gouv.fr
⚖️

Loi Résilience (transposition FR)

Projet de loi de transposition NIS 2 en droit français

assemblee-nationale.fr

Prêt à passer à l'action ?

Vous comprenez NIS 2. Maintenant, structurez votre conformité avec un diagnostic en 30 minutes.

Démarrer mon diagnostic — 490€Échanger avec un expert