La directive NIS2 a été transposée en droit français par ordonnance n°2024-821 du 8 août 2024, complétée par des décrets d'application. La mise en œuvre effective est progressive, mais les organisations dans le scope ont des obligations dès maintenant — en particulier les entités dites "essentielles".
Qui est concerné ?
NIS2 introduit deux catégories d'entités :
- Entités essentielles (EE) — Secteurs critiques : énergie, transport, banque, infrastructure financière, santé, eau, infrastructure numérique, administration publique, espace. Taille : plus de 250 salariés ou CA supérieur à 50M€.
- Entités importantes (EI) — Secteurs importants : services postaux, gestion des déchets, chimie, alimentation, industrie, services numériques, recherche. Taille : plus de 50 salariés ou CA supérieur à 10M€.
Les PME sous ces seuils sont en principe exclues — sauf si elles sont fournisseurs critiques d'une entité essentielle (TPRM), ou si l'ANSSI les désigne explicitement.
Le calendrier réel en France
8 août 2024 — Publication de l'ordonnance de transposition. Les obligations légales existent formellement.
T4 2024 - T1 2025 — Publication des décrets d'application précisant les secteurs, seuils et modalités d'enregistrement auprès de l'ANSSI.
2025 — L'ANSSI ouvre son portail d'enregistrement. Les entités dans le scope doivent s'identifier. Pas de délai figé publié à ce jour, mais l'ANSSI encourage les enregistrements proactifs.
2026-2027 — Premières décisions de contrôle attendues pour les entités essentielles. Les entités importantes auront des délais légèrement plus longs.
Les obligations concrètes
Mesures de gestion des risques
NIS2 impose une approche fondée sur les risques, pas une liste de contrôles à cocher. Concrètement : politique de sécurité documentée, gestion des risques formalisée, mesures de continuité d'activité, sécurité de la chaîne d'approvisionnement.
Notification des incidents
C'est l'obligation la plus contraignante sur le plan opérationnel :
- 24 heures après la détection d'un incident significatif : notification initiale à l'ANSSI
- 72 heures : rapport intermédiaire avec évaluation préliminaire
- 1 mois : rapport final complet
Un "incident significatif" est défini comme un incident ayant causé ou pouvant causer une perturbation opérationnelle grave ou des pertes financières importantes.
Responsabilité des dirigeants
NIS2 introduit explicitement la responsabilité personnelle des dirigeants. Les organes de direction doivent approuver les mesures de cybersécurité, suivre les formations et peuvent être tenus personnellement responsables en cas de manquement grave.
Les sanctions
Les sanctions sont différenciées par catégorie :
- Entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial total
- Entités importantes : jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial
L'ANSSI dispose également de pouvoirs de contrôle (audits, inspections) et peut imposer des mesures correctives provisoires avant toute sanction financière.
Ce que les organisations doivent faire maintenant
Si vous êtes dans le scope NIS2 : commencez par l'enregistrement auprès de l'ANSSI dès que le portail est accessible. Ensuite, prioritairement : formaliser votre politique de gestion des risques, établir votre procédure de notification d'incidents (elle doit être opérationnelle avant d'en avoir besoin), et évaluer votre chaîne d'approvisionnement.
Si vous n'êtes pas dans le scope direct mais fournisseur d'une entité essentielle : attendez-vous à recevoir des questionnaires de sécurité de vos clients et préparez-vous à démontrer un niveau de maturité minimum.
Presidio intègre les obligations NIS2 nativement — procédures de notification, registre des risques, audit trail, tableau de bord COMEX. Découvrir Presidio.