Entrée en vigueur en France en 2025, la directive NIS 2 étend ses obligations à des milliers de nouvelles entités. Êtes-vous concerné ? Quelles mesures devez-vous prendre — et d’ici quand ?
NIS 2 : de quoi parle-t-on ?
La directive européenne NIS 2 (Network and Information Security) succède à la première directive NIS de 2016. Son objectif : élever significativement le niveau commun de cybersécurité au sein de l’Union européenne, en réponse à la multiplication et à la sophistication des cyberattaques visant les infrastructures critiques.
Là où NIS 1 ne touchait qu’une centaine d’opérateurs de services essentiels en France, NIS 2 étend son périmètre à plusieurs milliers d’entités dans 18 secteurs d’activité. La transposition en droit français — pilotée par l’ANSSI — est en cours depuis 2024 et produit ses effets progressivement en 2025.
Qui est concerné par NIS 2 ?
NIS 2 distingue deux catégories d’entités :
- Les entités essentielles (EE) : secteurs à criticité maximale — énergie, transport, banque, infrastructures financières, santé, eau potable, eaux usées, infrastructure numérique, administration publique et espace. Les seuils d’assujettissement sont généralement fixés à 250 salariés ou 50 M€ de chiffre d’affaires.
- Les entités importantes (EI) : secteurs étendus — services postaux, gestion des déchets, chimie, alimentation, fabrication industrielle, recherche, fournisseurs numériques. Seuils plus bas : à partir de 50 salariés ou 10 M€ de CA.
Important : même si votre entreprise n’atteint pas ces seuils, vous pouvez être soumis à NIS 2 si vous êtes sous-traitant critique d’une entité assujettie. La sécurité de la chaîne d’approvisionnement (supply chain) est au cœur de la directive.
Vous vous demandez si vous êtes concerné ? L’ANSSI met à disposition un questionnaire d’auto-évaluation sur monespaceanssi.ssi.gouv.fr. Il est vivement recommandé de l’effectuer sans attendre.
Les 4 grandes obligations de NIS 2
- Gestion des risques cyber. Les entités doivent adopter des mesures techniques et organisationnelles appropriées pour gérer les risques pesant sur leurs systèmes d’information : analyse de risques, politique de sécurité formalisée, gestion des accès, sécurité physique.
- Sécurité de la chaîne d’approvisionnement. Les organisations doivent évaluer et encadrer le niveau de cybersécurité de leurs fournisseurs et prestataires IT. Choisir des partenaires technologiques conformes devient une obligation légale, pas seulement une bonne pratique.
- Notification des incidents. Tout incident significatif doit être signalé à l’ANSSI dans des délais stricts : alerte précoce sous 24 h, notification sous 72 h, rapport final sous 30 jours. Les critères de significativité sont définis par décret.
- Responsabilité des dirigeants. C’est la nouveauté majeure de NIS 2 : les membres de la direction peuvent être tenus personnellement responsables en cas de non-conformité. Des sanctions pécuniaires sont prévues, atteignant jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles.
Sauvegarde et NIS 2 : le lien direct
Parmi les mesures techniques exigées par NIS 2, la sauvegarde sécurisée des données est explicitement mentionnée comme composante essentielle de la gestion de la continuité d’activité. Les entités doivent être en mesure de restaurer leurs systèmes après un incident dans des délais définis — ce qui implique de disposer de sauvegardes récentes, testées et protégées contre toute altération.
C’est ici qu’une solution comme Oxibox prend tout son sens dans une démarche de conformité NIS 2 : déconnexion automatique des sauvegardes (protection anti-ransomware), chiffrement à la source, hébergement souverain en France (hors Cloud Act), traçabilité complète des opérations de sauvegarde et de restauration.
Calendrier de mise en conformité
La transposition française de NIS 2 est en cours de finalisation, avec une entrée en vigueur progressive. Les entités identifiées seront notifiées par l’ANSSI. Dès lors, elles disposeront d’un délai — probablement de 12 à 18 mois selon les cas — pour se mettre en conformité. N’attendez pas la notification pour agir : les audits et chantiers de sécurité prennent du temps, et les prestataires qualifiés sont en forte demande.
Bonnes pratiques dès maintenant : réalisez un état des lieux de votre posture cyber, formalisez votre politique de sauvegarde, cartographiez vos sous-traitants IT critiques et documentez vos procédures de réponse aux incidents. Ce travail sera utile quelle que soit votre catégorie NIS 2.