FAQ NIS2.Toutes les réponses.

24 questions fréquentes sur la directive NIS2, son périmètre, ses sanctions et sa transposition française.

NIS2 (directive UE 2022/2555) est la révision majeure de la directive NIS de 2016, applicable depuis le 17 octobre 2024. Elle élargit le champ à 18 secteurs critiques et impose des obligations renforcées de cybersécurité aux entités essentielles et importantes.
Oui si vous avez ≥50 salariés ET (CA ≥10 M€ OU bilan ≥10 M€) ET activez dans l’un des 18 secteurs des annexes I et II. Faites le diagnostic 3 min pour le savoir avec certitude.
Les entités essentielles (annexe I + grandes entreprises) subissent une supervision proactive ANSSI, des audits, et des sanctions jusqu’à 10 M€ ou 2% CA mondial. Les importantes (annexe II ou taille moyenne en annexe I) sont supervisées a posteriori, sanctions max 7 M€ ou 1.4% CA. Détail complet.
Pour une entité essentielle : jusqu’à 10 M€ ou 2% du CA mondial annuel (le plus élevé des deux). Pour une importante : 7 M€ ou 1.4% CA. S’y ajoutent les sanctions pénales individuelles pour le dirigeant en cas de manquement répété.
L’article 21 définit 7 piliers : (a) politiques cyber, (b) gestion incidents, (c) continuité d’activité, (d) sécurité chaîne d’approvisionnement, (e) acquisition/développement sécurisé, (f) auditabilité et tests, (g) cryptographie et MFA, formation et hygiène cyber.
3 étapes : alerte initiale à l’ANSSI sous 24h, notification complète sous 72h, rapport final sous 1 mois. La notification se fait via le portail MonCyberASSU.gouv.fr (ou son successeur).
Oui par cascade contractuelle : si vous êtes essentielle, vous devez exiger de vos prestataires un niveau de sécurité équivalent (clauses cyber, audits, droit d’inspection). Article 21.2(d) impose la sécurité chaîne d’approvisionnement.
La loi de transposition est en discussion au Parlement (2026). Le décret d’application est attendu courant 2026. En attendant, les obligations s’appliquent déjà via la directive elle-même, et l’ANSSI a publié des guides préparatoires.
Pour une ETI 250-1000 salariés, compter 80-200 k€/an de TCO mise en conformité (outils + audit + RSSI). Détail par taille.
Retour en haut