🏢 Entreprise & conformité

Directive NIS2 : votre entreprise est-elle concernée ? Le guide simple

La directive européenne NIS2 impose des obligations de cybersécurité à des milliers d'entreprises françaises, dont beaucoup l'ignorent encore. Critères, obligations et premières étapes, sans jargon.

Publié le 24 juin 2026 · 3 min de lecture

La directive européenne NIS2 (Network and Information Security 2) élargit massivement les obligations de cybersécurité en Europe. Là où la première version NIS ne visait que quelques centaines d'opérateurs critiques en France, NIS2 concerne désormais des milliers d'entités, y compris des PME - et beaucoup ne le savent pas encore.

Suis-je concerné ? Les deux critères

Votre entreprise entre dans le périmètre NIS2 si elle cumule, en simplifiant :

  1. Un secteur visé - 18 secteurs sont listés, parmi lesquels : énergie, transports, santé, eau, infrastructures numériques, services informatiques (infogérance, MSP), espace, services postaux, gestion des déchets, agroalimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules...), fournisseurs numériques, recherche.
  2. Une taille suffisante - en règle générale à partir de 50 salariés ou 10 M€ de chiffre d'affaires annuel. Certaines entités critiques sont concernées quelle que soit leur taille.

La directive distingue les entités essentielles (EE) et les entités importantes (EI) : les obligations de fond sont proches, mais les contrôles et sanctions diffèrent.

À noter : même hors périmètre, vous pouvez être rattrapé par ricochet - les entités régulées doivent sécuriser leur chaîne d'approvisionnement, donc exiger des garanties de leurs prestataires et fournisseurs. NIS2 devient un critère de sélection commerciale.

Quelles obligations concrètes ?

Parmi les mesures exigées, quatre familles reviennent systématiquement :

  • Gouvernance : la direction est directement responsable de la gestion des risques cyber - et doit elle-même être formée.
  • Gestion des risques : analyse de risques, politiques de sécurité, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement.
  • Notification des incidents : alerte précoce à l'ANSSI sous 24 h après détection d'un incident important, rapport détaillé sous 72 h.
  • Sensibilisation : formation à la cyberhygiène pour la direction et les salariés. C'est une obligation explicite du texte, pas une bonne pratique facultative.

Les sanctions prévues peuvent atteindre 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

Par où commencer ? 4 étapes réalistes

  1. Qualifiez votre situation - secteur + effectif + CA : êtes-vous EE, EI ou hors périmètre ? Le site de l'ANSSI (monespacenis2.cyber.gouv.fr) propose un test en ligne.
  2. Faites l'état des lieux - MFA, sauvegardes, mises à jour, gestion des accès : les fondamentaux d'abord.
  3. Lancez la sensibilisation - c'est l'obligation la plus rapide à mettre en œuvre et celle qui réduit le plus le risque réel : la grande majorité des incidents commence par une erreur humaine, un clic sur un phishing en tête.
  4. Documentez tout - en cas de contrôle, ce qui n'est pas tracé n'existe pas. Taux de formation, campagnes de test, politiques : gardez des preuves.

Comment Cyvio Business vous aide

Cyvio Business couvre précisément le volet « facteur humain » de NIS2 : parcours de sensibilisation cyber et RGPD suivis par collaborateur, simulations de phishing pour mesurer le risque réel, attestations auditables et rapports de conformité exportables pour vos contrôles. Le tout hébergé en France, avec un ingénieur cybersécurité en exercice comme interlocuteur direct.

L'équipe Cyvio

Articles rédigés par le fondateur de Cyvio, ingénieur cybersécurité en exercice. Chaque conseil vient du terrain : les attaques décrites ici sont celles que nous voyons réellement circuler.

Sauriez-vous repérer une arnaque ?

Testez-vous en 1 minute sur 5 vrais exemples de SMS et d'emails - gratuit, sans compte.

🎣 Faire le test anti-phishing

À lire aussi