Par Joseph David Atias, avocat au Barreau de Paris · LinkedIn · Mai 2026
La directive NIS2 (Network and Information Security 2) marque une rupture dans l’encadrement européen de la cybersécurité. Périmètre élargi à plus de 100 000 entreprises européennes contre 10 000 avec NIS1, sanctions multipliées par dix, responsabilité personnelle des dirigeants, exigences techniques renforcées : la mise en conformité ne peut plus être traitée comme un sujet technique secondaire. Pour les directions juridiques, RSSI et dirigeants, l’enjeu n’est plus de savoir si la NIS2 mise en conformité s’applique mais comment construire une feuille de route opérationnelle réaliste. Cet article détaille les premières actions concrètes de la NIS2 mise en conformité, le périmètre exact d’application et les sanctions encourues.
SOMMAIRE
- Pourquoi NIS2 change la donne en 2026
- Êtes-vous concerné ? Le test en 3 critères
- Les 5 premières actions à mettre en place
- Tableau de synthèse : obligations, délais, sanctions
- Les pièges à éviter dans le déploiement
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi NIS2 change la donne en 2026
La directive (UE) 2022/2555 du 14 décembre 2022, dite NIS2, remplace et étend considérablement la directive NIS1 de 2016. Cette refonte intervient dans un contexte d’explosion des cyberattaques contre les entreprises européennes et de fragmentation des transpositions nationales de NIS1. La NIS2 mise en conformité ambitionne d’harmoniser le niveau de cybersécurité minimum sur l’ensemble du marché intérieur — avec des moyens contraignants à la hauteur des enjeux.
1.1 Un périmètre élargi à plus de 100 000 entreprises
NIS1 visait environ 10 000 entreprises en Europe. NIS2 en concerne plus de 100 000 — soit un facteur dix. Cet élargissement résulte à la fois de l’ajout de nouveaux secteurs (services postaux, gestion des déchets, denrées alimentaires, fabrication chimique, espace, administration publique) et de l’abaissement des seuils d’application. La quasi-totalité des moyennes et grandes entreprises de secteurs structurants relève désormais du dispositif.
1.2 La transposition française tardive mais effective
La transposition française devait intervenir avant le 17 octobre 2024. Elle a finalement été adoptée par la loi du 30 avril 2025, qui transpose conjointement les directives NIS2, REC (résilience des entités critiques) et le règlement DORA pour le secteur financier. Les décrets d’application sont parus progressivement en 2025-2026, précisant les modalités opérationnelles. L’ANSSI est désignée comme autorité nationale compétente, avec un pouvoir de contrôle et de sanction renforcé.
1.3 La responsabilisation directe des dirigeants
L’une des transformations majeures imposées par la NIS2 mise en conformité est la responsabilisation personnelle des organes de direction. L’article 20 du règlement impose aux dirigeants d’approuver les mesures de cybersécurité, de superviser leur mise en œuvre et de suivre une formation spécifique. Cette responsabilité personnelle peut être engagée en cas de manquement, jusqu’à des sanctions individuelles. Cette dimension transforme radicalement le statut juridique de la cybersécurité dans l’entreprise.
2. Êtes-vous concerné ? Le test en 3 critères
Avant toute action de NIS2 mise en conformité, il est indispensable de qualifier précisément la situation de l’entreprise. Trois critères cumulatifs déterminent l’application du dispositif et le statut d’entité essentielle (EE) ou d’entité importante (EI).
2.1 Le critère sectoriel
Le premier critère est sectoriel. La directive distingue les secteurs hautement critiques (annexe I) et les autres secteurs critiques (annexe II). Sont concernés notamment : l’énergie, les transports, les banques et infrastructures financières, la santé, l’eau potable et les eaux usées, les infrastructures numériques (cloud, DNS, points d’échange Internet), la gestion des services TIC, l’administration publique, l’espace, mais aussi les services postaux, la gestion des déchets, la fabrication et distribution de produits chimiques, les denrées alimentaires, et la fabrication de dispositifs médicaux, d’équipements électroniques, de machines et de véhicules.
2.2 Le critère de taille
Le second critère porte sur la taille de l’entreprise. NIS2 vise par principe les moyennes et grandes entreprises au sens de la recommandation européenne 2003/361/CE : moyenne entreprise (50 salariés et plus, ou chiffre d’affaires annuel supérieur à 10 millions d’euros et total de bilan supérieur à 10 millions d’euros) et grande entreprise (250 salariés et plus, ou chiffre d’affaires supérieur à 50 millions d’euros et total de bilan supérieur à 43 millions d’euros). Certaines entités sont toutefois concernées indépendamment de leur taille (administrations publiques, opérateurs critiques).
2.3 Entité essentielle ou entité importante
Le troisième niveau de qualification distingue entité essentielle (EE) et entité importante (EI). Les EE relèvent des secteurs hautement critiques (annexe I) et atteignent le seuil de grande entreprise, ou sont qualifiées EE par décision nationale. Les EI relèvent soit des secteurs hautement critiques avec un seuil moyenne entreprise, soit des autres secteurs critiques (annexe II) en franchissant le seuil moyenne ou grande entreprise. Cette qualification détermine le niveau d’obligations applicables et le plafond des sanctions encourues.
3. Les 5 premières actions à mettre en place
Une fois la qualification réalisée, cinq actions prioritaires doivent être engagées immédiatement. Cette feuille de route initiale conditionne la suite du programme de NIS2 mise en conformité et permet de démontrer la diligence de l’entreprise en cas de contrôle précoce de l’ANSSI.
3.1 Réaliser un audit de maturité cyber
La première action est de réaliser un audit de maturité cyber confronté aux exigences de l’article 21 de NIS2. Cet audit cartographie l’existant (politiques, procédures, outils techniques, gouvernance, compétences) et identifie les écarts avec les obligations applicables. Il produit une feuille de route hiérarchisée par niveau de risque et d’urgence. Sans cet audit initial, toute action ultérieure repose sur une vision incomplète des enjeux réels.
3.2 Désigner les responsabilités au plus haut niveau
L’article 20 de NIS2 impose l’implication de l’organe de direction. Concrètement, le conseil d’administration ou la direction générale doit formellement approuver la politique cybersécurité, désigner un responsable cybersécurité (RSSI interne ou externalisé), et organiser sa propre formation continue. Cette gouvernance documentée est la première preuve de diligence en cas de contrôle ultérieur. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
3.3 Mettre en œuvre les mesures de l’article 21
L’article 21 de NIS2 énumère dix catégories de mesures techniques et organisationnelles obligatoires : politique d’analyse de risque et de sécurité, gestion des incidents, continuité d’activité et gestion des sauvegardes, sécurité de la chaîne d’approvisionnement, sécurité de l’acquisition et du développement, politiques d’évaluation de l’efficacité des mesures, pratiques d’hygiène cyber et formation, politiques de cryptographie, sécurité des ressources humaines et contrôle d’accès, utilisation de l’authentification multifacteur et de la communication sécurisée. Chaque mesure doit être documentée et auditable.
3.4 Préparer le dispositif de notification d’incidents
NIS2 impose un régime strict de notification des incidents significatifs à l’ANSSI : alerte précoce dans les 24 heures suivant la détection, notification détaillée dans les 72 heures, rapport final dans le mois. Préparer ce dispositif suppose plusieurs prérequis opérationnels : procédure interne de qualification des incidents, processus de remontée d’information, modèle de notification, désignation des personnes habilitées à signaler, articulation avec la notification RGPD si applicable. Sans préparation préalable, le respect de ces délais courts devient pratiquement impossible.
3.5 S’enregistrer auprès de l’ANSSI
Les entités concernées par NIS2 doivent s’enregistrer auprès de l’ANSSI dans les délais fixés par les décrets d’application. Cet enregistrement comporte des informations précises sur l’entité, ses activités, son périmètre géographique, ses points de contact. L’omission de cet enregistrement constitue un manquement formel pouvant faire l’objet d’une sanction administrative. C’est l’une des premières actions à conduire dès la qualification confirmée — sans attendre la finalisation des autres mesures techniques.
4. Tableau de synthèse : obligations, délais, sanctions
Le tableau ci-dessous récapitule les principales obligations de la NIS2 mise en conformité, leurs délais opérationnels et les sanctions maximales encourues selon le statut d’entité.
| Obligation | Délai | Sanction EE | Sanction EI |
|---|---|---|---|
| Enregistrement ANSSI | Immédiat | 10 M€ ou 2 % CA | 7 M€ ou 1,4 % CA |
| Mesures article 21 | Continu | 10 M€ ou 2 % CA | 7 M€ ou 1,4 % CA |
| Alerte précoce | 24 heures | 10 M€ ou 2 % CA | 7 M€ ou 1,4 % CA |
| Notification détaillée | 72 heures | 10 M€ ou 2 % CA | 7 M€ ou 1,4 % CA |
| Rapport final | 1 mois | 10 M€ ou 2 % CA | 7 M€ ou 1,4 % CA |
| Approbation dirigeants | Continu | Responsabilité personnelle | Responsabilité personnelle |
| Formation des dirigeants | Régulière | Sanctions complémentaires | Sanctions complémentaires |
| Sécurité chaîne d’appro | Continu | 10 M€ ou 2 % CA | 7 M€ ou 1,4 % CA |
5. Les pièges à éviter dans le déploiement
Plusieurs erreurs courantes peuvent compromettre une démarche de NIS2 mise en conformité pourtant engagée avec sérieux. Les anticiper évite de devoir reprendre le programme à zéro après les premiers contrôles.
5.1 Sous-estimer la responsabilité personnelle des dirigeants
L’erreur la plus fréquente consiste à traiter NIS2 comme un sujet exclusivement technique délégué au RSSI ou à la DSI. Cette approche est juridiquement insuffisante : l’article 20 impose une implication formelle et documentée de l’organe de direction. Sans approbation explicite des politiques, sans procès-verbal d’examen périodique, sans formation traçable, la responsabilité personnelle des dirigeants peut être directement mise en cause. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
5.2 Négliger la sécurité de la chaîne d’approvisionnement
La sécurité de la chaîne d’approvisionnement (supply chain security) est l’une des dix mesures de l’article 21. Beaucoup d’entreprises se concentrent sur leur propre périmètre interne et négligent l’évaluation cyber de leurs fournisseurs critiques. Or les attaques par compromission d’un fournisseur représentent désormais une part majoritaire des incidents significatifs. Concrètement, NIS2 impose d’auditer la maturité cyber de ses fournisseurs critiques et d’intégrer des clauses cybersécurité dans les contrats fournisseurs.
5.3 Confondre conformité documentaire et sécurité réelle
Le piège classique consiste à produire un volume considérable de documents (politiques, procédures, registres) sans renforcer la sécurité opérationnelle. Cette conformité de façade est doublement risquée : elle expose à un incident grave par insuffisance technique réelle, et elle est rapidement détectée par l’ANSSI lors d’un contrôle (qui interroge la mise en œuvre effective et pas seulement l’existence de documents). Une démarche solide articule documentation juridique et investissements techniques mesurables.
6. Pourquoi faire appel à Atias Avocats
Conduire un programme de NIS2 mise en conformité exige une combinaison de compétences juridiques et opérationnelles : maîtrise fine du règlement européen et de sa transposition française, connaissance des standards techniques (ISO 27001, NIST, ANSSI), capacité à articuler la gouvernance avec les obligations RGPD préexistantes, expertise contractuelle pour la chaîne d’approvisionnement. Cette pluridisciplinarité est la valeur ajoutée d’un cabinet spécialisé en droit du numérique.
Atias Avocats accompagne entreprises, startups et grands comptes dans leur trajectoire NIS2 : qualification juridique de l’entité (EE / EI / hors périmètre), audit de maturité cyber juridico-technique, élaboration de la feuille de route, rédaction des politiques et procédures, accompagnement de la gouvernance dirigeants, mise à niveau des contrats fournisseurs sur le volet cyber, accompagnement en cas d’incident significatif et de notification ANSSI.
Conclusion
La directive NIS2 transforme la cybersécurité en obligation juridique structurante pour plus de 100 000 entreprises européennes. Les premières actions de mise en conformité — audit de maturité, désignation des responsabilités, déploiement des mesures de l’article 21, préparation du dispositif de notification, enregistrement ANSSI — doivent être engagées sans délai. La fenêtre de tolérance des autorités de contrôle se réduit, et les premières sanctions sont désormais prononcées.
Au-delà du risque juridique, la NIS2 mise en conformité constitue une opportunité stratégique. La cybersécurité bien construite renforce la confiance des clients et partenaires, sécurise les opérations critiques, et différencie l’entreprise lors des appels d’offres B2B. L’investissement requis — significatif mais maîtrisable — s’amortit largement sur trois à cinq ans, à la fois par les sanctions évitées et par les bénéfices commerciaux générés. Le moment d’agir est précisément maintenant, avant que le contrôle ANSSI ne précède l’initiative.
FAQ — Questions fréquentes
Mon entreprise est-elle concernée par NIS2 ?
Une entreprise est concernée par NIS2 si elle remplit deux critères cumulatifs : exercer une activité dans l’un des secteurs listés à l’annexe I (secteurs hautement critiques) ou à l’annexe II (autres secteurs critiques) de la directive, et atteindre le seuil de moyenne entreprise (50 salariés et plus, ou chiffre d’affaires annuel supérieur à 10 millions d’euros). Certaines entités sont automatiquement concernées indépendamment de leur taille (administrations publiques, infrastructures numériques critiques). Une cartographie rigoureuse de l’activité est indispensable pour qualifier précisément la situation.
Quelles sont les sanctions encourues en cas de non-conformité NIS2 ?
Les sanctions NIS2 sont substantielles et différenciées selon le statut. Pour les entités essentielles, elles peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel — le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial. À ces sanctions administratives s’ajoute la responsabilité personnelle des dirigeants, qui peut être mise en cause directement par les autorités de contrôle en cas de manquement caractérisé.
Quel est le calendrier de mise en conformité NIS2 en France ?
La directive NIS2 (Règlement UE 2022/2555) devait être transposée par les États membres au plus tard le 17 octobre 2024. La France a transposé tardivement par la loi du 30 avril 2025. Les décrets d’application précisent progressivement les obligations détaillées et les sanctions applicables. Pour les entreprises concernées, la mise en conformité doit être engagée immédiatement : les premières inspections de l’ANSSI ont commencé en 2026 et les sanctions sont désormais applicables.
Faut-il désigner un RSSI dédié pour la conformité NIS2 ?
NIS2 n’impose pas formellement la désignation d’un RSSI, contrairement au RGPD qui impose un DPO dans certains cas. Toutefois, les obligations de l’article 21 (mesures techniques et organisationnelles) et la responsabilité personnelle des dirigeants rendent indispensable l’identification claire d’un responsable cybersécurité au sein de l’organisation. Pour les entreprises de taille importante ou les entités essentielles, un RSSI à temps plein est généralement nécessaire. Pour les entreprises plus petites, un RSSI externalisé peut suffire.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, Cybersécurité, NIS2, RGPD, Contrats IT
