Directive NIS2 : qui est concerné et comment se mettre en conformité
La directive NIS2 étend les obligations de cybersécurité à des milliers d'entités. Découvrez si vous êtes concerné et les étapes de mise en conformité.

La directive européenne NIS2 élargit considérablement le champ des obligations de cybersécurité. Là où la directive NIS1 visait quelques centaines d'opérateurs, NIS2 concerne des milliers d'entités « essentielles » et « importantes » réparties dans 18 secteurs d'activité.
Qu'est-ce que la directive NIS2 ?
NIS2 impose aux entités concernées un socle de mesures structurées autour de la gestion du risque :
- Gouvernance du risque — analyse, mesures techniques et organisationnelles proportionnées.
- Sécurisation de la chaîne d'approvisionnement — y compris les fournisseurs et sous-traitants numériques.
- Notification des incidents — alerte initiale sous 24 heures, puis rapports de suivi.
- Responsabilisation des dirigeants — la direction est tenue pour responsable de la conformité.
Le non-respect expose à des sanctions financières significatives et, fait nouveau, à une responsabilité directe de l'encadrement.
Mon entreprise est-elle concernée par NIS2 ?
Sont visées les entités d'une certaine taille opérant dans des secteurs comme l'énergie, la santé, les transports, le numérique, l'eau, les administrations publiques ou l'agroalimentaire. Deux catégories coexistent : les entités « essentielles » (contrôle plus strict) et « importantes ». Si vous opérez dans l'un de ces secteurs au-delà d'un seuil de taille, vous êtes probablement concerné — même si vous ne l'étiez pas sous NIS1.
La sécurisation des données et le choix d'un hébergement maîtrisé — voire d'un cloud souverain — font partie des réponses naturelles à ces exigences, en cohérence avec le RGPD et la qualification SecNumCloud.
Par où commencer sa mise en conformité
La démarche est progressive : commencer par déterminer si l'on est assujetti, puis cartographier son exposition au risque (y compris la chaîne de sous-traitance), combler les écarts techniques et organisationnels, et enfin mettre en place le dispositif de notification d'incident. Là encore, le point de départ est une cartographie honnête de l'existant — ce que la conformité NIS2 partage avec toute démarche de souveraineté.
Faire le diagnostic en 2 minutes — vérifiez si NIS2 vous concerne et vos écarts de conformité. Démarrer le diagnostic
Questions fréquentes
Qu'est-ce que la directive NIS2 ?
Une directive européenne renforçant les obligations de cybersécurité (gestion des risques, notification d'incidents sous 24 h, responsabilité des dirigeants) pour des milliers d'entités dans 18 secteurs.
Mon entreprise est-elle concernée par NIS2 ?
Probablement si vous opérez dans un des secteurs visés au-delà d'un certain seuil de taille — un diagnostic permet de le confirmer.