En 2026, NIS2 s'impose comme la réglementation cybersécurité la plus structurante pour les entreprises françaises depuis le RGPD. Pourtant, entre le retard de transposition, la publication du référentiel ReCyF par l'ANSSI et la multiplication des obligations techniques, beaucoup de DSI et RSSI peinent encore à avoir une vision claire de ce qui les attend concrètement.
Ce guide a été rédigé pour y remédier. Il couvre l'ensemble du périmètre NIS2 applicable en France en 2026 : qui est concerné, quelles sont les obligations réelles, comment se structurer sans attendre la transposition définitive, et quelles sont les sanctions en cas de non-conformité.
Nous nous concentrons sur les aspects qui concernent directement les équipes IT et cybersécurité des ETI et entreprises des secteurs régulés — industrie, finance, santé, infrastructures critiques. Les dimensions purement juridiques ou de gouvernance sont abordées en contexte, mais c'est la mise en œuvre opérationnelle qui guide la structure de ce guide.
Pour approfondir la composante technique de votre résilience (PRA, backup, RTO/RPO), consultez notre guide complet PCA et PRA 2026.
NIS2, pour Network and Information Security 2, est la directive européenne qui remplace NIS1 (2016) et redéfinit en profondeur les obligations de cybersécurité pour les organisations des secteurs critiques.
Publiée au Journal Officiel de l'UE le 27 décembre 2022, elle devait être transposée dans le droit national de chaque État membre avant le 17 octobre 2024.
En France, cette transposition accuse un retard significatif.
Le projet de loi Résilience qui transpose simultanément NIS2, la directive REC sur les infrastructures critiques et le règlement DORA, a été adopté en première lecture au Sénat en octobre 2024, mais n'a pas encore été promulgué. La date désormais évoquée pour l'examen en hémicycle est juillet 2026.
Ce retard ne signifie pas que vous pouvez attendre.
Le 17 mars 2026, l'ANSSI a publié le ReCyF (Référentiel Cyber France), qui formalise les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2.
Diffusé comme document de travail, il est déjà pleinement opérationnel et s'applique aux futures entités essentielles et importantes. Son directeur général Vincent Strubel est explicite : ne pas attendre la transposition pour agir.
Ce que NIS2 change concrètement par rapport à NIS1
NIS1 ciblait un nombre limité d'opérateurs de services essentiels et de fournisseurs de services numériques. NIS2 élargit drastiquement le périmètre : entre 15 000 et 18 000 entités françaises seront concernées, contre quelques centaines sous NIS1. Mais l'élargissement n'est pas que quantitatif,
c'est la nature des obligations qui change.
Sous NIS1, il suffisait souvent de déclarer des mesures. Sous NIS2, il faut les démontrer.
La conformité devient traçable, justifiable et auditée. C'est un changement de paradigme que beaucoup d'organisations sous-estiment encore.
C'est souvent la première question que se pose un DSI ou RSSI. Être dans le périmètre NIS2 sans le savoir est l'un des risques les plus fréquents en 2026, notamment pour les ETI des secteurs industriels et les sous-traitants de grandes organisations.
NIS2 introduit une double logique de classification : par secteur d'activité d'abord, par taille ensuite.
Les deux critères doivent être réunis pour être concerné, sauf exceptions.
NIS2 distingue deux niveaux d'obligation selon la criticité de l'organisation :
Les entités essentielles (EE) sont les organisations dont la défaillance aurait un impact majeur sur l'économie ou la société.
Elles emploient au moins 250 personnes ou dépassent 50 M€ de chiffre d'affaires et 43 M€ de bilan.
Elles sont soumises aux obligations les plus strictes et font l'objet d'une supervision proactive de l'ANSSI.
Les entités importantes (EI) couvrent un périmètre plus large: entreprises de 50 à 249 salariés ou entre 10 et 50 M€ de chiffre d'affaires,
dans les secteurs concernés. Leurs obligations sont légèrement moins contraignantes mais restent substantielles.
NIS2 couvre 18 secteurs, répartis en deux groupes.
- Les secteurs hautement critiques (groupe 1) incluent : énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace.
- Les secteurs critiques (groupe 2) incluent : services postaux, gestion des déchets, fabrication et distribution de produits chimiques, alimentation, fabrication industrielle (dispositifs médicaux, équipements électroniques, machines, véhicules), fournisseurs numériques, recherche.
Pour les entreprises industrielles françaises, en particulier celles avec des environnements OT ou des chaînes de production continues, l'appartenance au secteur "fabrication industrielle" est un point à vérifier attentivement.
NIS2 introduit une obligation explicite sur la chaîne d'approvisionnement.
Une entité essentielle ou importante est responsable de la sécurité de ses prestataires critiques.
Concrètement : si vous êtes sous-traitant d'une EE ou d'une EI sur des fonctions IT ou cyber sensibles, votre client peut vous imposer
des exigences de conformité NIS2 par voie contractuelle même si vous n'êtes pas vous-même dans le périmètre réglementaire direct.
C'est un vecteur d'expansion du périmètre NIS2 que beaucoup d'ETI n'anticipent pas.
NIS2 structure ses obligations autour de deux piliers : la gestion des risques et la notification des incidents. Le ReCyF de l'ANSSI les traduit en 20 objectifs de sécurité concrets, dont 15 s'appliquent aux entités importantes et les 20 aux entités essentielles.
C'est le changement le plus profond de NIS2 par rapport aux cadres précédents. Il ne suffit plus d'avoir une politique de sécurité documentée — il faut être capable de prouver que les mesures sont effectivement en place, opérationnelles et testées. Lors d'un contrôle ANSSI, c'est la capacité de démonstration qui est évaluée, pas l'existence de documents.
L'article 21 de la directive impose aux entités concernées de mettre en place des mesures techniques, opérationnelles et organisationnelles proportionnées aux risques. Le ReCyF structure ces mesures en 20 objectifs répartis en cinq domaines :
Gouvernance et pilotage : La direction est explicitement responsable de la cybersécurité. Les dirigeants peuvent être tenus personnellement responsables en cas de manquement grave. Cela inclut : politique de sécurité formalisée, désignation d'un référent cybersécurité, gestion documentée des risques.
Protection des systèmes : Inventaire des actifs, maîtrise des accès et des identités, cloisonnement réseau, durcissement des configurations, gestion des vulnérabilités et des mises à jour.
Détection et réponse aux incidents : Surveillance active des systèmes, capacité de détection des comportements anormaux, procédures de réponse aux incidents formalisées et testées.
Continuité d'activité et résilience : C'est ici que NIS2 rejoint directement les obligations de backup et de PRA. Les entités doivent disposer de sauvegardes régulières, testées, et d'un plan de reprise d'activité opérationnel avec des RTO/RPO définis et vérifiés. L'immuabilité des sauvegardes et leur isolation sont des attendus implicites du ReCyF.
Sécurité de la chaîne d'approvisionnement : Évaluation des risques liés aux prestataires critiques, clauses contractuelles de sécurité, vérification de la conformité des sous-traitants.
NIS2 impose un calendrier de notification strict en cas d'incident de sécurité ayant
un impact significatif :
Alerte initiale sous 24 heures :
Notification à l'ANSSI dans les 24 heures suivant la détection de l'incident. Cette notification préliminaire doit indiquer si l'incident est suspecté d'être malveillant et s'il a un impact transfrontalier.
Rapport intermédiaire sous 72 heures :
Rapport plus complet incluant une première évaluation de la sévérité, de l'impact et des indicateurs de compromission disponibles.
Rapport final dans le mois :
Rapport détaillé couvrant la cause racine, les mesures correctives prises et les enseignements tirés.
C'est un durcissement significatif, sous NIS1, le délai de notification était de 72 heures pour la première alerte. Sous NIS2, 24 heures, ce qui impose une capacité de détection et d'escalade interne très réactive.
Une violation de sécurité notifiable au titre de NIS2 peut simultanément constituer une violation de données personnelles à notifier à la CNIL sous 72 heures au titre de l'article 33 du RGPD. Les deux obligations se cumulent, la gestion des incidents doit donc intégrer dès le départ les deux régimes de notification.
C'est l'angle le moins bien compris de NIS2, et pourtant l'un des plus impactants pour les ETI françaises.
Contrairement à NIS1, la directive impose désormais une responsabilité explicite sur la sécurité des prestataires et fournisseurs critiques,
ce qu'on appelle la sécurité de la chaîne d'approvisionnement.
Une entité essentielle ou importante ne peut pas se contenter de sécuriser ses propres systèmes. Elle doit évaluer les risques que représentent ses prestataires TIC (fournisseurs de logiciels, hébergeurs, intégrateurs, MSSP) et s'assurer qu'ils respectent des exigences de sécurité proportionnées.
En pratique, cela se traduit par trois obligations concrètes : évaluer les risques liés aux prestataires critiques avant de les référencer, intégrer des clauses de sécurité contractuelles exigibles, et vérifier périodiquement le niveau de sécurité des prestataires les plus sensibles.
Vous êtes une entité essentielle ou importante :
Vous devez cartographier vos prestataires critiques, évaluer leur niveau de sécurité et intégrer des exigences NIS2 dans vos contrats.
Un prestataire qui ne peut pas démontrer son niveau de sécurité devient un risque contractuel et réglementaire.
Vous êtes sous-traitant d'une EE ou d'une EI :
Même si vous n'êtes pas directement dans le périmètre NIS2, vos clients peuvent vous imposer des exigences de conformité par voie contractuelle.
Refuser ou être incapable de les satisfaire peut conduire à une disqualification commerciale. C'est un vecteur d'expansion du périmètre NIS2
que beaucoup d'ETI découvrent trop tard, au moment du renouvellement d'un contrat stratégique.
Un prestataire qui gère vos sauvegardes, votre PRA ou votre infrastructure de reprise est par définition un prestataire critique au sens NIS2. Il accède à vos données les plus sensibles et conditionne votre capacité de reprise en cas d'incident. À ce titre, il doit être capable de démontrer :
C'est précisément pourquoi le choix d'un prestataire backup ne peut plus se faire uniquement sur des critères de coût ou de simplicité, il engage directement votre conformité NIS2.
C'est souvent l'argument qui débloque les arbitrages budgétaires. Les sanctions NIS2 sont conçues pour être dissuasives et elles le sont.
Mais au-delà des amendes, c'est la palette complète des mesures coercitives qui doit être comprise.
La directive prévoit des sanctions financières proportionnées au manquement, pouvant aller jusqu'à 2% du chiffre d'affaires mondial pour les entités essentielles, et 1,4% pour les entités importantes. Cyber
Pour une ETI avec 100 M€ de chiffre d'affaires, cela représente respectivement 2 M€ et 1,4 M€ de sanction maximale.
Ces montants s'appliquent au chiffre d'affaires mondial, pas uniquement à l'activité française.
Les sanctions financières ne sont que la partie visible. La Commission des sanctions peut également émettre des avertissements publics et des injonctions contraignantes, ce qui signifie qu'en cas de non-conformité, l'ANSSI peut forcer une organisation à reconnaître publiquement ses manquements.
C'est souvent la mesure la plus redoutée des directions générales, bien plus que l'amende elle-même.
Les autres mesures disponibles incluent : injonction de mise en conformité sous délai, suspension temporaire d'activité pour les cas les plus graves, et responsabilité personnelle des dirigeants en cas de manquement caractérisé.
C'est l'une des innovations les plus significatives de NIS2.
Contrairement aux cadres précédents, la directive engage explicitement la responsabilité des personnes physiques à la tête des entités concernées.
Un DSI ou un dirigeant qui ne peut pas démontrer qu'il a pris les mesures nécessaires peut être tenu personnellement responsable, avec des conséquences qui vont au-delà de l'entreprise.
Les sanctions NIS2 s'appuient sur un dispositif de supervision réel. Pour les entités essentielles, l'ANSSI peut conduire des audits proactifs sans attendre qu'un incident survienne. Pour les entités importantes, la supervision est déclenchée sur incident ou sur signalement.
Pour un DSI, l'enjeu réel n'est pas le montant de l'amende, c'est la capacité à démontrer sa conformité si l'ANSSI se présente, avec ou sans incident préalable.
En avril 2026, la transposition n'est pas encore promulguée, mais le ReCyF de l'ANSSI est disponible et opérationnel.
C'est sur ce référentiel que repose la feuille de route ci-dessous, structurée pour une ETI ou une organisation des secteurs régulés qui part d'un niveau de maturité intermédiaire.
Avant tout, vérifiez si vous êtes dans le périmètre NIS2 en utilisant l'arbre de décision de la section 2.
Si c'est le cas, enregistrez-vous sur la plateforme MonEspaceNIS2 de l'ANSSI (c'est une obligation, pas une démarche volontaire).
L'ANSSI a également ouvert un service de pré-enregistrement sur la plateforme ReCyF pour structurer votre calendrier de conformité.
Ne pas s'enregistrer alors qu'on est dans le périmètre est en soi un manquement qui peut déclencher une procédure de sanction.
Le ReCyF structure 20 objectifs de sécurité avec un principe de proportionnalité : le niveau d'effort attendu est adapté à la maturité de l'entité et à ses ressources. Un diagnostic honnête sur les 15 premiers objectifs (applicables aux EI comme aux EE) permet d'identifier les écarts prioritaires à combler.
Les zones de fragilité les plus fréquentes dans les ETI françaises sont : l'absence de cartographie des actifs critiques, des droits d'accès non maîtrisés, l'absence de plan de reprise d'activité testé, et des sauvegardes non immuables.
Tous les objectifs ReCyF ne se valent pas en termes d'urgence. Voici une priorisation pratique pour une ETI qui part d'un niveau de maturité intermédiaire :
Priorité 1 - Actions immédiates (0 à 3 mois)
Priorité 2 - Actions structurantes (3 à 6 mois)
Priorité 3 - Actions de maturité (6 à 12 mois)
La conformité NIS2 ne peut pas être dissociée de votre Plan de Reprise d'Activité. Les objectifs ReCyF sur la continuité d'activité (objectifs 14 et 15) imposent des sauvegardes régulières et testées, un PRA opérationnel avec des RTO/RPO vérifiés, et une capacité de restauration démontrée, pas seulement documentée.
Un PRA techniquement solide avec des sauvegardes immuables, une architecture hybride on-premise + cloud souverain, et des tests réguliers adresse directement ces objectifs. C'est la brique technique sur laquelle repose une grande partie de votre conformité NIS2.
Pour construire ou renforcer cette brique, consultez notre guide complet :
Backup on-premise vs hybride vs cloud : quel choix pour un PRA efficace en 2026 ? et notre guide sur les erreurs critiques dans un PRA/PCA en 2026.
NIS2 est une transformation profonde de ce que signifie "être sécurisé" pour une organisation française en 2026, le passage d'une logique déclarative à une logique de démonstration continue.
Pour les ETI des secteurs régulés, les enjeux sont concrets : des sanctions financières significatives, une responsabilité personnelle des dirigeants, et surtout une capacité de résilience qui sera évaluée, pas seulement documentée. Le ReCyF de l'ANSSI donne le cadre. Il reste à le mettre en œuvre.
Les organisations qui s'y prennent maintenant ont un avantage réel : elles construisent leur conformité de manière progressive et maîtrisée, sans subir la pression d'une échéance imminente. Celles qui attendent la promulgation définitive de la loi Résilience pour agir auront beaucoup moins de temps pour combler des écarts qui, dans la plupart des cas, prennent plusieurs mois à adresser sérieusement.
Sur la composante technique (backup, PRA, immuabilité, RTO/RPO) VYTALX accompagne les ETI et entreprises des secteurs régulés dans la mise en place d'une infrastructure de résilience conforme aux exigences NIS2, sans alourdir les équipes internes.
