NIS2 en 2026 — qui est vraiment concerné ?

La règle de base, en deux phrases

NIS2 s’applique en France depuis 2025 (transposition de la directive 2022/2555). Une organisation est concernée si elle opère dans l’un des 18 secteurs listés et dépasse 50 collaborateurs ou 10 M€ de chiffre d’affaires annuel. Certains acteurs sont concernés peu importe la taille (FAI, infrastructures numériques critiques, prestataires de confiance qualifiés).

Les deux niveaux d’éligibilité

NIS2 distingue entités essentielles et entités importantes, avec des obligations identiques mais un régime de contrôle et de sanctions plus strict pour les premières.

Entités essentielles

Énergie, transport, finance, santé, eau potable et usée, infrastructures numériques (DNS, registres TLD, IXP, services cloud, datacenters, CDN), gestion des services TIC inter-entreprises, espace, administration publique. Les sanctions maximales atteignent 10 M€ ou 2% du CA mondial, le plus élevé des deux.

Entités importantes

Services postaux et de messagerie, gestion des déchets, fabrication et distribution de produits chimiques, alimentation, fabrication (dispositifs médicaux, électronique, automobile, machines, équipements de transport), fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), recherche. Sanctions maximales 7 M€ ou 1,4% du CA mondial.

Les six obligations communes

Quel que soit le niveau, toute entité concernée doit mettre en place :

1. Une analyse de risque documentée et tenue à jour, couvrant la chaîne d’approvisionnement.
2. Des mesures techniques et organisationnelles proportionnées au risque (gestion d’accès, chiffrement, supervision, gestion des incidents).
3. Un plan de continuité d’activité avec gestion de crise et reprise après sinistre testés.
4. Une politique de gestion des vulnérabilités incluant la veille et le patching.
5. Une formation cybersécurité des dirigeants et collaborateurs concernés.
6. Une notification d’incident à l’ANSSI sous 24 heures (alerte précoce), 72 heures (notification d’incident), et un mois (rapport final).

La responsabilité directe des dirigeants

C’est la nouveauté la plus structurante. NIS2 engage personnellement les organes de direction sur la mise en œuvre des mesures de cybersécurité. En cas de manquement, des interdictions temporaires d’exercer peuvent être prononcées contre des cadres dirigeants — pas seulement contre la personne morale.

Concrètement, le sujet cyber doit être porté au conseil ou au CODIR, documenté et revu périodiquement.

Comment savoir si vous êtes concernés en 24 heures

Trois questions :

1. Êtes-vous dans l’un des 18 secteurs ? (liste à l’annexe I et II de la directive)
2. Dépassez-vous 50 collaborateurs ou 10 M€ de CA ?
3. Êtes-vous identifiés par décret comme prestataire critique (rare, vise quelques entités spécifiques) ?

Si oui à 1+2 ou 3, vous êtes concernés. Nous établissons l’éligibilité formelle en 2 à 3 heures de cadrage — utile notamment pour les entités à la frontière (filiales, holdings, groupes multi-secteurs).

Et après l’éligibilité ?

Le plan classique : audit d’écart (4 à 6 semaines), plan d’action priorisé (chiffré, opposable), mise en œuvre opérationnelle (6 à 18 mois selon maturité initiale), audit blanc avant un éventuel contrôle ANSSI. Notre accompagnement audit & conformité est calé sur ce calendrier.

Liens utiles

• Texte de la directive NIS2 (Eur-Lex)
• Page ANSSI dédiée à NIS2
• Notre glossaire cybersécurité pour les définitions techniques

Article rédigé par l’équipe conformité Hexceos. Mis à jour le 10 mai 2026.

Dernière mise à jour : 10 mai 2026