Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit 30 avril 2026 9 min de lecture

NIS 2 : obligations concrètes, calendrier et sanctions pour les entreprises françaises

La directive NIS 2 (Network and Information Security) est entrée en application en octobre 2024 dans les États membres. Elle étend massivement le champ des organisations concernées — passant de quelques centaines d'OIV sous NIS 1 à des dizaines de milliers d'entités en France. Si votre entreprise opère dans l'un des 18 secteurs couverts et dépasse les seuils de taille, vous êtes probablement concerné. Voici ce que vous devez faire concrètement.

Ce qu'il faut retenir

  • NIS 2 s'applique à ~30 000 entités en France dans 18 secteurs (vs ~500 sous NIS 1)
  • Deux catégories : entités essentielles (EE) et entités importantes (EI) — obligations identiques, contrôles différents
  • 10 mesures de cybersécurité obligatoires, dont la gestion des risques fournisseurs et la continuité d'activité
  • Sanctions : jusqu'à 10M€ ou 2% du CA mondial pour les EE, 7M€ ou 1,4% pour les EI

Qui est concerné par NIS 2 ?

NIS 2 couvre les entités des 18 secteurs suivants qui dépassent les seuils de taille (250 salariés OU 50M€ de CA/bilan pour les EE ; 50 salariés OU 10M€ pour les EI) :

Secteurs Entités EssentiellesSecteurs Entités Importantes
Énergie (électricité, gaz, pétrole, hydrogène)Services postaux et de courrier
Transports (aérien, ferroviaire, maritime, routier)Gestion des déchets
Banque et infrastructures des marchés financiersChimie
Santé (hôpitaux, labo, R&D, pharma)Alimentation
Eau potable et eaux uséesFabrication (dispositifs médicaux, électronique, machines)
Infrastructure numérique (DNS, TLD, cloud, CDN, data centers)Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
Gestion des services TIC B2BRecherche (organismes de recherche)
Administrations publiques
Espace

Attention : même les petites entités peuvent être concernées si elles sont « critiques » pour un secteur, quel que soit leur taille.

Les 10 mesures obligatoires (article 21 NIS 2)

NIS 2 impose 10 catégories de mesures de cybersécurité :

  1. Politiques de sécurité des systèmes d'information et analyse des risques — documentation formelle, revue régulière
  2. Gestion des incidents — détection, réponse, notification dans les délais
  3. Continuité des activités — PRA/PCA, gestion des sauvegardes, reprise après sinistre
  4. Sécurité de la chaîne d'approvisionnement — évaluation des risques fournisseurs, clauses contractuelles
  5. Sécurité des acquisitions, développements et maintenance — security by design, tests de sécurité
  6. Politiques d'évaluation de l'efficacité des mesures — audits, tests de pénétration, métriques
  7. Pratiques d'hygiène informatique et formation — sensibilisation, formations obligatoires y compris la direction
  8. Cryptographie et chiffrement — politique de chiffrement documentée
  9. Sécurité des ressources humaines, contrôle d'accès, gestion des actifs — MFA, principe du moindre privilège
  10. Utilisation de solutions d'authentification multifacteur — MFA obligatoire pour les accès critiques

Responsabilité des dirigeants

NIS 2 introduit explicitement la responsabilité personnelle des dirigeants : les organes de direction peuvent être tenus personnellement responsables en cas de violation grave des obligations NIS 2 par l'entité. Formation à la cybersécurité obligatoire pour les membres du conseil d'administration.

Notification d'incidents : les délais stricts

En cas d'incident significatif, NIS 2 impose une notification en trois étapes à l'ANSSI (ou l'autorité nationale compétente) :

  • Alerte précoce : 24h après détection — signalement initial, même sans analyse complète
  • Notification d'incident : 72h — évaluation préliminaire, gravité, indicateurs de compromission
  • Rapport final : 1 mois — analyse complète, mesures correctives prises

Un incident est « significatif » s'il a causé ou peut causer une perturbation grave des services, des pertes financières importantes, ou un impact sur d'autres entités ou personnes physiques.

IA et NIS 2 : points d'attention spécifiques

L'utilisation d'IA dans les systèmes d'information crée de nouvelles surfaces de risque couvertes par NIS 2 :

  • Risque fournisseur IA : si vous utilisez un LLM via API externe (OpenAI, Azure OpenAI...), ce fournisseur entre dans votre chaîne d'approvisionnement NIS 2 — évaluation des risques obligatoire
  • Prompt injection : les systèmes IA connectés à des données critiques doivent être protégés contre les attaques par injection de prompt
  • Agents IA autonomes : tout agent qui agit sur vos systèmes doit être tracé, journalisé et contrôlé (article 21.2)
  • Shadow AI : les outils IA non autorisés utilisés par les employés constituent un risque de chaîne d'approvisionnement non contrôlé

Un LLM souverain déployé on-premise simplifie considérablement la conformité NIS 2 : pas de fournisseur externe dans la chaîne IA, traçabilité complète, pas de risque de fuite vers un tiers.

Sanctions NIS 2

Les sanctions sont significativement plus lourdes que sous NIS 1 :

  • Entités essentielles : jusqu'à 10 000 000€ ou 2% du chiffre d'affaires mondial annuel total (le montant le plus élevé)
  • Entités importantes : jusqu'à 7 000 000€ ou 1,4% du chiffre d'affaires mondial
  • Mesures non pécuniaires : suspension temporaire des activités, interdiction pour les dirigeants d'exercer des fonctions de direction

L'ANSSI dispose également de pouvoirs d'audit et d'injonction, pouvant obliger une entité à remédier à une non-conformité sous astreinte.

Calendrier 2026 pour la conformité

NIS 2 est applicable depuis octobre 2024. La France a transposé la directive via la loi de transposition publiée en 2024. En 2026, l'ANSSI intensifie les contrôles. Les priorités pour les entités qui n'ont pas encore commencé :

  • T1 2026 : identifier si vous êtes EE ou EI, enregistrement auprès de l'ANSSI
  • T2 2026 : analyse de risques, cartographie des actifs critiques
  • T3 2026 : plan de remédiation, déploiement des mesures prioritaires (MFA, gestion des incidents)
  • T4 2026 : audit de conformité interne, plan pour la chaîne d'approvisionnement

Checklist RSSI NIS 2

  • ☐ Confirmer si l'entité est EE ou EI (secteur + seuils de taille)
  • ☐ S'enregistrer auprès de l'ANSSI via le portail dédié
  • ☐ Cartographier les systèmes d'information essentiels
  • ☐ Réaliser une analyse de risques formelle (EBIOS RM recommandé)
  • ☐ Documenter les 10 mesures (même celles déjà en place)
  • ☐ Déployer le MFA sur tous les accès privilégiés
  • ☐ Définir la procédure de notification d'incident (24h / 72h / 1 mois)
  • ☐ Auditer les fournisseurs critiques (dont les fournisseurs IA)
  • ☐ Former la direction à la cybersécurité (obligation NIS 2)
  • ☐ Mettre à jour les contrats fournisseurs avec des clauses NIS 2

IA souveraine conforme NIS 2

Intelligence Privée déploie des LLM sur votre infrastructure avec journalisation complète, contrôle des accès et documentation de conformité NIS 2 incluse.

Évaluer votre conformité NIS 2 →

Continuer la lecture

Conformité

RGPD et NIS 2 — Checklist DSI

Obligations combinées RGPD + NIS 2 pour les DSI et DPO.

6 min
Guide Pratique

Audit IA interne : checklist RSSI/DPO

Comment auditer vos systèmes IA au regard de NIS 2 et EU AI Act.

9 min
Stratégie

Charte IA entreprise

Politique d'usage de l'IA conforme NIS 2 et EU AI Act.

8 min