Directive EU 2022/2555 — Transposée en droit français 2024

NIS2 touche 15 000 entreprises
françaises. Et vous ?

La directive européenne NIS2, transposée en France fin 2024, crée des obligations de cybersécurité pour des milliers d'entreprises qui n'ont jamais eu à y penser. Découvrez si vous êtes concerné et ce que ça implique concrètement.

Diagnostic NIS2 gratuitVoir la couverture ReCyF
Jan. 2023
Adoption NIS2 — Parlement européen
Oct. 2024
Transposition française — Loi cyber
2025
Identification officielle des entités par ANSSI
← Nous sommes ici
2026
Premières mises en conformité obligatoires
2027
Contrôles et sanctions ANSSI actifs

Êtes-vous une EE ou une EI ?

NIS2 crée deux catégories d'entités avec des obligations progressives.

Entités Essentielles (EE)

Obligations maximales

Secteurs critiques pour l'économie nationale. Contrôles proactifs par l'ANSSI. Sanctions pouvant atteindre 10 M€ ou 2% du CA mondial.

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transport (aérien, ferroviaire, routier, maritime)
  • Secteur bancaire et financier
  • Santé (hôpitaux, laboratoires, R&D pharma)
  • Eau (distribution, traitement des eaux usées)
  • Infrastructure numérique (DNS, IXP, cloud, data centers)
  • Administration publique centrale
  • Espace (opérateurs d'infrastructure spatiale)
Seuils indicatifs : grande entreprise (+250 salariés ou CA +50M€) dans un secteur critique.

Entités Importantes (EI)

Obligations substantielles

Entreprises de taille intermédiaire ou secteurs secondaires. Contrôles sur incident. Sanctions pouvant atteindre 7 M€ ou 1,4% du CA mondial.

  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication (chimie, alimentation, mécanique, pharma)
  • Fournisseurs numériques (places de marché, moteurs, réseaux sociaux)
  • Services de recherche
  • Collectivités territoriales (seuil population)
  • Prestataires IT/OT d'une EE ou EI
  • PME fournisseur critique d'une EE
Seuils indicatifs : PME (+50 salariés ou CA +10M€) dans un secteur important ou prestataire d'une EE.

TPE hors périmètre direct

Votre entreprise n'est pas formellement EE ou EI ? Vos donneurs d'ordre ou clients grands comptes peuvent néanmoins vous imposer contractuellement des exigences de conformité ReCyF. Et en cas d'incident chez vous qui impacte une EE, votre responsabilité peut être engagée. La cybersécurité protège votre contrat.

Concrètement, qu'est-ce que NIS2 impose ?

En France, via le ReCyF v2.5 de l'ANSSI. 20 objectifs de sécurité. Sentinelle.pro en couvre 75%.

OS 9 · 12 · 20Couvert ✓

Surveillance & Détection

SOC 24/7, EDR sur tous les postes, logs 90 jours, alertes en temps réel.

OS 12Couvert ✓

Réponse à incident

Notification ANSSI/CERT-FR sous 24h, forensic, plan de remédiation documenté.

OS 5Couvert ✓

Gestion des correctifs

Inventaire CVE, alertes patches critiques, suivi des mises à jour.

OS 13Couvert ✓

Continuité d'activité

PRA documenté, sauvegardes immuables, tests de restauration mensuels.

OS 2Via conseil

Gouvernance / PSSI

Politique de sécurité formelle approuvée par le dirigeant, RACI, revue annuelle.

OS 14 · 15Via conseil

Gestion de crise

Procédure documentée, contacts imprimés, exercice annuel sur table.

Voir la couverture complète OS 1 à OS 20

Les sanctions NIS2 sont réelles.
Et s'appliquent au dirigeant personnellement.

10 M€
ou 2% CA mondial
Amende EE maximale
7 M€
ou 1,4% CA mondial
Amende EI maximale
24h
délai de notification
Après un incident cyber

NIS2 introduit la responsabilité personnelle des dirigeants en cas de manquements graves. Un dirigeant peut être personnellement mis en cause et interdit de fonctions dirigeantes.

Évaluer mon exposition NIS2 gratuitement

De zéro à conforme en 6 semaines

Notre méthode pour les PME sans RSSI interne.

01

Assessment ReCyF gratuit

Semaine 1

Audit de votre périmètre (30 min). Rapport de couverture OS par OS. Plan d'action priorisé. Offert.

02

Déploiement technique

Semaine 1-2

Installation agents Wazuh + NetBird VPN + Kopia backup. Via notre script automatisé — 1 à 2 jours.

03

Documentation gouvernance

Semaine 2-4

Cartographie SI, charte utilisateur, PSSI adaptée. Ateliers avec le dirigeant. Livrables signés.

04

Kit de crise & exercice

Semaine 4-5

Procédure de crise documentée, fiche contacts papier, exercice sur table ransomware.

05

Dossier de conformité ReCyF

Semaine 6

Rapport de couverture final, preuves documentaires, dossier opposable lors d'un audit ANSSI.

Ne subissez pas NIS2.
Transformez-le en avantage concurrentiel.

Les entreprises conformes NIS2 remportent plus facilement les appels d'offres publics et les marchés des grands comptes. Votre conformité est un argument commercial.

Diagnostic NIS2 gratuitCouverture ReCyF détaillée