NIS2 : une directive qui chamboule la cybersécurité européenne
Entrée en vigueur en octobre 2024, la directive européenne NIS2 (Network and Information Security 2) représente une évolution majeure dans la manière dont les entreprises doivent appréhender leur cybersécurité. Succédant à la première directive NIS de 2016, ce texte élargit considérablement le périmètre des organisations concernées et durcit les obligations en matière de gestion des risques informatiques. En France, c’est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui pilote la transposition et le suivi de cette directive. Six mois après son entrée en application, le bilan est contrasté : si la prise de conscience progresse, la mise en conformité effective reste un chantier inachevé pour une grande majorité des entités visées.
Un périmètre élargi qui surprend encore beaucoup d’entreprises
L’une des grandes nouveautés de NIS2 réside dans l’extension significative du nombre d’entités concernées. Là où NIS1 ciblait principalement les opérateurs de services essentiels et quelques fournisseurs de services numériques, NIS2 touche désormais des dizaines de milliers d’organisations en France, réparties en deux catégories : les entités essentielles et les entités importantes. Concrètement, cela concerne des secteurs aussi variés que la santé, l’énergie, les transports, mais aussi la distribution alimentaire, la gestion des déchets ou encore les services postaux. De nombreuses PME et ETI se retrouvent ainsi dans le radar réglementaire pour la première fois, sans toujours en avoir été informées.
Cette méconnaissance du périmètre constitue l’un des premiers obstacles identifiés par les experts du secteur. Selon plusieurs cabinets de conseil spécialisés en cybersécurité, une proportion significative des entreprises théoriquement concernées par NIS2 n’avait toujours pas procédé à leur auto-évaluation au début de l’année 2025. L’ANSSI a pourtant mis à disposition des outils en ligne pour aider les organisations à déterminer si elles entrent dans le champ d’application de la directive, mais la démarche reste volontaire dans un premier temps, ce qui limite son efficacité immédiate.
Des obligations concrètes qui nécessitent des ressources importantes
Pour les entreprises qui ont bien identifié leur statut, le chemin vers la conformité est loin d’être trivial. NIS2 impose en effet un ensemble d’obligations substantielles : mise en place d’une politique de gestion des risques cyber, sécurisation de la chaîne d’approvisionnement numérique, formation et sensibilisation des équipes, gestion des incidents avec obligation de notification sous 24 heures pour les incidents significatifs, et maintien d’une continuité d’activité robuste. Ces exigences impliquent des investissements humains et financiers non négligeables, en particulier pour les structures de taille intermédiaire qui ne disposent pas d’équipes dédiées à la sécurité informatique.
Les grandes entreprises et les groupes du CAC40 sont, dans l’ensemble, mieux armés pour absorber ces contraintes. Beaucoup d’entre eux avaient déjà entamé des démarches de mise en conformité bien avant l’échéance réglementaire, s’appuyant sur des directions des systèmes d’information (DSI) étoffées et des budgets cybersécurité conséquents. En revanche, pour les ETI et les PME — qui représentent pourtant la majorité des entités nouvellement concernées — la situation est bien plus compliquée. Le manque de compétences internes, la pénurie de profils spécialisés sur le marché et le coût des prestataires externes constituent des freins majeurs à une mise en conformité rapide.
Le rôle clé de l’ANSSI et les tensions autour du calendrier
L’ANSSI joue un rôle central dans l’accompagnement des entreprises françaises face à NIS2. L’agence a multiplié les publications de guides pratiques, les webinaires et les actions de sensibilisation depuis 2023. Elle a également développé le portail MonEspaceNIS2, permettant aux entités de s’enregistrer et de suivre leur processus de conformité. Néanmoins, la transposition législative française de la directive a pris du retard par rapport aux délais européens initialement prévus, ce qui a créé une période d’incertitude juridique pour les entreprises. Les textes d’application définitifs tardant à être publiés, certaines organisations ont préféré temporiser plutôt que d’engager des investissements sur une base encore floue.
Cette situation n’est pas propre à la France : plusieurs États membres de l’Union européenne ont également accusé des retards dans la transposition de NIS2. Toutefois, la Commission européenne a clairement signalé qu’elle ne comptait pas faire preuve d’une patience indéfinie, et des procédures d’infraction ont déjà été ouvertes contre certains pays. Pour la France, la pression réglementaire devrait donc s’intensifier dans les prochains mois, poussant l’ANSSI et les autorités compétentes à accélérer le processus d’enregistrement et de contrôle des entités concernées.
Intelligence artificielle et NIS2 : une double contrainte pour les acteurs du numérique
Un aspect souvent sous-estimé dans les discussions autour de NIS2 concerne son interaction avec l’essor de l’intelligence artificielle au sein des entreprises. Les systèmes d’IA, de plus en plus intégrés dans les processus métiers critiques, constituent de nouveaux vecteurs de risque que la directive NIS2 oblige désormais à prendre en compte dans les politiques de gestion des risques. Pour les entreprises françaises qui développent ou déploient des solutions d’IA — qu’il s’agisse de startups de la French Tech ou de grands groupes industriels — NIS2 s’ajoute à l’AI Act européen pour former un cadre réglementaire dual qu’il faut apprendre à maîtriser simultanément.
Concrètement, cela signifie que la sécurité des modèles d’IA, la robustesse des pipelines de données et la résilience des infrastructures qui les supportent doivent désormais être intégrées dans les plans de continuité d’activité et les analyses de risques imposées par NIS2. Les éditeurs de logiciels intégrant de l’IA générative dans leurs offres, par exemple, doivent s’assurer que leurs clients entrant dans le périmètre NIS2 disposent de garanties suffisantes sur la sécurité de ces briques technologiques. C’est un niveau de maturité supplémentaire qui est demandé, et qui représente un défi réel pour un écosystème encore en train d’apprendre à sécuriser ces nouvelles technologies.
Vers une mise en conformité progressive mais inévitable
Au bilan de ces six premiers mois, le tableau est donc celui d’une transition en cours, inégale selon les secteurs et les tailles d’entreprises, mais irréversible. Les sanctions prévues par NIS2 sont significatives — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles — et l’ANSSI disposera de pouvoirs de contrôle et d’audit renforcés une fois le cadre législatif français pleinement en place. La question n’est donc plus de savoir si les entreprises doivent se mettre en conformité, mais à quel rythme elles y parviendront.
Les experts s’accordent à dire que 2025 sera une année charnière, avec une montée en puissance progressive des contrôles et une intensification de l’accompagnement proposé aux PME. Des dispositifs de financement, notamment via Bpifrance, pourraient également être mobilisés pour aider les petites structures à supporter le coût de cette mise à niveau cybersécurité. Une chose est certaine : NIS2 n’est pas une contrainte administrative de plus, mais bien un signal fort que la résilience numérique est désormais une exigence structurelle pour toute organisation jouant un rôle dans l’économie et les infrastructures européennes.