Blog / NIS2 : les nouvelles obligations cybersécurité qui s'appliquent à votre entreprise en 2025
Réglementation

NIS2 : les nouvelles obligations cybersécurité qui s'appliquent à votre entreprise en 2025

La directive NIS2 s'applique depuis octobre 2024 à 100 000 nouvelles entités européennes. Qui est concerné, quelles sont les obligations concrètes, et comment NIS2 interact avec l'AI Act pour les entreprises françaises.

Better People Better People
· 18 octobre 2024 · 8 min de lecture

La directive NIS2 (Network and Information Security 2) est entrée en application en France le 18 octobre 2024. Elle étend considérablement le périmètre des entités soumises à des obligations de cybersécurité : de 8 000 entités sous NIS1, on passe à environ 100 000 entités sous NIS2 en Europe, dont une grande partie n’avait jamais été soumise à des obligations cybersécurité formelles.

Qui est concerné par NIS2 ?

NIS2 distingue deux catégories d’entités :

Entités essentielles (EE)

Ce sont les secteurs les plus critiques pour la société et l’économie :

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire et infrastructures financières
  • Santé (établissements hospitaliers, laboratoires)
  • Eau et eaux usées
  • Infrastructure numérique (datacenters, fournisseurs cloud, réseaux CDN)
  • Espace

Seuil : plus de 250 salariés OU CA > 50 M€ ET bilan > 43 M€

Entités importantes (EI)

Secteurs importants mais moins critiques :

  • Services postaux et de courrier
  • Gestion des déchets
  • Fabrication industrielle (dispositifs médicaux, équipements électroniques, véhicules)
  • Alimentation (grands distributeurs, producteurs importants)
  • Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
  • Recherche
  • Services numériques : prestataires de services informatiques, fournisseurs de services managés (MSP)

Seuil : plus de 50 salariés OU CA > 10 M€

Attention : NIS2 peut s’appliquer indépendamment de la taille si l’entité est un fournisseur critique pour des entités essentielles (effet “cascade” dans la chaîne d’approvisionnement).

Les obligations principales de NIS2

1. Gestion des risques cybersécurité

Chaque entité doit mettre en place des mesures de gestion des risques “proportionnées” à son exposition. Cela inclut :

Politiques de sécurité :

  • Politique de sécurité des systèmes d’information (PSSI)
  • Gestion des vulnérabilités et des mises à jour
  • Contrôle d’accès et gestion des identités

Sécurité des actifs :

  • Inventaire des actifs numériques (dont les systèmes IA)
  • Classification des données
  • Chiffrement des données sensibles

Continuité d’activité :

  • Plan de continuité (PCA) et plan de reprise d’activité (PRA)
  • Sauvegarde et restauration testées régulièrement
  • Gestion de crise cybersécurité

2. Gestion des incidents et notification

Délai de notification en cas d’incident significatif :

  • 24 heures : alerte précoce à l’ANSSI
  • 72 heures : notification officielle avec évaluation initiale
  • 1 mois : rapport final complet

Qu’est-ce qu’un incident significatif ?

  • Perturbation grave des services
  • Pertes financières significatives
  • Impact sur d’autres entités
  • Exposition de données sensibles

3. Sécurité de la chaîne d’approvisionnement

C’est l’une des nouvelles obligations les plus importantes de NIS2. Les entités doivent :

  • Évaluer les risques de sécurité de leurs fournisseurs et prestataires
  • Inclure des clauses de sécurité dans les contrats fournisseurs
  • Surveiller la sécurité des services tiers en continu

Impact pour les entreprises qui utilisent des services cloud et IA : vos fournisseurs LLM (OpenAI, Anthropic, Google, Mistral) deviennent des prestataires à évaluer sous NIS2. Vous devez documenter leur niveau de sécurité et vous assurer que les conditions contractuelles incluent des garanties de sécurité.

4. Responsabilité des dirigeants

C’est la nouveauté la plus marquante de NIS2 par rapport à NIS1 : les dirigeants sont personnellement responsables de la mise en conformité.

Concrètement :

  • Les organes de direction (DG, directoire, conseil d’administration) doivent approuver les mesures de gestion des risques
  • Ils doivent suivre des formations en cybersécurité
  • En cas de manquement grave, des sanctions personnelles peuvent être prononcées

5. Sanctions

Pour les entités essentielles : jusqu’à 10 millions d’euros ou 2 % du CA mondial annuel (le plus élevé des deux)

Pour les entités importantes : jusqu’à 7 millions d’euros ou 1,4 % du CA mondial annuel

NIS2 et l’IA : les interactions à connaître

Les systèmes IA comme actifs à sécuriser sous NIS2

Si votre organisation est soumise à NIS2, vos systèmes IA en production (chatbots, agents, modèles de décision) sont des actifs numériques critiques à inclure dans votre gestion des risques.

Risques spécifiques aux systèmes IA :

  • Injection de prompts (manipulation de l’agent IA par des inputs malveillants)
  • Empoisonnement de données (données d’entraînement corrompues)
  • Extraction de modèle (reverse-engineering de vos modèles propriétaires)
  • Manipulation via des données d’entrée adversariales

Les fournisseurs de cloud et d’IA comme prestataires NIS2

Si vous utilisez AWS, Azure, Google Cloud, ou OpenAI/Anthropic pour vos systèmes critiques, ces fournisseurs doivent être évalués dans votre processus NIS2 de chaîne d’approvisionnement.

Bonne nouvelle : les grands fournisseurs cloud (Microsoft Azure, AWS, Google Cloud) publient leurs certifications de sécurité (ISO 27001, SOC 2, CSA STAR) qui facilitent votre évaluation.

Point d’attention : vérifiez que votre contrat avec ces fournisseurs inclut des clauses de notification d’incident compatible avec vos délais NIS2 (24h/72h).

AI Act + NIS2 : une double conformité

Pour les organisations soumises aux deux réglementations, la coordination est nécessaire :

DimensionAI ActNIS2
Systèmes concernésTous les systèmes IASystèmes IA critiques pour la continuité
SécuritéRobustesse, résistance aux manipulationsGestion des risques, continuité, notification
ResponsabilitéFournisseur et opérateurDirigeants personnellement
DocumentationDocumentation technique IAPSSI, plan de continuité

Par où commencer : les priorités pratiques

Pour les nouvelles entités soumises à NIS2

Si vous êtes dans les secteurs “importants” et que vous n’aviez jamais été sous NIS1, l’approche par étapes :

Priorité 1 (urgent) : Identifier si vous êtes soumis et à quelle catégorie. L’ANSSI publiera une liste indicative. En cas de doute, consultez un expert.

Priorité 2 (court terme) : S’enregistrer auprès de l’ANSSI (obligation de NIS2 pour les entités identifiées).

Priorité 3 (6-12 mois) : Réaliser une évaluation des risques, produire une PSSI, et mettre en place les mesures techniques de base.

Priorité 4 (12-18 mois) : Formaliser la gestion des incidents, la chaîne d’approvisionnement, et former les dirigeants.

La transposition française : le rôle de l’ANSSI

En France, NIS2 est transposée sous la supervision de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). L’ANSSI :

  • Publie les listes d’entités concernées
  • Fixe les exigences techniques spécifiques
  • Réalise les contrôles et prononce les sanctions
  • Publie des guides pratiques sur son site (ssi.gouv.fr)

Questions fréquentes

Une PME de 60 salariés dans le secteur IT est-elle concernée par NIS2 ? Probablement oui si elle fournit des services managés (MSP, MSSP), des services cloud, ou si elle travaille pour des entités essentielles ou importantes. La règle des 50 salariés / 10 M€ de CA s’applique aux entités importantes.

NIS2 s’applique-t-elle aux startups ? Une startup tech de 55 salariés dans un secteur couvert par NIS2 est potentiellement soumise. La taille n’exonère pas — seules les entreprises en dessous des seuils ET sans criticité particulière sont exclues.

Comment se préparer à un audit NIS2 ? Documentez : votre PSSI, vos mesures de sécurité, votre processus de gestion des incidents, vos contrats fournisseurs avec les clauses de sécurité, et les formations cybersécurité de vos dirigeants.

Conclusion

NIS2 représente une montée en maturité cybersécurité nécessaire pour l’économie numérique européenne. Pour les entreprises qui n’avaient pas de programme cybersécurité structuré, c’est l’occasion de construire des fondations solides. Pour celles qui avaient déjà NIS1, c’est une extension du périmètre et une formalisation des responsabilités des dirigeants.

Le parallèle avec le RGPD est pertinent : au début, beaucoup voyaient le RGPD comme une contrainte. Aujourd’hui, la plupart reconnaissent qu’il a amélioré la gestion des données personnelles. NIS2 devrait produire le même effet sur la posture cybersécurité des organisations européennes.

BetterPeople intègre les enjeux NIS2 dans ses programmes de formation IA, notamment sur la sécurité des systèmes agentiques et la gestion des risques IA. Renseignez-vous.

#NIS2 #cybersécurité #réglementation #ANSSI #conformité #gestion des risques

Prêt à transformer votre organisation avec l'IA ?

Réservez un diagnostic gratuit de 30 minutes avec notre équipe.

Réserver un RDV

Articles similaires

Réglementation

AI Act août 2025 : ce qui entre en vigueur et ce que votre entreprise doit faire maintenant

Réglementation

EU AI Act : Guide complet pour les entreprises françaises