NIS2 : guide pratique de mise en conformité pour les ETI
La directive NIS2 étend les obligations de cybersécurité à des milliers d'entreprises qui n'y étaient pas soumises, avec une responsabilité explicite des dirigeants. Périmètre, exigences et démarche de mise en conformité, sans dramatisation ni déni.
José DA COSTA 20 janvier 2026 3 min de lecture
La directive européenne NIS2 marque un changement d'échelle dans la régulation de la cybersécurité : elle élargit considérablement le périmètre des entités soumises à obligations par rapport à NIS1, introduit une responsabilité explicite des organes de direction, et prévoit des sanctions substantielles. Pour beaucoup d'ETI, c'est la première fois que la cybersécurité devient une obligation légale structurée. La bonne nouvelle : les exigences correspondent pour l'essentiel à ce qu'une gestion des risques sérieuse commanderait de toute façon.
Déterminer si l'on est concerné
La directive distingue les entités essentielles et les entités importantes, selon le secteur d'activité — énergie, transport, santé, banque, infrastructure numérique, mais aussi fabrication, agroalimentaire, gestion des déchets, services numériques — et la taille de l'entreprise, le seuil d'entrée se situant en règle générale à cinquante salariés ou dix millions d'euros de chiffre d'affaires. Deux points appellent une vigilance particulière. D'abord, la transposition nationale précise le périmètre et le calendrier : c'est le texte français, accompagné des travaux de l'ANSSI, qui fait foi pour les obligations concrètes. Ensuite, l'effet de chaîne : même une entreprise hors périmètre peut se voir imposer des exigences par ses clients régulés, car la directive fait de la sécurité de la chaîne d'approvisionnement une obligation à part entière.
Ce que la directive exige en substance
Les mesures attendues relèvent de la gestion des risques bien comprise : une analyse de risques formalisée et des politiques de sécurité qui en découlent ; la gestion des incidents, avec des obligations de notification rapide aux autorités selon des paliers définis ; la continuité d'activité — sauvegardes testées, plans de reprise, gestion de crise ; la sécurisation des relations avec les fournisseurs ; la sécurité dans l'acquisition et le développement des systèmes ; des pratiques d'hygiène informatique et de formation ; le chiffrement là où il s'impose ; et le contrôle des accès avec authentification multifacteur. S'y ajoute un volet de gouvernance qui change la donne : les organes de direction doivent approuver la démarche de gestion des risques, en suivre la mise en œuvre et être eux-mêmes formés — la cybersécurité cesse juridiquement d'être un sujet purement technique délégable.
Conduire la mise en conformité comme un programme
La démarche efficace suit un ordre éprouvé. Premièrement, qualifier sa situation : secteur, taille, statut d'entité essentielle ou importante, exigences contractuelles des clients. Deuxièmement, réaliser une analyse d'écart honnête entre l'existant et les exigences, en s'appuyant sur les référentiels de l'ANSSI ; cette analyse révèle presque toujours les mêmes chantiers prioritaires — authentification multifacteur incomplète, sauvegardes non testées, absence de procédure de réponse à incident, sous-traitants non évalués. Troisièmement, traiter les écarts par ordre de risque réel et non de facilité, en assumant un plan pluriannuel documenté : les autorités attendent une trajectoire crédible et pilotée davantage qu'une perfection immédiate. Quatrièmement, ancrer le dispositif dans la durée : exercices de crise réguliers, revues de direction, indicateurs suivis.
Faire de la contrainte un investissement
L'erreur la plus coûteuse serait d'aborder NIS2 comme un exercice documentaire — produire des classeurs de politiques que personne n'applique. Les mesures exigées sont précisément celles qui réduisent la probabilité et l'impact d'un incident majeur : à ce titre, le budget de conformité est un budget de résilience. Les entreprises qui l'ont compris en tirent même un avantage commercial, la capacité à démontrer sa maturité cyber devenant un critère de sélection dans un nombre croissant d'appels d'offres. La conformité s'obtient alors par surcroît : elle est l'effet d'une sécurité réelle, pas son substitut.
Fondateur et président d'ACCENSEO, ingénieur logiciel. Il accompagne les entreprises dans le conseil en systèmes d'information et le développement logiciel sur-mesure.
Dites-nous où vous en êtes et où vous devez aller. Nous reviendrons vers vous avec une lecture claire et honnête de la façon dont nous pouvons vous aider.