Quels sont les délais NIS2 en France ?

Loi REIA française d'octobre 2024. Enregistrement ANSSI sous 5 mois, conformité sous 12 à 18 mois. Les premiers contrôles ANSSI ont commencé en 2025 avec approche pédagogique, 2026 marque le passage en contrôle strict avec sanctions.

Publié : 10/05/2026

NIS2 entreprise : test de cyber-résilience en 60 sec

Q: Comment savoir si mon entreprise est concernée par NIS2 ?

Croisez secteur d'activité et taille : si vous êtes dans un des 18 secteurs listés (énergie, transport, santé, etc.) avec 50+ salariés ou 10 M€+ de CA, vous êtes entité importante. Au-delà de 250 salariés ou 50 M€, vous êtes essentielle. Vérifiez sur le portail MonEspaceNIS2 de l'ANSSI.

Q: NIS2 et RGPD c'est la même chose ?

Non. RGPD protège les données personnelles. NIS2 protège la continuité opérationnelle et la sécurité globale du système d'information. Une PME peut être conforme à l'un sans l'autre. Les deux se complètent.

Q: Combien coûte la mise en conformité NIS2 pour une PME ?

Pour une PME de 50 personnes, comptez 15 000 à 80 000 € d'investissement initial selon le niveau de départ. À comparer aux 10 M€ d'amende max et au coût moyen d'un ransomware (260 000 € sur PME). Le ROI cybersécurité reste largement positif.

Catégories : Topbiz Inside : Au coeur du hardware

Topbiz Inside

NIS2 entreprise : test de cyber-résilience en 60 sec

🛡️ L'essentiel à retenir : la directive européenne NIS2 (Network and Information Security 2), transposée en France via la loi REIA d'octobre 2024, oblige les PME et ETI considérées « essentielles » ou « importantes » à atteindre un niveau de cybersécurité minimum sous peine de sanctions (jusqu'à 2 % du CA annuel, avec un plafond légal de 10 M€ pour les grands groupes). Côté matériel, NIS2 impose 7 mesures concrètes : authentification forte, sauvegarde, continuité électrique, contrôle d'accès, journalisation, segmentation réseau, plan de reprise. Le quiz ci-dessous évalue votre niveau actuel et vous oriente vers les équipements Topbiz à déployer en priorité.

NIS2 ne concerne pas que les grands groupes. Plus de 10 000 entités en France (vs ~600 sous NIS1) sont désormais soumises à cette directive : ESN, hôpitaux, transports, agroalimentaire, gestion des déchets, fournisseurs de services numériques, fabrication, distribution... Si votre entreprise emploie plus de 50 personnes (« importante ») ou 250 personnes (« essentielle ») dans un de ces 18 secteurs critiques, vous êtes concerné.

Et contrairement à RGPD qui visait surtout les processus, NIS2 vise le matériel : votre infrastructure IT physique. Sauvegardes externalisées, onduleurs de secours, contrôle d'accès aux locaux, vidéosurveillance des baies serveurs, équipements réseau récents... Tout cela devient vérifiable en cas de contrôle ANSSI.

Notre quiz d'évaluation NIS2 ci-dessous porte spécifiquement sur les 9 dimensions matérielles de la conformité. À la fin, vous obtenez votre score de cyber-résilience /100, votre niveau de conformité (Non conforme / En retard / En cours / Conforme), et un plan d'action priorisé avec liens directs vers les équipements Topbiz adaptés.

🛡️ Quiz NIS2 — votre cyber-résilience matérielle en 60 sec

9 questions sur l'infrastructure · score de conformité /100 · plan d'action priorisé Topbiz

NIS2 : qui est concerné en 2026 ?

NIS2 cible 18 secteurs critiques avec deux niveaux d'exigence selon la taille et le secteur :

Catégorie	Critères taille	Secteurs	Niveau d'exigence
Entité essentielle	≥ 250 salariés OU CA ≥ 50 M€	Énergie, transports, banque, santé, eau, infrastructures numériques, espace, gouvernance	Le plus haut
Entité importante	≥ 50 salariés OU CA ≥ 10 M€	Postes, déchets, agroalimentaire, industrie, distribution, services numériques, R&D	Élevé
TPE / Hors secteur	< 50 salariés ET hors secteur listé	Tous les autres	Bonnes pratiques recommandées (mais pas obligatoires)
Sous-traitant	Selon contrat	Tout fournisseur d'une entité concernée	Hérité par contrat

⚠️ Particularité française importante : même si vous n'êtes pas directement concerné, si vous êtes fournisseur d'une entité essentielle ou importante, vous devez démontrer votre conformité dans le cadre de la chaîne d'approvisionnement (article 21 de la directive). Beaucoup de PME découvrent NIS2 par leurs clients, qui leur imposent contractuellement le niveau de sécurité.

Les 9 mesures NIS2 qui touchent au matériel

NIS2 impose 10 mesures techniques et organisationnelles. Voici celles qui ont un impact direct sur votre infrastructure matérielle :

Mesure NIS2	Traduction matérielle	Catégorie Topbiz
Politique de sauvegarde	NAS d'entreprise + sauvegarde cloud + sauvegarde hors site	NAS
Continuité électrique	Onduleurs (UPS) sur serveurs, NAS, équipements réseau	Onduleurs
Contrôle d'accès physique	Systèmes de sécurité connectés, capteurs, badges	Sécurité connectée
Surveillance vidéo	Caméras IP, caméras PTZ, stockage sécurisé	Caméras
Sécurité périmétrique réseau	Pare-feu next-gen, switches managés, équipements VLAN	Sécurité réseau
Authentification forte (MFA)	Tokens hardware, lecteurs biométriques, smartcards	Configurations sur PC pro
Modernité du parc	PC compatibles Windows 11 (TPM 2.0), serveurs récents	PC pro entreprise
Capteurs alerte (intrusion)	Capteurs porte/fenêtre, alarmes connectées	Capteurs
Plan de continuité (PCA/PRA)	Infrastructure redondante, sauvegardes restaurables	Architecture combinée

Sanctions NIS2 : à quoi vous exposez-vous ?

Type de sanction	Entité essentielle	Entité importante
Amende administrative	Jusqu'à 2 % du CA annuel (plafond légal 10 M€ pour grands groupes)	Jusqu'à 1,4 % du CA annuel (plafond légal 7 M€)
Responsabilité dirigeants	Jusqu'à 2 ans de prison + interdiction de gérer (négligence grave)	Mêmes peines applicables
Suspension d'activité	L'ANSSI peut imposer une suspension totale ou partielle	Idem
Publicité de la sanction	Publication obligatoire (effet réputationnel)	Idem

À titre comparatif, RGPD a déjà sanctionné Google de 50 M€ en 2019 et British Airways de 22 M€. NIS2 a un dispositif de sanction comparable, voire supérieur sur les manquements de cybersécurité.

Plan d'action NIS2 en 90 jours

Pour une PME concernée non encore conforme, voici le plan d'attaque structuré que recommande l'ANSSI :

Jours 1-30 : Audit et fondamentaux

Audit complet du parc et de l'infra (interne ou prestataire qualifié)
Mise en place d'une sauvegarde 3-2-1 avec test de restauration
Activation de la MFA sur tous les comptes admins, puis utilisateurs
Déploiement d'onduleurs sur les serveurs et équipements critiques

Jours 31-60 : Sécurisation périmétrique

Remplacement de la box internet par un pare-feu next-gen (NGFW)
Segmentation du réseau (VLAN, séparation équipements / utilisateurs / IoT)
Installation de caméras IP sur les locaux IT critiques
Mise en place du contrôle d'accès (badges, capteurs intrusion)

Jours 61-90 : Documentation et résilience

Rédaction du PCA (Plan de Continuité d'Activité) et PRA (Plan de Reprise d'Activité)
Test grandeur nature du PRA (scénario incendie, ransomware, blackout)
Formation sensibilisation cyber des collaborateurs (phishing, mots de passe, MFA)
Inscription au portail MonEspaceNIS2 de l'ANSSI pour déclaration

FAQ — NIS2 et cybersécurité matérielle

Comment savoir si mon entreprise est concernée par NIS2 ?

Croisez 2 critères : (1) secteur d'activité et (2) taille. Si vous êtes dans un des 18 secteurs listés (énergie, transport, santé, eau, banque, postes, déchets, agroalimentaire, industrie, services numériques, R&D, etc.) ET que vous avez ≥ 50 salariés OU ≥ 10 M€ de CA, vous êtes entité importante. Si vous dépassez 250 salariés ou 50 M€ de CA dans un secteur critique, vous êtes entité essentielle. Vérifiez sur le portail MonEspaceNIS2 de l'ANSSI qui contient un test d'éligibilité officiel. Et si vous êtes sous-traitant d'une entité concernée, vous héritez des obligations par contrat.

NIS2 et RGPD, c'est la même chose ?

Non, mais ils se complètent. RGPD protège les données personnelles (clients, salariés). NIS2 protège la continuité opérationnelle et la sécurité globale du système d'information. Une PME peut être conforme RGPD sans l'être NIS2, et inversement. La conformité aux deux est souvent recherchée ensemble car elles partagent des mécanismes communs (chiffrement, sauvegardes, gestion des accès).

Faut-il un RSSI dédié pour être conforme NIS2 ?

Pas obligatoire mais fortement recommandé. NIS2 impose la désignation d'un « responsable de la sécurité des systèmes d'information » au sein de la gouvernance, avec une remontée régulière au comité de direction. Pour une PME, ce rôle peut être assuré par le DSI, le DAF, ou externalisé via un RSSI à temps partagé (CISO as a Service). L'important est qu'il y ait un nom, une responsabilité, et une formation reconnue.

Combien coûte la mise en conformité NIS2 pour une PME de 50 personnes ?

Selon le niveau de départ, comptez 15 000 à 80 000 € en investissement initial pour une PME de 50 personnes. Répartition typique : sauvegarde + NAS (3 000 à 8 000 €), onduleurs (2 000 à 6 000 €), pare-feu next-gen (5 000 à 15 000 €), contrôle d'accès + vidéosurveillance (5 000 à 20 000 €), audit + accompagnement (5 000 à 20 000 €), formation (1 000 à 5 000 €). Pour une PME de 8 M€ de CA, l'amende maximale s'élève à 2 % = 160 000 €. À comparer au coût moyen d'un ransomware en France (260 000 € sur PME). Le ROI cybersécurité reste largement positif.

Quels sont les délais réels de NIS2 en France ?

La directive NIS2 a été publiée en décembre 2022 par l'UE. La France l'a transposée en loi REIA en octobre 2024. Le décret d'application est publié depuis 2025. Les entités essentielles et importantes doivent s'enregistrer auprès de l'ANSSI sous 5 mois à compter de l'entrée en vigueur, et être conformes sous 12 à 18 mois maximum. Les premiers contrôles ANSSI ont commencé en 2025 avec une approche pédagogique, mais 2026 marque le passage en mode contrôle strict avec sanctions. Si vous n'avez pas démarré, c'est urgent.

Une cyberassurance peut-elle remplacer la conformité NIS2 ?

Non. NIS2 est une obligation légale, la cyberassurance est un transfert de risque financier en cas d'incident. Les deux sont complémentaires mais pas substituables. De plus, la quasi-totalité des cyberassureurs exigent désormais un niveau minimal de sécurité (équivalent NIS2) pour souscrire ou maintenir la police. Sans MFA, sans sauvegarde testée et sans EDR, vous trouverez de plus en plus difficilement à vous assurer en 2026.

Mon hébergeur cloud est-il responsable à ma place ?

Non, NIS2 fonctionne sur le principe de responsabilité partagée. Votre hébergeur cloud (OVH, AWS, Azure...) est responsable de la sécurité de son infrastructure (data center, hyperviseurs, réseau). Vous restez responsable de la sécurité dans son infrastructure (vos VM, vos comptes utilisateurs, vos sauvegardes, vos accès). Si vous délivrez les bonnes clés à un attaquant via une phishing, ce n'est pas la faute de l'hébergeur. NIS2 vous oblige à durcir votre périmètre côté entreprise, indépendamment du choix d'hébergement.

🛡️ Découvrir la gamme cybersécurité Topbiz pour NIS2 ↗

📋 Avertissement juridique : ce quiz fournit une évaluation indicative du niveau de conformité matériel à la directive NIS2 (loi REIA française) basée sur les paramètres déclarés. La conformité réelle nécessite une analyse de risques personnalisée par un prestataire qualifié (audit ANSSI PASSI ou CESIN), incluant l'inventaire complet des systèmes d'information, l'analyse de vulnérabilités, la rédaction de la documentation requise (PSSI, PCA, PRA, registre des incidents), et l'enregistrement officiel auprès de l'ANSSI. Les recommandations matérielles ne dispensent pas des autres obligations NIS2 (gouvernance, gestion des risques, sécurité de la chaîne d'approvisionnement, formation). Topbiz ne saurait être tenu responsable d'une non-conformité résultant uniquement du suivi des recommandations de cet article. Pour un audit officiel personnalisé, contactez notre service commercial.