Qui est concerné par la directive NIS2 ?

Le texte vise les organisations relevant de 18 secteurs stratégiques qui franchissent certains seuils. On parle d'entité essentielle (EE) dès 250 salariés OU 50 M€ de chiffre d'affaires OU 43 M€ de bilan, sur les secteurs hautement critiques (annexe I). On parle d'entité importante (EI) entre 50 et 249 salariés OU 10 à 50 M€ de CA OU 10 à 43 M€ de bilan, sur les secteurs critiques (annexe II) ou hautement critiques. La liste couvre notamment l'énergie, les transports, la santé, la banque, les infrastructures numériques, l'administration, la fabrication, les fournisseurs numériques, la chimie, l'agroalimentaire, la recherche, les services postaux et la gestion des déchets. La France passe ainsi de 500 entités (NIS1) à un ordre de 10 000 à 15 000. Le Luxembourg en compte environ 6 000 à 8 000.

Quelles sont les sanctions en cas de non-conformité NIS2 ?

Côté entité essentielle, l'amende grimpe jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le plus élevé des deux l'emportant. Côté entité importante, le plafond est de 7 millions d'euros ou 1,4 % du CA mondial annuel. Les sanctions financières ne sont pas tout : un dirigeant peut voir sa responsabilité personnelle engagée, avec interdiction temporaire d'exercer en cas de négligence caractérisée. L'autorité de tutelle (ANSSI en France, ILR au Luxembourg, CSSF pour la finance luxembourgeoise) peut aussi geler certaines activités lors d'un manquement sérieux.

Quelles sont les obligations techniques concrètes imposées par NIS2 ?

L'article 21 attend une cybersécurité traitée de bout en bout : cartographie des risques et politique de sécurité écrite, dispositif de gestion des incidents, audits et tests menés régulièrement, formation suivie des collaborateurs, maîtrise des accès avec authentification forte, journalisation et supervision du SI, chiffrement des données sensibles, sécurisation de la chaîne de fournisseurs et sous-traitants, plan de continuité et de reprise après sinistre, et signalement des incidents majeurs à l'autorité nationale sous 24 heures (alerte) puis 72 heures (rapport détaillé). L'engagement formalisé de la direction figure noir sur blanc dans le texte, avec responsabilité personnelle des dirigeants.

Combien coûte une mise en conformité NIS2 pour une PME ?

Pour une PME classée entité importante (50 à 249 salariés), prévoyez 8 000 à 20 000 € HT pour le diagnostic et le cadrage, puis 30 000 à 150 000 € HT pour la mise en conformité selon le niveau de départ. Pour une entité essentielle (250 salariés et plus), comptez 20 000 à 50 000 € HT pour le diagnostic et le cadrage, puis 80 000 à 300 000 € HT et au-delà pour le déploiement selon la complexité du SI. À ce coût projet s'ajoute un coût récurrent (surveillance, audits, formation) de l'ordre de 10 à 30 % du budget initial par an. La facture finale dépend surtout du point de départ en matière de sécurité.

Par où commencer la mise en conformité NIS2 en 2026 ?

Trois premiers gestes concrets. 1) Auto-évaluation : déterminer l'assujettissement à partir des seuils et des secteurs. En France, on s'inscrit sur MonEspaceNIS2 (cyber.gouv.fr) ; au Luxembourg, sur le portail ILR dès avril 2026. 2) Audit de maturité cyber : inventaire des actifs, des risques et des pratiques en place, confrontés aux 10 mesures de l'article 21. Sortie : un rapport d'écarts. 3) Plan de mise en conformité hiérarchisé : gains rapides, travaux de fond, trajectoire. Embarquez la direction dès le diagnostic : NIS2 réclame une gouvernance cyber documentée au plus haut niveau, avec responsabilité personnelle des dirigeants. Ce n'est pas qu'une affaire d'informaticiens.

NIS2 2026 : suis-je concerné ? Secteurs, échéances, amendes

Signé Driss Redouane · Actualisé le 14 mai 2026 · Lecture : 12 min

La directive NIS2 (Network and Information Security 2, règlement UE 2022/2555) n'est plus un sujet d'experts : elle se traduit désormais en obligations très concrètes. Bruxelles avait posé une butée au 17 octobre 2024 pour transposer le texte ; cette date a filé sans que plusieurs États, dont la France et le Luxembourg, ne s'y conforment. En France, la Loi Résilience avance pas à pas, avec un examen attendu en séance publique à l'Assemblée nationale en juillet 2026 et une promulgation espérée pour l'été. Au Luxembourg, le projet de loi 8364 est passé en séance publique le 28 avril 2026, sa publication au Journal officiel suivant de quelques semaines. La note, en cas de défaillance, peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour une entité essentielle.

Je rédige ce dossier à l'intention des dirigeants, DSI, RSSI et DPO qui pilotent des PME et des ETI exposées à la directive, aussi bien côté français que luxembourgeois. J'y aborde, dans l'ordre : le champ d'application précis avec ses seuils, les exigences techniques de l'article 21, l'état d'avancement de chaque transposition nationale, la démarche pas à pas, les enveloppes budgétaires à anticiper et les écueils que je croise réellement en intervention. Tout repose sur des références accessibles à tous : ANSSI (cyber.gouv.fr), HCPN, ILR, CSSF, Légifrance, Légilux et la Chambre des députés luxembourgeoise.

En 30 secondes : suis-je concerné par NIS2 ?

Tout repose sur deux conditions qui se cumulent : relever d'un secteur inscrit à l'annexe I (hautement critique) ou à l'annexe II (critique), et franchir les seuils de taille. Quand plusieurs lignes du tableau correspondent à votre situation, retenez la plus exigeante.

Votre profil	Vous êtes	Échéance	Premier geste
À partir de 250 salariés OU 50 M€ de CA OU 43 M€ au bilan, sur un domaine de l'annexe I (énergie, transport, santé, banque, infrastructures numériques, administration publique, eau, espace).	Entité essentielle (EE)	Exigible à compter de l'entrée en vigueur de la Loi Résilience côté français, ou de la loi 8364 côté luxembourgeois, dans le courant de 2026.	S'enregistrer sur MonEspaceNIS2 (FR) ou sur le portail ILR (LU), puis lancer l'audit de maturité cyber (phase 1).
De 50 à 249 salariés OU 10 à 50 M€ de CA OU 10 à 43 M€ au bilan, sur un domaine relevant de l'annexe I comme de l'annexe II (fabrication, services numériques, chimie, agroalimentaire, recherche, services postaux, déchets).	Entité importante (EI)	Même échéance, encadrée par les mêmes textes nationaux.	Mêmes premiers gestes, mais avec une supervision a posteriori, contrairement au suivi continu des EE.
Acteur DNS, registre de noms de domaine de premier niveau (TLD), prestataire de services de confiance qualifié, ou bureau d'enregistrement de noms de domaine.	Concerné quelle que soit la taille	Même calendrier.	Enregistrement imposé, suivi d'un audit de maturité cyber.
Vous opérez comme sous-traitant ou fournisseur sensible d'une EE ou d'une EI (hébergeur, infogérance, intégrateur, SaaS métier critique, prestataire MSP).	Concerné par effet de cascade	Au rythme des exigences contractuelles posées par vos clients EE/EI.	Passer votre chaîne au crible et préparer les clauses de sécurité qui figureront aux contrats.
En dessous de 50 salariés ET de 10 M€ de CA, en dehors des activités critiques nommément visées.	Non concerné	-	Pas d'obligation NIS2 directe ; les bonnes pratiques ANSSI / ILR restent toutefois conseillées.

Deux zones d'incertitude reviennent sans cesse : savoir si l'on appartient bien à un secteur visé (les annexes I et II ratissent plus large qu'on ne l'imagine, notamment du côté des infrastructures numériques et de la fabrication) et déterminer quelles entités du groupe doivent entrer dans le périmètre (filiales, holdings, succursales). Pour lever le doute, l'auto-évaluation officielle — MonEspaceNIS2 en France, le portail ILR au Luxembourg — donne la réponse.

Ce que les PME et ETI doivent garder en tête : avec NIS2, la France passe de 500 entités assujetties sous NIS1 à une fourchette de 10 000 à 15 000. Le Luxembourg, lui, en dénombre de l'ordre de 6 000 à 8 000. Quantité de PME et d'ETI réalisent qu'elles tombent désormais dans le champ alors que NIS1 les épargnait.

Calendrier NIS2 : le point d'étape mi-2026

Jalons européens et nationaux

27 décembre 2022 : parution de la directive UE 2022/2555 au Journal officiel de l'Union européenne.
17 octobre 2024 : butée fixée à chaque État membre pour transposer le texte. Plusieurs pays accusent un retard.
15 octobre 2024 : passage en Conseil des ministres, en France, du projet de Loi Résilience.
11-12 mars 2025 : feu vert du Sénat français sur ce même projet de Loi Résilience.
10 septembre 2025 : étude en commission spéciale à l'Assemblée nationale, sur une mouture remaniée du texte.
17 mars 2026 : diffusion par l'ANSSI d'une version de travail du ReCyF (Référentiel Cyber France), qui précise les mesures conseillées pour répondre aux objectifs NIS2 ; la version définitive arrivera une fois la Loi Résilience promulguée.
Avril 2026 : mise en service de l'auto-enregistrement sur le portail ILR luxembourgeois, le projet de loi 8364 étant débattu en séance publique à la Chambre des députés le 28 avril 2026.
Premier semestre 2026 : promulgation envisagée de la Loi Résilience, suivie au deuxième trimestre 2026 de la parution des décrets et arrêtés techniques.
Janvier 2027 : lancement des contrôles complets côté luxembourgeois.

Les exigences NIS2 deviendront opposables aux entreprises visées au moment précis où les textes nationaux entreront en vigueur (loi accompagnée de ses décrets en France, loi 8364 au Luxembourg). Compte tenu de l'avancée des deux parcours législatifs, on table sur une application réelle au cours de l'année 2026 de part et d'autre. Quant aux travaux de mise en conformité, ils s'étalent en général sur 4 à 8 mois pour une structure dont la maturité cyber se situe dans la moyenne.

Repousser le démarrage jusqu'à la publication des textes fait courir trois dangers : des créneaux d'audit qui se raréfient chez les cabinets spécialisés au fil de 2026, l'impossibilité de mener à bien le cadrage puis le déploiement avant les premiers contrôles, et un risque cyber bien réel qui, lui, ne se met pas en pause le temps de l'attente.

Champ d'application : seuils et activités visées

Par rapport à NIS1, NIS2 fait exploser le périmètre : la France bascule de 500 organisations à 10 000 à 15 000 entreprises. L'assujettissement tient à deux conditions qui jouent ensemble : figurer dans un secteur inscrit aux annexes de la directive, et dépasser les seuils de taille.

Deux familles d'entités

Entités essentielles (EE)

Seuils : au-delà de 250 collaborateurs, ou plus de 50 M€ de chiffre d'affaires annuel, ou plus de 43 M€ au bilan annuel.
Domaines hautement critiques (annexe I) : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable et assainissement, infrastructures numériques (datacenters, DNS, cloud), gestion des services TIC, administration publique, espace.
Régime renforcé avec une supervision proactive (ex ante) et des amendes pouvant grimper à 10 M€ ou 2 % du CA mondial.

Entités importantes (EI)

Seuils : entre 50 et 249 collaborateurs, ou 10 à 50 M€ de chiffre d'affaires annuel, ou 10 à 43 M€ au bilan annuel.
Domaines critiques (annexe II) : services postaux, gestion des déchets, production de substances chimiques, agroalimentaire, industrie manufacturière, fournisseurs de services numériques, recherche.
Régime allégé face aux EE, avec une supervision réactive (ex post) et des amendes plafonnées à 7 M€ ou 1,4 % du CA mondial.

Dès qu'une entreprise coche les critères, elle relève de plein droit de NIS2, qu'une notification officielle lui soit parvenue ou non. Si aucun courrier ne lui est adressé, c'est à elle de se déclarer spontanément. Autrement dit, ne pas avoir reçu de lettre de l'ANSSI n'exonère en rien de l'obligation de conformité.

Cas à part : sous-traitants et fournisseurs

Même sous les seuils NIS2, une entreprise peut subir un effet ricochet : les entités essentielles et importantes sont tenues de verrouiller leur chaîne d'approvisionnement. En pratique, un prestataire qui délivre un service numérique critique à une EE ou à une EI se verra évalué à l'aune des critères NIS2, sans pour autant y être directement soumis. Tout l'écosystème des sous-traitants IT finira ainsi par s'aligner sur ce niveau d'exigence.

Les 18 secteurs visés, passés au crible

À travers ses annexes I et II, la directive UE 2022/2555 recense 18 secteurs, classés en deux groupes. Dès lors qu'un sous-secteur de cette liste correspond à votre activité et que vous franchissez les seuils de taille, vous tombez dans le champ. Les hésitations portent le plus souvent sur les infrastructures numériques (annexe I, au périmètre étendu) et sur l'industrie manufacturière (annexe II, qui rassemble à elle seule 6 sous-secteurs distincts).

Annexe I - 11 secteurs hautement critiques

Dans cette première liste, le statut dépend uniquement de la taille : franchir la barre EE (à partir de 250 salariés, ou 50 M€ de CA, ou 43 M€ au bilan) vous range parmi les entités essentielles (EE) ; rester dans la tranche intermédiaire (de 50 à 249 salariés, ou 10 à 50 M€ de CA, ou 10 à 43 M€ au bilan) vous classe en entité importante (EI).

Secteur	Sous-secteurs couverts
1. Énergie	Production et distribution d'électricité, filières pétrole, gaz et hydrogène, sans oublier les réseaux urbains de chaleur et de froid.
2. Transports	Quatre modes : aérien (transporteurs, plateformes aéroportuaires, gestion du trafic), rail (gestionnaires de réseau et exploitants), voie d'eau maritime et fluviale (autorités portuaires, armateurs), route (exploitants de voirie et systèmes de transport intelligents).
3. Secteur bancaire	Tout établissement de crédit au sens du règlement UE 575/2013, qu'il s'agisse d'une banque de détail, d'une caisse d'épargne ou d'un acteur du crédit spécialisé.
4. Infrastructures des marchés financiers	Exploitants de places de marché (bourses et plateformes de négociation) et chambres de compensation faisant office de contrepartie centrale (CCP).
5. Santé	Établissements hospitaliers et cliniques, laboratoires de référence, laboratoires pharmaceutiques, producteurs de dispositifs médicaux réputés critiques et centres de recherche en santé.
6. Eau potable	Acteurs qui captent, traitent ou acheminent l'eau de consommation jusqu'aux usagers.
7. Eaux usées	Opérateurs assurant la collecte, le transport ou l'épuration des effluents, qu'ils soient d'origine urbaine, domestique ou industrielle.
8. Infrastructures numériques	Le cœur technique d'Internet : nœuds d'échange (IXP), résolveurs DNS, registres de TLD (extensions de domaine), opérateurs cloud et datacenters, réseaux de diffusion de contenu (CDN), prestataires de confiance qualifiés eIDAS et réseaux télécoms ouverts au public.
9. Gestion des services TIC (B2B)	Opérateurs qui gèrent l'IT pour le compte d'autrui : MSP, MSSP spécialisés en sécurité et infogérants jugés critiques.
10. Administration publique	Les services de l'État au niveau central. Libre à chaque pays d'étendre le périmètre aux collectivités régionales et locales ; c'est l'option retenue par la France dans son texte de transposition, encore débattu au Parlement — la Commission européenne ayant ouvert une procédure d'infraction en mai 2025 pour ce retard.
11. Espace	Gestionnaires d'infrastructures spatiales au sol et fournisseurs de services satellitaires.

Annexe II - 7 secteurs critiques

Ici, dès que les seuils EI ou EE sont atteints, l'organisation est rangée parmi les entités importantes (EI). Le cadre y est moins lourd que pour les EE : la surveillance s'exerce a posteriori et l'amende ne peut dépasser 7 M€ ou 1,4 % du CA mondial.

Secteur	Sous-secteurs couverts
1. Services postaux et de courrier	Opérateurs en charge du service universel, transporteurs express et acheminement du courrier considéré comme critique.
2. Gestion des déchets	Entreprises pour lesquelles le traitement des déchets constitue le métier principal et la source de revenus.
3. Fabrication, production et distribution de substances chimiques	Sites de production et négociants de produits chimiques entrant dans le champ du règlement REACH.
4. Production, transformation et distribution alimentaire	Toute la filière alimentaire : exploitations agroalimentaires, unités de transformation, négoce de gros et hubs logistiques spécialisés dans l'alimentaire.
5. Industrie manufacturière (6 sous-secteurs)	a) dispositifs médicaux et DM de diagnostic in vitro (hors santé déjà couverte en annexe I) ; b) produits informatiques, électroniques et optiques ; c) matériel électrique ; d) machines et équipements ; e) véhicules, remorques et semi-remorques ; f) autres moyens de transport (aéronautique, ferroviaire, naval).
6. Fournisseurs numériques	Marketplaces, moteurs de recherche et plateformes de réseaux sociaux accessibles en ligne.
7. Recherche	Organismes de recherche du secteur public comme du privé dont la recherche forme l'activité dominante.

Cas particuliers : concernés quelle que soit la taille

Pour une poignée d'acteurs, la question des seuils ne se pose même pas : ils relèvent de NIS2 du seul fait de leur activité, y compris en dessous de 50 collaborateurs :

Les opérateurs de résolution DNS (Domain Name System), hormis ceux qui exploitent les serveurs racine.
Les registres gérant une extension de domaine de premier niveau (TLD) ainsi que les bureaux d'enregistrement.
Les prestataires de services de confiance qualifiés au sens d'eIDAS (signature électronique notamment).
L'administration publique centrale, c'est-à-dire l'appareil d'État pris globalement.
Toute organisation que l'autorité nationale décide de qualifier d'opérateur d'infrastructure critique : l'ANSSI en France et l'ILR au Luxembourg gardent la main pour intégrer d'office, même sous les seuils, une entité dont la défaillance produirait un effet majeur à l'échelle nationale ou transfrontalière.

Un doute sur votre rattachement sectoriel ? Le réflexe le plus fiable reste l'auto-évaluation officielle — MonEspaceNIS2 (cyber.gouv.fr) côté français, portail ILR (ilr.lu) côté luxembourgeois. Le questionnaire y est suffisamment précis pour lever l'ambiguïté, et il délivre un accusé de réception qui fera foi le jour d'un contrôle.

Les obligations techniques concrètes

La directive ne se contente pas de bonnes intentions : son article 21 fixe un socle de 10 mesures de sécurité à mettre en place. Entités essentielles et importantes ne sont pas logées exactement à la même enseigne sur le niveau de preuve attendu, mais la liste des chantiers, elle, reste identique.

Les 10 mesures minimales obligatoires

1. Gestion des risques et politique de sécurité écrite et validée par la direction.
2. Traitement des incidents : procédures cadrées, équipe identifiée, exercices périodiques.
3. Continuité et reprise : sauvegardes, dispositif PCA/PRA dont la restauration est réellement éprouvée.
4. Maîtrise de la chaîne d'approvisionnement : qualification des fournisseurs, clauses dédiées, surveillance des dépendances.
5. Sécurité dès la conception lors de l'achat comme du développement (security by design).
6. Mesure de l'efficacité : audits récurrents, tests d'intrusion, mises en situation de crise.
7. Hygiène cyber et montée en compétence des équipes, bien au-delà d'un module annuel en e-learning.
8. Chiffrement des informations sensibles, qu'elles soient stockées ou en circulation.
9. Gestion des accès : MFA, encadrement des comptes à privilèges, traçabilité des connexions.
10. Volet ressources humaines : arrivées et départs, sensibilisation, engagements de confidentialité.

Notification des incidents : obligation spécifique

Face à un incident significatif, le tempo imposé est serré : une première alerte dans les 24 heures, un signalement étayé sous 72 heures, puis un rapport de clôture à un mois, le tout adressé à l'ANSSI. Est jugé significatif tout événement susceptible de menacer la disponibilité du service ou l'intégrité des données. Beaucoup l'oublient au moment du cadrage : tenir ces délais suppose une équipe rodée, capable de qualifier puis de déclarer presque en temps réel.

Responsabilité de la direction

Le texte place la barre au sommet de l'organigramme : c'est aux dirigeants de valider la politique de gestion des risques, d'en piloter les indicateurs et d'en répondre. En cas de faute lourde, leur responsabilité personnelle est engageable, et l'ANSSI dispose même du pouvoir de leur interdire temporairement l'exercice de leurs fonctions si les manquements se répètent.

Autorités compétentes et état de la transposition

NIS2 confie à chaque pays le soin de nommer ses régulateurs et de bâtir son propre dispositif de contrôle. France et Luxembourg n'ont pas fait les mêmes choix d'organisation, et l'un comme l'autre finalisaient encore leur transposition quand j'ai rédigé ce dossier.

France : ANSSI au centre, Loi Résilience attendue 2026

Côté français, tout converge vers l'ANSSI (Agence nationale de la sécurité des systèmes d'information, cyber.gouv.fr) : c'est elle qui orchestre la transposition, fait tourner le guichet d'auto-évaluation MonEspaceNIS2, conduira les contrôles et qualifiera les sanctions. Le projet de Loi Résilience (relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité) a franchi le Sénat les 11-12 mars 2025, avant un passage en commission spéciale à l'Assemblée nationale le 10 septembre 2025. La séance publique est espérée en juillet 2026, sous réserve d'une session extraordinaire, pour une promulgation visée à l'été 2026 ; viendront ensuite les décrets et arrêtés techniques.

Le 17 mars 2026, l'ANSSI a dévoilé une version de travail du ReCyF (Référentiel Cyber France). Encore dépourvu de valeur contraignante, ce référentiel décrit concrètement comment répondre aux objectifs de sécurité de NIS2 ; sa mouture définitive paraîtra une fois la Loi Résilience promulguée. C'est sur ce document que je m'appuie pour charpenter une démarche de conformité française.

Luxembourg : architecture tripartite HCPN / ILR / CSSF

Le Luxembourg, lui, a réparti les rôles sur trois épaules. Le HCPN (Haut-Commissariat à la Protection nationale) tient le pilotage stratégique national et porte la voix du pays à Bruxelles (l'équivalent régalien de l'ANSSI). L'ILR (Institut luxembourgeois de régulation) surveille la plupart des secteurs et exploite l'unique portail d'auto-enregistrement. Enfin, la CSSF (Commission de surveillance du secteur financier) prend en charge les acteurs de la finance.

Déposé à la Chambre des députés le 13 mars 2024, le projet de loi n° 8364 a été débattu en séance publique le 28 avril 2026, à l'issue de plusieurs réunions de la Commission des Institutions (décembre 2024, puis février, mars et avril 2026). Promulgation et parution au Journal officiel devraient suivre sous quelques semaines. Le portail d'auto-enregistrement de l'ILR s'ouvre en avril 2026, avec une inscription rendue obligatoire pour chaque entité visée, tandis que les contrôles de gouvernance à part entière commenceront en janvier 2027. Au total, de 6 000 à 8 000 organisations luxembourgeoises sont dans le viseur.

Recoupement avec l'AI Act au Luxembourg

Particularité luxembourgeoise : l'ILR endosse un rôle supplémentaire en surveillant les déployeurs de systèmes d'IA à haut risque (au sens de l'AI Act) lorsqu'ils sont par ailleurs opérateurs de services essentiels selon NIS2. Une entreprise prise dans les deux régimes dispose donc d'un seul interlocuteur sur l'axe IA / résilience cyber — une simplification que ne connaît pas le modèle français, où ces dossiers se répartissent entre plusieurs autorités (ANSSI pour NIS2, CNIL et consorts pour l'AI Act).

Méthodologie de mise en conformité en 4 phases

Phase 1 : Qualification et audit (3 à 6 semaines)

Je commence par trancher la question de l'assujettissement (croisement seuils / secteur) et par situer l'entreprise dans sa catégorie, EE ou EI. On passe l'auto-évaluation, sur MonEspaceNIS2 en France ou sur le portail ILR au Luxembourg, puis je conduis l'audit de maturité cyber au regard des 10 mesures de l'article 21, en m'appuyant sur le ReCyF côté français ou les guidelines ILR côté luxembourgeois. Le livrable est un rapport d'écarts qui distingue l'acquis, le manquant et ce qui reste à mettre par écrit. Compter 8 000 à 20 000 € HT, selon l'ampleur du SI.

Phase 2 : Cadrage et plan d'action (2 à 4 semaines)

Vient le temps des arbitrages. Je classe les chantiers en trois niveaux : les gains immédiats (MFA, sauvegardes vérifiées, journalisation minimale), les travaux structurants (réponse à incident, PCA/PRA, verrouillage de la supply chain) et les chantiers de longue haleine (culture cyber, chiffrement généralisé). En sortie : une feuille de route calée sur l'entrée en vigueur des textes nationaux, un budget détaillé et des indicateurs de pilotage. La direction s'engage formellement à ce stade.

Phase 3 : Mise en œuvre (3 à 8 mois selon maturité)

Place à l'exécution : déploiement des briques techniques et organisationnelles, formation des collaborateurs, rédaction des politiques et procédures, essais de restauration, exercices de crise et simulations d'attaque, activation du canal de notification ANSSI. Comme plusieurs chantiers avancent de front, cette étape exige une coordination très serrée.

Phase 4 : Validation et documentation (2 à 4 semaines)

On clôt par une revue de conformité, menée en interne ou par un auditeur indépendant, la constitution du dossier de preuve réclamable lors d'un contrôle ANSSI, et la validation finale de la direction. L'entreprise entre alors en régime de croisière — supervision continue, audits annuels, procédures tenues à jour : la conformité quitte le mode projet pour devenir un état permanent.

Côté durée, je table sur 4 à 7 mois pour une PME classée EI, et plutôt 8 à 14 mois pour une ETI ou un grand compte EE doté d'un SI touffu. C'est précisément pourquoi je conseille d'attaquer le cadrage sans attendre la publication des textes : l'audit et l'analyse d'écarts ne dépendent en rien du calendrier parlementaire et font gagner de précieux mois.

Budget

Combien coûte une mise en conformité NIS2

Entité importante (50-249 employés)

Diagnostic et cadrage de départ : 8 000 à 20 000 € HT. Déploiement, fonction du point de départ : 30 000 à 150 000 € HT. Charge annuelle récurrente (supervision, audits, formation) : entre 10 et 30 % de l'enveloppe initiale.

Entité essentielle (250+ employés)

Diagnostic et cadrage : 20 000 à 50 000 € HT. Déploiement : de 80 000 à 300 000 € HT, voire davantage si le SI est complexe et géographiquement éclaté. Récurrent annuel : 50 000 € HT au minimum.

Grand compte ou entité stratégique

Diagnostic et cadrage : à partir de 50 000 € HT. Déploiement : de 300 000 € HT jusqu'à plusieurs millions selon le périmètre. À cette échelle, le projet réunit forcément plusieurs intervenants : conseil cyber, intégrateur, juristes et formateurs.

Tout dépend, en réalité, du niveau de sécurité déjà atteint. Une structure certifiée ISO 27001 ou dotée d'un SOC restera nettement sous ces ordres de grandeur ; à l'inverse, une organisation dépourvue de gouvernance cyber formalisée les dépassera.

Points de vigilance observés sur le terrain

1. La chaîne d'approvisionnement est sous-estimée

Sécuriser sa supply chain, concrètement, c'est passer en revue chacun de ses fournisseurs numériques sensibles : hébergeurs, éditeurs SaaS, intégrateurs, prestataires de développement. Il faut rédiger les clauses contractuelles, suivre les incidents survenant chez ces tiers et prévoir un plan B si l'un d'eux décroche de la conformité. À lui seul, ce chantier mobilise volontiers 2 à 4 mois.

2. La notification sous 24h est un vrai sujet opérationnel

Tenir les 24 heures relève de l'exploit sans procédure écrite ni équipe préparée. Il faut une astreinte (ou un SOC managé), une grille de décision pour caractériser l'incident significatif et une ligne directe avec le régulateur national (ANSSI en France, ILR au Luxembourg). Et tout cela se répète en exercice, régulièrement.

3. La responsabilité de la direction est juridique, pas cosmétique

Une simple ligne dans le rapport annuel ne suffira pas. La direction doit garder la trace écrite de ses revues de risques, de ses choix et de ses validations de plans de conformité. Le jour d'un contrôle, on réclamera ces pièces. Mon conseil : les formaliser dès la phase 2.

4. Tension sur les profils RSSI et cybersécurité

Les 10 à 15 000 organisations visées partent toutes à la chasse aux mêmes compétences, au même instant. Les RSSI internes deviennent une denrée rare et les consultants chevronnés des cabinets se remplissent au fil de 2026. Arriver tard, c'est affronter un marché plus rare en disponibilités et des tarifs journaliers gonflés au quatrième trimestre 2026.

5. Les sanctions vont graduellement monter en puissance

La première année suivant l'entrée en vigueur, je m'attends à ce que l'ANSSI comme l'ILR misent d'abord sur l'accompagnement et la mise en demeure plutôt que sur l'amende maximale. Mais la pression montera ensuite, année après année, pour donner du poids à la directive. Temporiser n'est donc pas une option viable — d'autant que la menace cyber, elle, n'a que faire du calendrier réglementaire.

FAQ

Questions fréquentes

Sont visées les organisations actives dans l'un des 18 secteurs stratégiques et qui franchissent les seuils prévus. On bascule en entité essentielle (EE) dès 250 salariés OU 50 M€ de CA OU 43 M€ de bilan annuel ; en entité importante (EI) entre 50 et 249 salariés OU 10 à 50 M€ de CA OU 10 à 43 M€ de bilan. Résultat : la France grimpe de 500 entités sous NIS1 à un volume de 10 000 à 15 000, et le Luxembourg en recense de l'ordre de 6 000 à 8 000.

Bruxelles avait fixé la butée de transposition au 17 octobre 2024, un délai que plusieurs pays — dont la France et le Luxembourg — n'ont pas tenu. France : Loi Résilience votée au Sénat les 11-12 mars 2025, travaillée à l'Assemblée nationale le 10 septembre 2025, séance publique espérée en juillet 2026 (sous réserve d'une session extraordinaire), promulgation visée à l'été 2026 et décrets dans la foulée ; l'ANSSI a sorti une version de travail du ReCyF le 17 mars 2026. Luxembourg : projet de loi 8364 déposé en mars 2024, débattu en séance publique le 28 avril 2026, promulgation et parution au Journal officiel attendues sous quelques semaines ; l'auto-enregistrement ILR ouvre en avril 2026 et les contrôles complets démarrent en janvier 2027. Dans les deux cas, les obligations deviennent exigibles dès l'entrée en vigueur des textes nationaux.

Pour une entité essentielle, le plafond monte à 10 millions d'euros ou 2% du CA mondial annuel, le montant le plus élevé étant retenu. Pour une entité importante, il s'établit à 7 millions d'euros ou 1,4% du CA mondial. Mais l'argent n'est pas la seule menace : un dirigeant peut voir sa responsabilité personnelle engagée, jusqu'à une interdiction temporaire d'exercer. Et le régulateur (ANSSI en France, ILR au Luxembourg, CSSF pour la finance luxembourgeoise) peut geler certaines activités face à un manquement grave.

L'article 21 fixe 10 mesures socles : gestion des risques documentée, traitement des incidents, PCA/PRA, maîtrise de la supply chain, sécurité dès la conception, audits réguliers, montée en compétence continue, chiffrement, gestion des accès (le MFA s'imposant de fait) et volet RH. S'y ajoute le signalement de tout incident significatif au régulateur (ANSSI en France, ILR au Luxembourg) en 24 heures pour l'alerte, 72 heures pour le rapport détaillé. L'engagement formel de la direction est exigé, assorti de la responsabilité personnelle des dirigeants.

Une PME rangée en entité importante (50 à 249 salariés) prévoira 8 000 à 20 000 € HT pour le diagnostic et le cadrage, puis 30 000 à 150 000 € HT de mise en conformité selon son niveau de départ. Pour une entité essentielle (250 salariés et plus), comptez 20 000 à 50 000 € HT de diagnostic et cadrage, puis 80 000 à 300 000 € HT, voire davantage, de déploiement. À cela s'ajoute un récurrent annuel équivalent à 10 à 30% du budget initial.

Je résume à trois gestes. 1) L'auto-évaluation : confronter sa situation aux seuils et aux secteurs, puis s'enregistrer sur MonEspaceNIS2 (France) ou le portail ILR (Luxembourg, dès avril 2026). 2) L'audit de maturité cyber sur les 10 mesures de l'article 21, ReCyF à l'appui côté français, dont sort un rapport d'écarts. 3) Un plan de conformité hiérarchisé : gains rapides, travaux de fond, feuille de route. Et surtout, embarquer la direction dès l'audit — sa responsabilité personnelle est en jeu, ce n'est pas qu'un sujet d'informaticiens.

Ressources liées

Un projet de mise en conformité NIS2 ?
Parlons-en directement.

Échanger sur votre conformité NIS2

Nous contacter

Nous suivre