The NIS2 Directive (EU 2022/2555) strengthens cybersecurity in Europe and expands the scope of French companies concerned. It imposes strict obligations regarding governance, risk management, and incident notification, placing responsibility directly at the executive level. For managers, this is no longer just an IT project: NIS2 transforms cyber risk into an operational and strategic issue, with significant penalties for non-compliance.
The NIS2 directive replaces the initial NIS1 framework and significantly strengthens cybersecurity obligations across the European Union. (Source: EUR-Lex — Directive (EU) 2022/2555) For French organizations, this is not a mere regulatory adjustment. This text broadens the scope of entities concerned, strengthens the supervision of authorities, and introduces direct management liability.
"NIS2 raises the EU common level of ambition on cybersecurity, through a wider scope, clearer rules and stronger supervision tools." (Source: European Commission — NIS2 Policy)
Under NIS1, only entities providing essential services and certain digital service providers were covered. NIS2 now extends this framework to a much wider range of sectors as well as medium to large enterprises.
Key changes include:
For many French companies not covered by NIS1, NIS2 now creates direct compliance obligations.
Key takeaway for managers: Where NIS1 covered approximately 10,000 to 15,000 entities in the EU, NIS2 now concerns over 160,000 at the European level.
The NIS2 directive distinguishes two categories:
Both categories must implement risk management measures and comply with incident notification obligations. However, essential entities are subject to a stricter level of oversight. (Source: NIS2 Directive: The Complete Guide for EU Compliance)
NIS2 applies to entities operating in the European Union, even when their parent company is established outside Europe. French subsidiaries of international groups must therefore independently comply with the directive if they meet the sectoral and size criteria. This creates a specific compliance risk for multinational organizations with activities in France. (Source: NIS-2-Directive.com — Official Text)
In France, the implementation and supervision primarily fall under ANSSI (National Agency for the Security of Information Systems). ANSSI already supervises certain entities under French cybersecurity law and will expand its scope of control under NIS2.
Its powers include:
Managers should expect more structured and frequent cybersecurity assessments from French authorities.
Member States were required to transpose NIS2 into their national law by October 17, 2024, at the latest. (Source: European Commission) France followed a more complex legislative path: the French government chose to integrate NIS2 into a broader legislative initiative concerning the resilience of critical infrastructures.
Point of attention: The French Senate adopted the transposition bill on March 12, 2025, but the text still required examination by the National Assembly. On May 7, 2025, the European Commission sent a reasoned opinion to France for failure to fully notify the transposition. (Source: European Commission — NIS2 France)
Increased controls are expected in 2025–2026, particularly in sectors already supervised by ANSSI.
France already has robust cybersecurity obligations for Operators of Vital Importance (OIV) and Operators of Essential Services (OSE). NIS2 extends these principles to a broader set of entities and harmonizes requirements at the European level.
For many organizations, NIS2 will not necessarily create entirely new technical standards, but will make more formal requirements regarding governance, traceability, and documentation mandatory.
The NIS2 directive applies to a wide range of 18 sectors in France. (Source: European Commission — NIS2)
These sectors were already covered by NIS1, but they are now subject to strengthened requirements for governance, incident reporting, and supervision.
Data centers, DNS service providers, cloud computing platforms, and managed service providers fall directly within the scope. This is particularly important for the rapidly growing French digital services ecosystem.
Manufacturers of critical products — particularly in the fields of medical devices or electronics — as well as certain public administrations are now concerned. This significantly broadens the regulatory scope.
The NIS2 directive provides for significant financial penalties:
Level of financial risk: These sanctions place cyber risk at a level comparable to those provided by GDPR. For entities with high global turnover, the percentage of turnover can far exceed the nominal ceiling. (Source: ISMS.online — NIS2 Fines)
"These are minimum thresholds. Member States can and have implemented higher penalties. Germany, for example, has set the cap at 20 million euros for essential entities."
General management and governing bodies must approve cyber risk management measures and oversee their implementation. In certain serious cases of non-compliance, authorities may impose temporary restrictions on the exercise of management functions. (Source: NIS2Directive.eu — Fines & Consequences)
Cybersecurity thus becomes a topic clearly falling under the board of directors and executive committee level — not just the IT department.
In the most serious situations, the competent authority may suspend certain individuals from exercising managerial functions if they have not complied with their compliance obligations. (Source: Threatscape — NIS2 Penalties)
Concerned entities must implement proportionate technical and organizational measures, including: (Source: NIS-2-Directive.com — Article 21)
Organizations must: (Source: EUR-Lex — Directive (EU) 2022/2555)
⚠️ Failure to comply with notification deadlines can, in itself, constitute a punishable breach. (Source: Legiscope)
Managers must assess and address cyber risks originating from suppliers and service providers. Compliance therefore does not solely concern the company's internal systems — it extends to the entire digital ecosystem.
If your organization falls within the scope of NIS2, cybersecurity becomes a managed operational risk, not just a technical project. The directive expects you to be able to demonstrate that the organization can prevent incidents, withstand them, and then restore its activities when essential services, revenues, security, or trust are threatened.
"NIS2 represents a paradigm shift in European cybersecurity regulation — it's not just about technical controls, it's about governance, accountability, and demonstrable risk management." (Source: Compliquest)
For French managers, the concrete change is simple: you will no longer be assessed solely on the existence of IT tools, but on the company's ability to demonstrate governance, traceability, and speed of response in line with the directive's requirements and ANSSI's supervision expectations.
The directive imposes "appropriate and proportionate" risk management measures, which primarily assumes a real understanding of the risks affecting services and their dependencies. (Source: NIS-2-Directive.com — Article 21)
This notably means:
Business continuity cannot be limited to an archived document. NIS2 requires concrete resilience measures such as backup management, recovery capabilities, and continuity planning, so that services can continue to operate or restart quickly after an incident.
Managers must ensure that the BCP and IT recovery plans are aligned with actual operational priorities — orders, patient flows, production lines, or customer support.
When an incident occurs, a clear chain of command must exist: who qualifies an incident as "significant," who validates notifications, who communicates with regulators or customers, and who leads the internal crisis unit.
NIS2 explicitly treats incident management and crisis coordination as fundamental controls, not as mere optional maturity elements.
The directive adopts a phased notification logic. (Source: EUR-Lex — Directive (EU) 2022/2555, Article 23) An early warning must be sent within 24 hours of becoming aware of a significant incident, indicating, where relevant, the suspected malicious origin and the potential cross-border impact.
An incident notification must then be provided within 72 hours, with an update on known elements and an initial assessment of the severity, impact, and, where available, indicators of compromise.
A final report must be submitted within one month. If the incident is still ongoing, a progress report is expected, followed by a final report within one month of its resolution.
🚫 An approach of "documenting later" is not compatible with NIS2.
NIS2 expressly includes supply chain security. (Source: NIS-2-Directive.com — Article 21) Managers must consider critical suppliers — cloud, MSP, ERP, OT maintenance, payment and identity tools — as an integral part of the risk perimeter.
This involves evaluating:
Contracts must reflect operational realities. They should notably provide for:
Due diligence should not be one-off. NIS2 imposes a logic of continuous monitoring: control of supplier performance, regular security reviews, and escalation mechanisms when a supplier incident threatens service continuity.
Do you have an executive sponsor for cyber risk, regular reporting, and records of decisions made regarding budget, priorities, and risk acceptance? NIS2 requires visible and reproducible oversight.
Proof files should be prepared, including:
📋 NIS2 golden rule: If you can't show it, the authority will generally consider it not to have been done.
Organize a two-hour simulation exercise this month — for example, on a ransomware or cloud outage scenario. Timestamp the decisions made and check if the organization would actually be able to notify within the legal deadlines of 24h and 72h.
Any identified gaps must be corrected quickly, whether they concern roles, contact lists, notification templates, or access to logs.
NIS2 imposes a profound evolution in how French organizations govern cybersecurity. Cyber risk becomes a management responsibility and not a task simply delegated to IT.
In practice, regulators will look for evidence showing that management has set a direction, approved measures, and ensured follow-up — in the same way it would for financial controls or security obligations.
For managers, the major change concerns proof. It is no longer enough to state that security exists. It is necessary to demonstrate:
These elements must appear in board minutes, internal policies, risk registers, supplier contracts, and incident logs.
The NIS2 directive explicitly raises the level of requirements applicable to the management body of concerned entities, whether essential or important. (Source: Threatscape — NIS2 Art. 20)
The board of directors, or equivalent body, must formally approve the organization's cyber risk management approach — policies, governance model, and major control decisions.
À mettre en place dès maintenant comme preuves au niveau du conseil :
La supervision ne consiste pas à recevoir une présentation une fois par an. Elle implique de poser des questions de fond et de suivre la mise en œuvre réelle des mesures.
Une supervision efficace se traduit notamment par :
La directive impose aux États membres de prévoir des mécanismes de contrôle effectifs, y compris des sanctions administratives significatives pour les entités et des mesures touchant à la gouvernance. Elle prévoit également des conséquences pouvant aller jusqu'à des restrictions liées à l'exercice de fonctions de direction, selon les modalités retenues dans la mise en œuvre nationale. (Source : NIS2Directive.eu — Sanctions)
🔑 Conséquence pratique pour les managers : En cas d'incident, les régulateurs demanderont ce que la direction a approuvé, financé et supervisé. Si les réponses sont insuffisantes, le risque de sanction augmente rapidement.
En France, l'ANSSI occupe une place centrale dans la préparation à NIS2 et a déjà publié des informations pratiques à destination des organisations qui se préparent à ce nouveau cadre. (Source : Commission européenne — NIS2 France)
Les organisations doivent s'attendre à recevoir des demandes de documentation et d'éléments de preuve démontrant que les mesures requises existent réellement et sont effectivement appliquées — et non simplement prévues.
Les inspections et les audits font partie des outils de supervision prévus par NIS2, en particulier à la suite d'un incident ou lorsque des faiblesses systémiques sont suspectées.
La directive renforce les mécanismes de contrôle. Les organisations peuvent recevoir des injonctions formelles leur imposant de corriger certaines lacunes dans des délais définis, avec des sanctions à la clé en cas de non-respect.
⚡ Contexte réglementaire actuel : La Commission européenne a adressé à la France un avis motivé le 7 mai 2025 pour défaut de notification complète de la transposition. (Source : Commission européenne — NIS2 France) Cela maintient une pression forte sur la mise en œuvre française et sur l'état de préparation des dispositifs de contrôle.
Ces défaillances sont fréquentes précisément parce qu'elles restent souvent invisibles jusqu'à ce qu'un régulateur ou un incident majeur les expose.
Lorsqu'il n'existe ni approbation formelle par le conseil, ni procès-verbal, ni attribution claire des responsabilités, ni cycle mesurable de reporting, cela traduit une gouvernance insuffisante aux yeux du régulateur.
Si les évaluations de risques sont informelles, incohérentes ou non reliées aux mesures de contrôle, l'organisation ne peut pas démontrer de manière crédible qu'elle applique un programme fondé sur le risque. Les recommandations de l'ENISA insistent elles aussi sur la nécessité de disposer d'éléments de preuve et d'une mise en œuvre structurée.
Un écart entre les risques identifiés et les mesures effectivement financées constitue une défaillance de gouvernance. Dans le cadre de NIS2, l'argument consistant à dire que l'organisation n'avait pas prévu de budget n'est pas une défense solide lorsque des services essentiels ou des risques de perturbation à grande échelle sont en jeu.
Créez un registre des cyberrisques porté par l'activité métier — et non uniquement par l'informatique — avec une revue à fréquence fixe. Exigez une validation du conseil pour les acceptations de risques majeurs, par exemple lorsqu'il s'agit de systèmes non maintenus, de fournisseurs à haut risque ou de remédiations différées.
Choisissez des indicateurs qui montrent l'efficacité réelle des contrôles et le niveau de résilience, par exemple :
NIS2 attend des organes de direction qu'ils disposent d'une formation leur permettant d'exercer une supervision éclairée. Cette formation doit porter sur les décisions à prendre en cas d'incident, les délais légaux de notification, le risque fournisseur et la communication de crise — et non sur un niveau de détail purement technique. (Source : Threatscape — NIS2 Art. 20)
C'est la première question à trancher, car les obligations au titre de NIS2 et l'intensité de la supervision dépendent directement de cette classification. La directive s'applique à 18 secteurs et s'appuie sur des critères tels que la criticité, la taille et, pour les entreprises, le chiffre d'affaires, avec des modalités précises définies dans la mise en œuvre nationale. (Source : AvePoint — NIS2 Guide)
Ce qu'un manager français doit faire immédiatement :
1) Disposons-nous d'une évaluation documentée des cyberrisques ? NIS2 repose sur des mesures de gestion des risques. Vous devez donc disposer d'un processus d'évaluation des risques reproductible, relié aux contrôles et aux priorités.
2) Sommes-nous prêts à respecter la règle de notification dans les 24 heures ? Les textes européens sont explicites : une alerte précoce dans les 24 heures, suivie d'une notification dans les 72 heures, puis d'un rapport final au plus tard dans le mois. (Source : EUR-Lex — Article 23) Votre processus de gestion des incidents doit être structuré dès maintenant autour de ces délais.
3) Savons-nous clairement ce qui constitue, pour nous, un incident significatif ? Si les équipes hésitent parce que les seuils d'impact ne sont pas définis, les délais seront manqués. Il faut définir à l'avance des seuils liés à la perturbation de service, à la sécurité, à la perte financière ou au préjudice pour les clients.
4) Suivons-nous réellement le niveau de sécurité de nos fournisseurs ? La sécurité de la chaîne d'approvisionnement fait partie des attentes centrales de NIS2. Si un fournisseur critique subit un incident, l'organisation reste exposée aux interruptions d'activité et aux obligations de notification.
5) Pouvons-nous prouver que notre continuité d'activité fonctionne, et pas seulement qu'elle existe sur le papier ? Les sauvegardes, les tests de restauration et les rôles de crise doivent être réels et testés — pas simplement documentés.
6) Les responsabilités sont-elles clairement attribuées entre les départements ? NIS2 n'est pas uniquement le problème du RSSI. Les responsables des systèmes, des fournisseurs et des processus doivent avoir des responsabilités définies et des points de validation formels.
7) Avons-nous, dès aujourd'hui, un dossier de preuves prêt à être présenté ? Si l'ANSSI demande des preuves, l'organisation ne doit pas commencer à chercher dans des fils d'e-mails et des documents dispersés.
Il faut raisonner en termes de démonstration. Les programmes les plus solides sont ceux dont les preuves sont organisées et tenues à jour.
Politiques de sécurité :
Procédures de gestion des incidents :
Plans de continuité d'activité :
Réalisez un exercice de type "parcours de preuve NIS2" : sélectionnez trois services clés et reconstituez la chaîne complète de maîtrise, depuis le risque jusqu'aux contrôles, au suivi, au plan de réponse à incident et aux preuves relatives aux fournisseurs.
Mettez en place une arborescence documentaire unique couvrant : la gouvernance, les évaluations de risques, les politiques, la due diligence fournisseurs, les exercices de gestion d'incident et les résultats des tests de continuité. Assurez-vous que les documents sont datés, approuvés et revus selon une fréquence définie.
Préparez une note exécutive d'une page présentant les principaux risques, les écarts majeurs, le plan de remédiation et le niveau de préparation au reporting. Cela permet aux managers de répondre de manière cohérente sous pression.
Jours 1 à 7 :
Jours 8 à 15 :
Jours 16 à 23 :
Jours 24 à 30 :
Les organisations françaises vivront NIS2 comme un élément d'un ensemble réglementaire européen plus large — et non comme une règle isolée.
Le RGPD impose déjà des mesures techniques et organisationnelles appropriées pour assurer la sécurité des traitements (article 32) ainsi qu'une notification des violations de données à l'autorité de contrôle dans un délai de 72 heures lorsque cela est possible (article 33).
NIS2 s'ajoute à ce cadre. Un même incident peut donc déclencher les deux régimes : perturbation de service d'un côté, atteinte à des données personnelles de l'autre. Pour les managers, cela implique de disposer d'un plan d'action unique mais distinguant clairement :
Les critères de décision et les horodatages doivent être explicites.
Le Cybersecurity Act de l'Union européenne renforce le mandat de l'ENISA et crée un cadre européen de certification en cybersécurité pour les produits, services et processus TIC. Cela est important car NIS2 insiste sur la sécurité de la chaîne d'approvisionnement. Les certifications peuvent donc devenir un outil permettant de démontrer la maturité cyber des fournisseurs dans les processus d'achat et de gestion du risque tiers.
L'AI Act (Règlement (UE) 2024/1689) ajoute des obligations de gouvernance pour les systèmes d'intelligence artificielle à haut risque, notamment des exigences liées à la gestion du risque et au signalement des incidents graves dans certains cas. (Source : AvePoint — NIS2 & AI Act) Si votre organisation utilise l'IA dans des opérations sensibles, les contrôles de cybersécurité et les mécanismes de traitement des incidents seront examinés à la lumière des attentes conjointes de NIS2 et de l'AI Act.
NIS2 élargit son champ d'application en s'appuyant sur une logique de seuil de taille : les entités moyennes et grandes opérant dans les secteurs couverts sont généralement concernées, sous réserve de certaines exceptions sectorielles. (Source : Compliquest)
C'est précisément la raison pour laquelle de nombreuses entreprises françaises de taille intermédiaire — qui ne se considéraient pas jusque-là comme des acteurs d'infrastructure critique — doivent désormais se préparer à des obligations de conformité, notamment dans : les services numériques, les services managés, les chaînes de sous-traitance industrielles et les écosystèmes de services réglementés.
La transposition française fait l'objet d'une attention soutenue au niveau européen (Source : Commission européenne — NIS2 France), y compris via un avis motivé de la Commission en raison de la non-notification complète de la transposition — ce qui souligne l'urgence persistante et l'intensification attendue de la supervision.
Le budget doit être cohérent avec les exigences fondées sur le risque de NIS2 ainsi qu'avec les délais de notification imposés. Cela signifie que l'organisation doit financer : des capacités de détection, des fonctions de triage, une coordination juridique et conformité, et des capacités de communication de crise.
L'investissement ne doit pas se limiter aux outils. La conformité NIS2 échoue souvent sur des fondamentaux de gouvernance : gestion des risques documentée, supervision des fournisseurs, rôles de crise et reporting au conseil.
Le budget devrait donc inclure des audits internes, des exercices de gestion d'incident, de la due diligence fournisseurs, du travail documentaire sur les politiques et de la gestion des preuves — en complément des dépenses plus techniques comme la supervision de sécurité, les contrôles d'identité, la gestion des correctifs, la sauvegarde et la restauration, et la journalisation.
Les assureurs demandent de plus en plus des preuves de contrôle et de gouvernance. Un registre des risques aligné sur NIS2, des preuves d'exercices de gestion d'incident et des contrôles fournisseurs solides peuvent améliorer les discussions de souscription et limiter les contestations de couverture après un incident. (Source : Copla — NIS2 Fines)
Il faut mettre en place une responsabilité partagée : l'IT et la sécurité pilotent les contrôles techniques, mais les opérations, les ressources humaines, les achats, le juridique et la communication doivent porter une partie du risque et de la réponse. Cette approche est indispensable pour respecter les délais de notification de 24h/72h et pour maîtriser l'exposition liée à la chaîne d'approvisionnement.
NIS2 relie explicitement la gouvernance à une supervision éclairée. La formation des dirigeants doit se concentrer sur la prise de décision pendant les incidents, la hiérarchisation des risques et l'approbation des mesures — plutôt que sur des détails techniques.
Il convient de passer d'évaluations annuelles à une logique d'assurance continue, avec des indicateurs portant sur : le respect des délais de correction, le succès des tests de sauvegarde, le niveau de couverture des fournisseurs critiques, les délais de détection des incidents, et l'état de préparation à la reprise.
In regulated markets, buyers are increasingly demanding concrete proof of cyber risk mastery. A NIS2-ready level of preparation becomes a signal of trust when accompanied by measurable controls and credible incident management.
Public procurement and contracts in critical sectors generally value organizations that can demonstrate structured risk management and effective supplier oversight. The use of European certification signals and NIS2-aligned governance can reduce friction in qualification processes.
For groups operating in several European Union countries, a NIS2-ready governance model ensures better cross-border consistency and faster response capabilities during multi-country incidents.
NIS2 is not an abstract threat. It is a regulatory framework already in force at the European level, whose application in France is intensifying. Managers who wait for an incident to comply will be taking avoidable financial, legal, and reputational risks.
"The era of discreet failures is over: cyber compliance failures are now a matter of public record and corporate credibility." (Source: ISMS.online — NIS2 Article 34)
The good news: organizations that invest now in robust governance, rigorous documentation, and a culture of resilience transform NIS2 compliance into a sustainable strategic advantage — with customers, regulators, and business partners.
Découvrez pourquoi la stratégie ESG est essentielle pour les entreprises françaises. Apprenez-en davantage sur les réglementations, la responsabilité des conseils d'administration, les risques ESG et...
Découvrez les 8 exigences obligatoires de la loi Sapin II pour les organisations françaises, de la cartographie des risques et la diligence envers les tiers...
Les délégués à la protection des données (DPD) jouent un rôle central en veillant à ce que les organisations se conforment aux lois sur la...