NIS2 est la deuxième directive européenne sur la sécurité des réseaux et systèmes d'information. Là où NIS1 ne visait que quelques centaines d'opérateurs critiques, NIS2 ratisse beaucoup plus large : en France, l'ANSSI estime entre 10 000 et 15 000 le nombre d'entités concernées, dont une majorité de PME et ETI qui n'avaient jamais eu d'obligation cyber formelle.
Qui est concerné
NIS2 distingue deux catégories. Les entités essentielles : énergie, transports, banque, santé, eau potable, infrastructures numériques, administration publique, espace. Les entités importantes : poste, gestion des déchets, chimie, agroalimentaire, fabrication d'équipements électroniques, fournisseurs numériques (cloud, marketplaces, moteurs), recherche.
Le seuil d'application est de 50 salariés ou 10 M€ de CA pour la plupart des secteurs. Mais attention : certains domaines (DNS, registres TLD, services managés) sont concernés sans seuil. Et la chaîne de sous-traitance subit la pression : un client NIS2 exigera contractuellement le même niveau de sécurité de ses prestataires, même non-soumis directement.
Les obligations concrètes
NIS2 impose dix mesures techniques et organisationnelles : politique de gestion des risques, gestion des incidents, continuité d'activité et sauvegarde, sécurité de la chaîne d'approvisionnement, sécurité des achats et du développement logiciel, évaluation de l'efficacité des mesures, hygiène cyber et formation, cryptographie, sécurité des ressources humaines et contrôle d'accès, MFA et communications sécurisées.
S'ajoute une obligation de notification très rapide à l'ANSSI : alerte précoce sous 24h, notification complète sous 72h, rapport final sous 1 mois. Tout incident significatif (impact sur la disponibilité, l'intégrité ou la confidentialité ayant un effet opérationnel) doit être déclaré.
Les sanctions, lourdes et personnelles
Les amendes peuvent atteindre 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes. Mais la grande nouveauté est la responsabilité personnelle des dirigeants : l'ANSSI peut suspendre temporairement un mandat exécutif en cas de manquement grave et répété. C'est la première fois qu'une directive cyber attaque directement la responsabilité individuelle des dirigeants.
Le rôle de l'assurance cyber
Une assurance cyber bien rédigée prend en charge plusieurs volets NIS2 : frais de notification ANSSI, accompagnement juridique pour les déclarations, gestion de crise, indemnisation des dommages. Certains contrats incluent même une assistance préventive (audit, plan de mise en conformité) bonifiée par l'assureur. Attention en revanche : les amendes administratives ne sont jamais assurables en France (article 1133 du Code civil sur la cause illicite). L'assurance ne paie pas l'amende ANSSI. Elle paie tout le reste.
Que faire concrètement aujourd'hui
Premièrement, vérifier votre éligibilité auprès de l'ANSSI (le portail MonEspaceNIS2 permet l'auto-déclaration). Deuxièmement, cartographier vos écarts par rapport aux dix mesures. Troisièmement, prioriser : MFA, sauvegardes immuables, plan de réponse à incident et formation constituent le socle minimal. Quatrièmement, contractualiser avec vos sous-traitants critiques. Cinquièmement, souscrire une assurance cyber alignée sur l'exposition.
Un mot d'ordre : ne pas attendre le premier contrôle. Les sanctions de l'ANSSI ne sont pas théoriques, plusieurs sont déjà tombées en 2025 sur des entités essentielles qui n'avaient pas déclaré un incident. Le tarif d'une mise en conformité plus assurance reste très inférieur à celui d'une amende ou d'un sinistre non couvert.