NIS 2 : comprendre la directive européenne et ses impacts pour les entreprises

17.09.2025

NIS 2 : comprendre la directive européenne et ses impacts pour les entreprises

Chez W hub, nous accompagnons les entreprises sur leurs projets IT les plus stratégiques. Et la cybersécurité en fait évidemment partie. Parmi les grandes évolutions réglementaires, la directive européenne NIS 2 est l’une des plus structurantes de ces dernières années. Pourtant, sa mise en œuvre en France prend du retard.

Alors, que change réellement NIS 2 ? Quels sont les risques de ce décalage ? Et surtout, comment les entreprises doivent-elles se préparer ?

NIS 2 : de quoi parle-t-on exactement ?

Adoptée en 2022 par l’Union européenne, la directive NIS 2 (Network and Information Security) vise à renforcer la cybersécurité en Europe. Elle succède à la première directive NIS de 2016, mais avec un périmètre beaucoup plus large et des obligations renforcées.

Concrètement, NIS 2 impose aux États membres de mettre en place un cadre commun de sécurité informatique, avec trois grands objectifs :

  1. Prévenir les cyberattaques grâce à des règles de sécurité plus strictes.

  2. Améliorer la gestion des incidents pour limiter les impacts en cas de crise.

  3. Garantir une protection homogène en Europe, afin d’éviter des écarts trop importants entre pays.

Quels secteurs sont concernés ?

La directive ne vise plus seulement les acteurs « critiques » traditionnels. Avec NIS 2, le champ s’élargit considérablement.

Deux grandes catégories sont distinguées :

  • Secteurs essentiels : énergie, transport, santé, eau, espace, finance, infrastructures numériques (cloud, data centers, DNS, TLD…).

  • Secteurs importants : services postaux, gestion des déchets, produits chimiques, agroalimentaire, fabrication de matériel informatique, fournisseurs numériques (e-commerce, marketplaces, moteurs de recherche, réseaux sociaux).

En clair : un très grand nombre d’acteurs économiques sont désormais directement concernés.

Quelles obligations pour les entreprises ?

Les organisations couvertes par NIS 2 devront appliquer des mesures strictes de cybersécurité, telles que :

  • Gouvernance et responsabilités claires : les dirigeants pourront être personnellement responsables en cas de non-conformité.

  • Gestion des risques renforcée : mise en place de politiques et de procédures pour sécuriser les systèmes critiques.

  • Obligation de notification : tout incident significatif devra être signalé aux autorités compétentes dans un délai maximum de 24 heures.

  • Audits et contrôles réguliers pour garantir la conformité.

  • Sanctions financières : en cas de non-respect, les amendes pourront atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Où en est la France ?

La directive devait être transposée dans les droits nationaux au plus tard en octobre 2024. Or, à l’automne 2025, la France accuse toujours un retard d’un an.

Pourquoi ?

  • Une instabilité politique qui ralentit l’agenda législatif.

  • Des contraintes budgétaires qui limitent les moyens pour accélérer la mise en conformité.

  • Un Parlement saturé de réformes prioritaires, reléguant la cybersécurité au second plan.

Résultat : les entreprises françaises évoluent dans une zone grise réglementaire, avec une visibilité réduite sur leurs futures obligations.

Quels risques pour les entreprises ?

Ce retard ne signifie pas que les entreprises ne doivent rien faire. Au contraire :

  • Les cyberattaques continuent de progresser, sans attendre que les textes soient votés.

  • Les clients et partenaires européens peuvent exiger une conformité anticipée.

  • Les dirigeants restent exposés à des risques réputationnels et financiers en cas d’incident majeur.

En clair : ne pas anticiper, c’est prendre un retard supplémentaire.