Espace Client
Unitel.fr
NIS2 : Ce que les entreprises doivent savoir (et pourquoi votre COMEX est concerné)
Use case
news
témoignage
Avis d’expert

NIS2 : Ce que les entreprises doivent savoir (et pourquoi votre COMEX est concerné)

Cybersécurité
7 min
09/2025
Retour
Retour
Retour
Retour
Retour
Partager l’article

La directive européenne NIS2 entre en vigueur, et elle n’épargne personne. PME, grandes entreprises, services publics, fournisseurs cloud… La cybersécurité n’est plus un sujet IT : c’est une responsabilité de gouvernance. Voici ce que vous devez savoir — et pourquoi votre COMEX doit s’en préoccuper dès maintenant.

Qu’est-ce que la directive NIS2 ?

La directive NIS2 (Network and Information Security 2) est une évolution majeure de la première directive NIS adoptée en 2016. Elle vise à renforcer la résilience des États membres face aux cybermenaces croissantes. Dans un contexte d’attaques massives, de dépendance numérique et de tensions géopolitiques, NIS2 place la cybersécurité au cœur des responsabilités stratégiques.

Ce qui change avec NIS2

Par rapport à la première directive, NIS2 va beaucoup plus loin :

  • 📌 Extension du périmètre : de nouveaux secteurs sont concernés, notamment le spatial, l’agroalimentaire, les fournisseurs cloud ou les services numériques.
  • 📌 Double classification : deux types d’entités sont ciblés — essentielles (ex : santé, énergie, télécoms) et importantes (ex : services numériques, recherche, manufacture).
  • 📌 Délais de déclaration stricts : 24h pour une alerte initiale, 72h pour un rapport préliminaire, 1 mois pour un rapport final.
  • 📌 Renforcement de la supervision : les autorités nationales auront davantage de pouvoir de contrôle, y compris des audits, injonctions ou sanctions.

Quelles entreprises sont concernées ?

Si votre organisation remplit l’un des critères suivants, elle entre probablement dans le champ de NIS2 :

  • +250 salariés ou un chiffre d’affaires > 50 M€
  • Vous opérez dans un secteur jugé critique (liste élargie dans NIS2)
  • Vous fournissez des services numériques (cloud, DNS, data centers, plateformes...)

⚠️ Attention : même des structures de taille moyenne peuvent être classées comme entités importantes si elles remplissent certains critères économiques ou d’interdépendance.

Les dirigeants sont désormais responsables

NIS2 impose pour la première fois une responsabilité explicite des dirigeants. L’article 20 de la directive prévoit que :

“Les organes de direction des entités essentielles et importantes doivent approuver, superviser et être tenus responsables de la gestion des risques liés à la cybersécurité.”

👉 En clair, le COMEX est légalement exposé. Il ne peut plus déléguer ces questions à l’IT seul. En cas de manquement, des sanctions individuelles sont prévues, y compris une interdiction temporaire d’exercer des fonctions exécutives.

Les obligations clés de NIS2

Voici les piliers d’une conformité NIS2 :

  • ✅ Cartographie des risques numériques
  • ✅ Politique de cybersécurité documentée
  • ✅ Gestion des incidents et notification
  • ✅ Sécurisation de la chaîne d’approvisionnement
  • ✅ Plans de continuité d’activité
  • ✅ Formation et sensibilisation
  • ✅ Supervision directe par la gouvernance

Quelles sanctions en cas de non-conformité ?

Les autorités nationales disposeront de leviers de sanction élargis :

  • 💰 Jusqu’à 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles
  • 💰 Jusqu’à 7 millions d’euros ou 1,4 % du CA mondial pour les entités importantes
  • ❌ Mesures individuelles possibles à l’encontre des dirigeants en cas de négligence grave

Par où commencer pour se préparer à NIS2 ?

Voici les étapes recommandées :

  1. Évaluer si vous êtes concerné par NIS2
  2. Réaliser une analyse de conformité (gap analysis)
  3. Mettre en place un plan d’action cybersécurité
  4. Impliquer le COMEX et former les instances dirigeantes
  5. Renforcer la culture de la cybersécurité à tous les niveaux
  6. S’appuyer sur un partenaire de confiance pour l’accompagnement (ex : Campus Cyber)

Pourquoi c’est un tournant pour la cybersécurité en Europe

NIS2 est bien plus qu’une directive technique : c’est un changement de paradigme. Elle acte le passage d’une cybersécurité cantonnée à l’IT vers une cyber-gouvernance partagée à l’échelle de toute l’organisation.

🔒 La résilience numérique devient un enjeu stratégique, et non plus seulement opérationnel.

Une opportunité plus qu’une contrainte

NIS2 peut sembler complexe. Mais elle représente aussi une formidable opportunité de :

  • Mieux connaître ses risques
  • Structurer ses dispositifs de sécurité
  • Anticiper les futures menaces
  • Renforcer la confiance avec ses clients et partenaires

Le moment est venu de passer à l’action — collectivement.

Photo de Lukas S sur Unsplash

Conseil / Audit

Auditez vos systèmes et infrastructures avec Unitel !
En savoir plus
Nous contacter
En savoir plus
Nous contacter

Pour approfondir

5min
10/2025

Congrès National des Sapeurs-Pompiers de France 2025 - Ensosp x Unitel

L’ENSOSP déploie un réseau 5G privé pour moderniser la sécurité civile et former ses officiers aux technologies de demain.
Lire l’article
5min
10/2025

Assistants IA pour les e-mails : reprendre le contrôle et gagner en efficacité

Submergé par vos emails ? Découvrez comment les assistants IA peuvent vous faire gagner du temps et transformer votre productivité.
Lire l’article
5min
09/2025

Intelligence artificielle souveraine pour les experts comptables

une IA souveraine au service de la profession
Lire l’article
5min
09/2025

Cloud IA : Et si vos infrastructures n’étaient plus adaptées à vos nouveaux usages ?

Cloud IA : cas d’usage, limites techniques, montée en charge… Pourquoi l’IA oblige les entreprises à adapter leur infrastructure cloud.
Lire l’article