orion: sommaire
orion: à retenir
NIS2 ne vise pas que les grandes entreprises de l'énergie ou de la santé.
Si vous fournissez une entité essentielle, la conformité vous rattrape par contrat.
La transposition arrive en France à l'été 2026 : se préparer prend des mois, on commence maintenant.

NIS2 et conformité : ce que vos clients essentiels vont vous imposer

La plupart des articles sur NIS2 s'adressent aux grandes entreprises de l'énergie, de la santé ou des transports. Résultat : beaucoup de dirigeants de PME et d'ETI se disent "ça ne me concerne pas" et passent à autre chose.

C'est l'erreur la plus coûteuse que vous puissiez faire en 2026. Parce que NIS2 ne s'arrête pas aux entités qu'elle vise directement : elle responsabilise toute leur chaîne d'approvisionnement. Beaucoup d'entreprises qui se croyaient hors champ découvrent que leurs propres clients vont leur réclamer un niveau de sécurité qu'elles n'ont pas.

NIS2, c'est quoi en deux phrases ?

NIS2 est une directive européenne de cybersécurité qui impose à un large ensemble d'organisations un niveau minimal de gestion des risques et de notification des incidents.

Adoptée fin 2022 (directive UE 2022/2555), elle remplace la première directive NIS de 2016 et élargit massivement le nombre d'entreprises concernées. Ce n'est pas une norme volontaire comme une certification ISO : ce sont des obligations légales, opposables, avec des sanctions à la clé.

Qui est concerné ? Entités essentielles, importantes... et leurs fournisseurs

NIS2 classe les organisations en deux catégories, mais en touche une troisième par ricochet.

Une organisation est concernée si elle opère dans un secteur listé et dépasse les seuils de la moyenne entreprise (au moins 50 salariés, ou 10 millions d'euros de chiffre d'affaires). En France, on estime entre 15 000 et 18 000 entités directement assujetties, contre quelques centaines sous l'ancienne directive.

orion: schéma

La directive impose à toute entité essentielle d'évaluer et de documenter les risques cyber de ses fournisseurs critiques. Concrètement, si vous fournissez ou sous-traitez pour une entité essentielle, votre client va vous demander des garanties de sécurité équivalentes, par contrat. Vous n'êtes pas dans le texte de loi, mais vous êtes dans le cahier des charges de votre client.

orion: tableau


Entité essentielle > Entité importante > Fournisseur d'une EE
Visé par la loi > Oui > Oui > Non
Contrôle > Proactif (ANSSI) > A posteriori > Via le contrat client
Niveau attendu > Élevé > Élevé > Équivalent, exigé par le client
Déclencheur > La loi > La loi > Le client qui sécurise sa chaîne

Ce que NIS2 exige vraiment : un niveau, pas une liste d'outils

NIS2 n'impose aucun logiciel ni produit précis. Elle impose un résultat : un niveau de sécurité et de résilience, par des mesures proportionnées au risque.

L'article 21 fixe une dizaine de mesures minimales, obligatoires pour les entités essentielles comme importantes :

  • Analyse des risques et politique de sécurité des systèmes d'information
  • Gestion des incidents : prévention, détection, réponse
  • Continuité d'activité : sauvegardes, reprise après sinistre, gestion de crise
  • Sécurité de la chaîne d'approvisionnement (vos propres fournisseurs)
  • Hygiène cyber, formation, chiffrement et contrôle d'accès

Elle vous dit où arriver, pas avec quel outil. Mais atteindre ce niveau sur la détection et la réponse est aujourd'hui très difficile sans certaines capacités techniques.

Les délais de notification d'incident

En cas d'incident significatif, NIS2 impose un calendrier en trois temps, sans exception.

orion: frise
24h > Alerte précoce > dès la détection
72h > Notification > complète de l'incident
1 mois > Rapport final > analyse et mesures

Ce calendrier est intenable sans une capacité de détection en temps réel et un processus de réponse déjà rodé. On ne peut pas notifier en 24 heures un incident qu'on découvre trois semaines plus tard dans les logs.

Quelles sanctions, et pour qui ?

Les sanctions ne visent pas que l'entreprise. Elles visent aussi, personnellement, ses dirigeants.

orion: sanctions
Entité essentielle > 10 M€ > ou 2 % du CA mondial annuel
Entité importante > 7 M€ > ou 1,4 % du CA mondial annuel

Surtout, la directive engage la responsabilité des organes de direction. Un dirigeant qui n'a pas approuvé les mesures de gestion des risques ou suivi la formation obligatoire s'expose à des sanctions individuelles, voire à une interdiction temporaire d'exercer. La cybersécurité devient une responsabilité du top management, plus seulement de la DSI.

Antivirus et firewall ne suffisent plus

Ils protègent le périmètre et bloquent les menaces connues. NIS2 demande davantage : détecter ce qui passe ces barrières, y répondre vite, et le prouver.

Les attaques actuelles contournent régulièrement les protections périmétriques : compromission d'identifiants, mouvements latéraux, rançongiciels silencieux pendant des semaines. Un antivirus signale ce qu'il connaît déjà, un firewall filtre des flux ; ni l'un ni l'autre ne donne la visibilité ni la capacité de réaction qu'exigent l'article 21 et le calendrier 24h/72h. Le niveau attendu n'est plus "bloquer", c'est "voir, comprendre et réagir".

C'est ici que la solution cybersécurité d'Orion vous résout un problème douloureux.

Atteindre le niveau requis : détection et réponse (EDR, SOC)

Deux briques font la différence : l'EDR et le SOC. NIS2 ne les rend pas obligatoires, mais elle rend obligatoire le niveau qu'ils permettent d'atteindre.

  • L'EDR surveille en continu postes et serveurs, détecte les comportements suspects que l'antivirus ne voit pas, et isole une machine compromise.
  • Le SOC surveille les alertes en temps réel, qualifie les incidents et déclenche la réponse, rendant tenable l'alerte sous 24h.

Ensemble, ils couvrent le point faible de la plupart des PME et ETI : la détection et la réponse. C'est pourquoi ces deux briques sont au cœur de l'accompagnement que nous construisons chez Orion Solutions.

Quand NIS2 s'applique-t-elle en France ?

La directive devait être transposée avant le 17 octobre 2024. La France n'a pas tenu ce délai.

La transposition passe par la loi Résilience : examen en hémicycle attendu pour l'été 2026, promulgation dans la foulée, puis décrets d'application. En attendant, l'ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF) et ouvert la plateforme MonEspaceNIS2. Son message est sans ambiguïté : ne pas attendre le vote pour s'y préparer.

Comment se mettre en conformité : par où commencer

On peut avancer dès maintenant, par étapes, sans attendre la promulgation.

orion: étapes
Déterminez votre statut > Entité essentielle, importante, ou fournisseur d'une EE. L'outil de [MonEspaceNIS2](https://beta.gouv.fr/startups/nis2.html) donne une première réponse.
Faites un état des lieux > Mesurez l'écart entre votre sécurité actuelle et les mesures de l'article 21, en vous appuyant sur le [ReCyF](https://lab.cyber.gouv.fr/les-actualit%C3%A9s-du-lab-anssi/recyf--publication-du-r%C3%A9f%C3%A9rentiel-dexigences-et-du-comparateur/).
Priorisez la détection et la réponse > C'est presque toujours le plus gros trou, et le calendrier 24h/72h le rend critique.
Documentez > Politiques, procédures, registre des incidents. Ce qui n'est pas écrit n'existe pas pour un contrôle.
Sécurisez votre propre chaîne > Vos fournisseurs deviennent votre responsabilité, comme vous devenez celle de vos clients.
Prévoyez un audit complet par un professionnel > Chez Orion Solutions, c'est notre métier. [Prenez RDV avec l'un de nos experts en sécurité informatique](/contact) pour bien vous préparer.

Questions fréquentes

orion: faq
Q: Suis-je concerné si je suis seulement fournisseur d'une entité essentielle ?
R: Indirectement, oui. Vous n'êtes pas visé par la loi, mais votre client essentiel doit sécuriser sa chaîne d'approvisionnement et vous demandera, par contrat, un niveau de sécurité équivalent. En pratique, vous devrez prouver votre conformité pour conserver le marché.
Q: NIS2 impose-t-elle d'acheter un EDR ou un SOC ?
R: Non. NIS2 impose un niveau de sécurité (détection, réponse, gestion des incidents), pas des outils précis. Mais atteindre ce niveau sans capacité de détection et de réponse est aujourd'hui très difficile, et l'EDR et le SOC y répondent le plus directement.
Q: Quels sont les délais de notification d'un incident ?
R: Trois étapes : une alerte précoce sous 24 heures, une notification complète sous 72 heures, et un rapport final sous un mois.
Q: NIS2 est-elle déjà applicable en France ?
R: Pas encore pleinement. La transposition via la loi Résilience est attendue à l'été 2026. Mais l'ANSSI recommande de se préparer dès maintenant, en s'appuyant sur le référentiel ReCyF publié en mars 2026.
Auteur de l'article

Laurent Leger

CEO de Orion Solutions

Nos formules sans engagement

Les packs tout en 1 d'Orion

✅ Supervision et gestion de parc
✅ Mises à jour des os et logiciels
✅ Surveillance des composants avec alertes en cas de dépassement
✅ Prise en main à distance de notre équipe
✅ Hotline téléphonique illimitée

Je suis intéressé
Je suis intéressé
Icon

Pack Essential’IT +
✅ Microsoft 365 complet
✅ Antivirus
✅ Sécurisation des e-mails
✅ Sauvegarde microsoft 365
✅ Stockage cloud illimité
✅ Restauration granulaire /temps réel

Je suis intéressé
Je suis intéressé
Icon

✅ Supervision et gestion de parc
Pack Trankil'IT +
✅ Visites récurentes préventives pour lesquelles vous choisissez la récurrence,
✅ Optimisation de chaque poste par un technicien\ingénieur

Je suis intéressé
Je suis intéressé
Icon
Icon
Icon
View All
View All
Icon
Votre nouvelle infrastructure IT vous attend.

Évaluez gratuitement votre infrastructure IT avec nos experts et découvrez
comment booster votre performance

Démarrer l'audit IT
Démarrer l'audit IT
Icon