← Espace NIS2

Comprendre NIS2 en 3 minutes

Pas besoin d'être expert. Voici l'essentiel, en français simple.

C'est quoi, au juste ?

NIS2 est une directive européenne qui demande aux organisations comptant pour la société et l'économie d'élever leur niveau de cybersécurité. En France, sa transposition s'accompagne d'un référentiel de mesures publié par l'ANSSI, le Référentiel Cyber France (ReCyF). L'idée n'est pas de vous piéger : c'est de faire en sorte qu'une attaque sur un hôpital, une usine ou un fournisseur critique ne paralyse pas tout un pan d'activité.

Qui est concerné ?

Principalement les organisations d'une certaine taille dans des secteurs jugés critiques (énergie, santé, transport, banque, eau, numérique, industrie, et d'autres). Et par effet de ricochet, leurs fournisseurs et sous-traitants, à qui ces exigences sont répercutées par contrat.

Vérifier si vous êtes concerné en 3 questions →

Les 3 idées à retenir

La direction s'implique

NIS2 fait de la cybersécurité un sujet de dirigeant, pas seulement de service informatique. La direction doit comprendre les risques, se former, et porter le sujet. C'est nouveau, et c'est structurant.

Des mesures de bon sens

Sauvegardes fiables, double authentification, mises à jour, formation des équipes, gestion des incidents, vigilance sur les fournisseurs. Rien d'ésotérique : surtout de l'organisation et des réflexes, à mettre en place par étapes.

Prévenir en cas d'incident grave

Si un incident important survient, il faut savoir alerter l'autorité (l'ANSSI en France) rapidement : une première alerte sous 24 heures, une notification sous 72 heures. Le préparer à froid évite de courir le jour J.

En France, le référentiel officiel : ReCyF

NIS2 fixe des objectifs. En France, c'est l'ANSSI qui les traduit en mesures concrètes, dans le Référentiel Cyber France (ReCyF). Ce référentiel organise la sécurité en 20 objectifs de sécurité, regroupés en quatre grands thèmes. Notre diagnostic suit cette structure pour vous parler le même langage que l'autorité.

Proportionnalité. Objectifs 1 à 15 pour les entités importantes et essentielles ; objectifs 16 à 20 pour les entités essentielles uniquement.
Le dirigeant est responsable. ReCyF place la gouvernance de la sécurité numérique sous la responsabilité directe du dirigeant exécutif.

Gouvernance

  • 1Recensement des systèmes d'information
  • 2Mise en oeuvre d'un cadre de gouvernance de la sécurité numérique
  • 3Maîtrise de l'écosystème
  • 4Intégration de la sécurité numérique dans la gestion des ressources humaines
  • 5Maîtrise des systèmes d'information
  • 16Mise en oeuvre d'une approche par les risquesessentielles
  • 17Audit de la sécurité des systèmes d'informationessentielles

Protection

  • 6Maîtrise des accès physiques aux locaux
  • 7Sécurisation de l'architecture des systèmes d'information
  • 8Sécurisation des accès distants aux systèmes d'information
  • 9Protection des systèmes d'information contre les codes malveillants
  • 10Gestion des identités et des accès des utilisateurs aux systèmes d'information
  • 11Maîtrise de l'administration des systèmes d'information
  • 18Sécurisation de la configuration des ressources des systèmes d'informationessentielles
  • 19Administration des systèmes d'information depuis des ressources dédiéesessentielles

Défense

  • 12Identification et réaction aux incidents de sécurité
  • 20Supervision de la sécurité des systèmes d'informationessentielles

Résilience

  • 13Continuité et reprise d'activité
  • 14Réaction aux crises d'origine cyber
  • 15Exercices, tests et entraînements

ReCyF est un document de travail (ReCyF version 2.5, 17/03/2026). Il peut évoluer jusqu'à l'adoption définitive de la transposition. On ne parle donc pas de « conformité figée », mais d'une démarche d'amélioration continue.

Référence officielle : le référentiel et le comparateur sur MesServicesCyber (ANSSI).

Et si je ne fais rien ?

Oui, la directive prévoit une supervision et des sanctions possibles, qui peuvent engager la responsabilité de la direction. Mais le vrai sujet est ailleurs : une cyberattaque non préparée peut arrêter votre activité, abîmer votre réputation et coûter bien plus cher qu'une mise à niveau progressive. La bonne nouvelle, c'est qu'on avance par petits pas, et que chaque pas vous protège déjà.

Prêt à voir où vous en êtes ?

Le diagnostic gratuit vous donne un état des lieux article par article et, surtout, un plan d'action pour avancer.

Faire le diagnostic →

Page pédagogique de vulgarisation. Elle ne constitue pas un avis juridique. NIS2 : directive (UE) 2022/2555. En France, l'ANSSI en précise les mesures via le Référentiel Cyber France (ReCyF), un document de travail susceptible d'évoluer.