Retour au blog Actualités

Directive NIS2 : nouvelles obligations cybersécurité pour les entreprises

L'équipe InfoSwitch 26 mars 2026 11 min de lecture

La directive NIS2 (Network and Information Security 2) est entrée en application en 2024, avec une transposition nationale en 2025. Elle étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Êtes-vous concerné ? Quelles sont vos obligations ? Comment vous mettre en conformité ?

Sécurisez votre messagerie

NIS2 : de quoi parle-t-on ?

NIS2 est la révision de la directive européenne NIS (2016) sur la sécurité des réseaux et des systèmes d'information. Adoptée en décembre 2022, elle doit être transposée dans le droit national de chaque État membre.

L'objectif : renforcer la résilience cyber de l'Union européenne face à la multiplication des cyberattaques. La directive NIS originale ne concernait qu'un nombre limité de secteurs critiques. NIS2 élargit considérablement le champ d'application.

Qui est concerné ?

NIS2 distingue deux catégories d'entités :

Entités essentielles

Les secteurs historiquement critiques :

  • Énergie (électricité, gaz, pétrole)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Banques et infrastructures des marchés financiers
  • Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
  • Eau potable et eaux usées
  • Infrastructures numériques (DNS, data centers, fournisseurs cloud)
  • Administrations publiques
  • Espace

Entités importantes

Les nouveaux secteurs concernés :

  • Services postaux et de courrier
  • Gestion des déchets
  • Chimie (fabrication et distribution)
  • Alimentation (production et distribution)
  • Fabrication (dispositifs médicaux, équipements électroniques, machines)
  • Fournisseurs de services numériques (marketplaces, moteurs de recherche, réseaux sociaux)
  • Recherche

Les critères de taille

Au sein de ces secteurs, NIS2 s'applique aux entreprises selon leur taille :

  • Grandes entreprises (>250 salariés ou CA >50M€) : concernées
  • Moyennes entreprises (50-250 salariés ou CA 10-50M€) : concernées
  • Petites entreprises (<50 salariés et CA <10M€) : généralement exemptées, sauf exceptions

Attention aux exceptions

Certaines petites entreprises sont concernées si elles sont fournisseurs critiques d'une entité essentielle, si elles fournissent des services de confiance (signature électronique), ou si elles opèrent dans certains secteurs spécifiques (DNS, télécoms).

Quelles obligations ?

Les entités concernées doivent mettre en place des mesures de gestion des risques cyber et respecter des obligations de notification.

Mesures de sécurité obligatoires

La directive impose des mesures minimales :

  • Analyse des risques et politiques de sécurité
  • Gestion des incidents : détection, réponse, notification
  • Continuité d'activité : sauvegardes, reprise après sinistre
  • Sécurité de la chaîne d'approvisionnement : évaluation des fournisseurs
  • Sécurité des réseaux et systèmes : acquisition, développement, maintenance
  • Évaluation de l'efficacité des mesures de sécurité
  • Hygiène informatique : formation, sensibilisation
  • Chiffrement et contrôle d'accès
  • Authentification multi-facteurs ou continue
  • Communications sécurisées en situation d'urgence

Obligations de notification

En cas d'incident significatif :

  • Alerte précoce : dans les 24 heures suivant la détection
  • Notification d'incident : dans les 72 heures
  • Rapport final : dans le mois suivant la notification

Les notifications sont faites auprès de l'autorité nationale compétente (l'ANSSI en France).

Responsabilité des dirigeants

Nouveauté majeure : les dirigeants sont personnellement responsables de la mise en conformité. Ils doivent approuver les mesures de sécurité et suivre une formation en cybersécurité.

Les sanctions

NIS2 prévoit des sanctions significatives :

  • Entités essentielles : jusqu'à 10 millions € ou 2% du CA mondial
  • Entités importantes : jusqu'à 7 millions € ou 1,4% du CA mondial

Les dirigeants peuvent également être personnellement sanctionnés (interdiction d'exercer, amendes).

Ce que NIS2 implique pour votre messagerie

La messagerie électronique est souvent le vecteur principal des cyberattaques. NIS2 renforce de facto les exigences de sécurité sur cet outil critique.

Authentification renforcée

La directive mentionne explicitement l'authentification multi-facteurs. Pour votre messagerie, cela signifie :

  • Activer la 2FA sur tous les comptes email
  • Privilégier les méthodes robustes (TOTP, clés physiques) plutôt que le SMS
  • Imposer la 2FA, pas seulement la proposer

Chiffrement des communications

Le chiffrement est mentionné comme mesure de base. Votre messagerie doit utiliser :

  • TLS pour tous les échanges (en transit)
  • Chiffrement au repos sur les serveurs
  • Optionnellement : chiffrement de bout en bout pour les communications les plus sensibles

Sécurité de la chaîne d'approvisionnement

Vous devez évaluer la sécurité de vos fournisseurs, y compris votre hébergeur email. Questions à poser :

  • Où sont hébergées les données ?
  • Quelles certifications de sécurité possèdent-ils ?
  • Comment gèrent-ils les incidents ?
  • Sont-ils eux-mêmes conformes NIS2 ?

Infomaniak et NIS2

Infomaniak, en tant qu'hébergeur cloud et fournisseur de services numériques, est lui-même soumis à NIS2. Ses datacenters sont certifiés ISO 27001, ses processus de sécurité audités, et l'entreprise peut fournir les attestations nécessaires à vos audits de conformité.

Plan d'action pour les PME

Si vous êtes concerné par NIS2, voici les étapes clés de mise en conformité.

1. Évaluer votre exposition

Êtes-vous dans un secteur concerné ? Dépassez-vous les seuils de taille ? Êtes-vous fournisseur d'une entité essentielle ? Cette première étape détermine vos obligations.

2. Cartographier vos systèmes

Identifiez vos systèmes d'information critiques : messagerie, ERP, site web, bases de données clients. Évaluez leur niveau de sécurité actuel.

3. Réaliser une analyse de risques

Identifiez les menaces (phishing, ransomware, intrusion), les vulnérabilités (mots de passe faibles, systèmes non mis à jour) et les impacts potentiels.

4. Mettre en place les mesures techniques

  • Activer la 2FA partout
  • Mettre à jour les systèmes
  • Sauvegarder régulièrement
  • Former les utilisateurs
  • Sécuriser la messagerie

5. Documenter

Rédigez vos politiques de sécurité, vos procédures de gestion des incidents, votre plan de continuité. La documentation est essentielle pour prouver votre conformité.

6. Préparer la notification

Mettez en place un processus de détection et de notification des incidents. Identifiez qui contacter, comment et dans quels délais.

Conclusion

NIS2 marque un tournant dans la réglementation cyber européenne. Des milliers d'entreprises jusqu'ici non concernées doivent désormais structurer leur approche de la sécurité informatique.

Si l'investissement peut sembler lourd, il est aussi une opportunité de renforcer réellement votre résilience. Les cyberattaques coûtent bien plus cher que la mise en conformité.

Commencez par sécuriser vos briques fondamentales : messagerie, identités, sauvegardes. Avec un hébergeur de confiance comme Infomaniak, vous posez les bases d'une infrastructure conforme et sécurisée.

Sécurisez votre messagerie

Prêt à migrer vers Infomaniak ?

Contactez-nous pour un audit gratuit de 15 minutes. Nous analyserons votre situation et vous fournirons un devis personnalisé.

Demander un audit gratuit
Partager cet article :

À lire également