NIS2 — La directive que tout le monde agite et que personne n'explique honnêtement

Q: Quels secteurs sont concernés par NIS2 ?

18 secteurs au total. Hautement critiques : énergie, transports, santé, secteur bancaire, infrastructure numérique, eau, administration publique, espace. Critiques : industrie manufacturière, services postaux, gestion des déchets, chimie, agroalimentaire, fournisseurs numériques, services de confiance. Si vous n'êtes dans aucun de ces secteurs et sous les seuils de taille — vous n'êtes pas directement concerné.

Vos clients paniquent face à NIS2. Tant mieux —
c'est ce que certains prestataires espèrent.
Voici ce que la directive dit vraiment.

NIS2 (Network and Information Security 2) est une directive européenne sur la cybersécurité. Entrée en vigueur en octobre 2024 au niveau européen, elle n'est pas encore transposée en droit français — la loi Résilience est attendue pour l'été 2026. En attendant, certains la vendent comme un tsunami imminent pour décrocher des contrats de conformité. On vous explique ce qu'elle dit vraiment — et si vous êtes réellement concerné.

Vérifier mon exposition

La pièce manquante à votre entreprise.

Définition

NIS2, c'est quoi concrètement ?

NIS2 remplace la directive NIS1 de 2016 qui ne concernait qu'environ 500 entités en France. NIS2 élargit massivement le périmètre : entre 15 000 et 18 000 entités françaises concernées, dans 18 secteurs d'activité contre 6 auparavant. C'est un changement d'échelle réel.

L'objectif est légitime — élever le niveau de cybersécurité des infrastructures critiques en Europe. Les exigences concrètes : analyse de risques, gestion des incidents, sécurisation de la chaîne d'approvisionnement, formation des dirigeants. Des mesures de bon sens.

📋 Les deux critères pour être concerné

Critère de taille : 50 salariés ou plus, OU chiffre d'affaires supérieur à 10 millions d'euros.

Critère sectoriel : votre activité relève de l'un des 18 secteurs définis (énergie, santé, transports, banque, eau, infrastructure numérique, industrie manufacturière, agroalimentaire, etc.).

Les deux critères doivent être réunis — sauf exceptions spécifiques.

Pour vérifier votre situation : monespacenis2.cyber.gouv.fr

Ce qu'on vous vend

NIS2 comme moteur de revenu récurrent

😱

L'angoisse réglementaire comme argument commercial

NIS2 est présentée comme un tsunami imminent dans les conférences et formations du secteur IT. L'objectif : transformer l'incompréhension juridique en contrats de conformité. C'est le même modèle que le RGPD en 2018 — vendu à tout le monde, y compris à ceux qui n'étaient pas concernés.

📦

Le package conformité clé en main

Des audits, des formations, des certifications, des abonnements mensuels. Vendus à tout le monde — y compris à ceux qui ne sont pas concernés par la directive. La vérification du périmètre réel est rarement la première étape proposée.

⏰

L'urgence fabriquée

La France n'a pas encore transposé NIS2 en droit national. La loi Résilience est attendue pour l'été 2026. Les décrets suivront. Les entités régulées auront ensuite 3 ans pour se conformer — soit une échéance réelle aux alentours de 2028-2029. Le tsunami est encore au large.

La réalité

Votre PME est-elle vraiment concernée ?

La majorité des TPE françaises ne sont PAS directement concernées par NIS2. En dessous de 50 salariés et 10 millions d'euros de CA, hors secteurs critiques et hors exceptions spécifiques, vous n'entrez pas dans le périmètre des entités essentielles ou importantes.

Il y a cependant un point à ne pas négliger : l'effet de cascade. Si vous êtes sous-traitant ou fournisseur d'une entité régulée, cette dernière va vous demander des garanties sur votre niveau de cybersécurité. Ce n'est pas NIS2 directement — c'est la pression contractuelle de votre chaîne d'approvisionnement.

⚠️ Le seul vrai risque pour une TPE/PME

Ce n'est pas l'amende ANSSI. C'est perdre un contrat avec un grand compte parce que vous ne pouvez pas justifier d'un niveau minimal de cybersécurité. C'est concret, c'est immédiat, et ça ne nécessite pas un audit à 15 000 € pour y répondre.

Notre position

On vous dit si vous êtes concerné — même si la réponse ne nous rapporte rien

🔍

Audit honnête du périmètre

Avant tout, on vérifie si vous entrez réellement dans le champ de NIS2. Si ce n'est pas le cas, on vous le dit. Pas de package conformité inutile.

🛡️

Cybersécurité de bon sens

NIS2 ou pas, les bases s'imposent : sauvegardes, mises à jour, gestion des accès, antivirus. Ce sont les mesures qui protègent vraiment — et qui satisfont aussi les exigences contractuelles de vos donneurs d'ordre.

📋

Préparation sans précipitation

Si vous êtes concerné, la conformité effective est attendue aux alentours de 2028-2029. On construit une démarche progressive et réaliste — pas un sprint facturé à l'urgence.

Questions fréquentes

Questions fréquentes — NIS2

Mon entreprise de 30 salariés est-elle concernée par NIS2 ?

Probablement pas directement. En dessous de 50 salariés et 10M€ de CA, hors secteurs critiques et hors exceptions spécifiques, vous n'entrez pas dans le périmètre des entités régulées. En revanche, si vous travaillez pour des grands comptes dans des secteurs sensibles, ceux-ci pourraient vous demander des garanties contractuelles sur votre cybersécurité. C'est différent — et souvent plus urgent en pratique.

Quand NIS2 entre-t-il vraiment en vigueur en France ?

La directive européenne est techniquement en vigueur depuis octobre 2024. Mais la France n'a pas encore transposé NIS2 en droit national — la loi Résilience est attendue pour l'été 2026, suivie de décrets techniques. Une fois la loi promulguée, les entités régulées disposeront de 3 ans pour se conformer. L'échéance effective se situe donc autour de 2028-2029.

Quels secteurs sont concernés par NIS2 ?

18 secteurs au total, classés en deux catégories. Secteurs hautement critiques : énergie, transports, santé, secteur bancaire, infrastructure numérique, eau, administration publique, espace. Secteurs critiques : industrie manufacturière, services postaux, gestion des déchets, chimie, agroalimentaire, fournisseurs numériques, services de confiance.

Si vous n'êtes dans aucun de ces secteurs et sous les seuils de taille — vous n'êtes pas directement concerné.

Quelles sont les sanctions en cas de non-conformité ?

Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2% du CA mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA mondial. La responsabilité personnelle des dirigeants est engagée. Ces chiffres sont réels — mais ils concernent les entités dans le périmètre. Pas votre boulangerie de quartier.

SitinBack peut nous aider sur NIS2 ?

Oui. D'abord en vérifiant honnêtement si vous êtes concerné. Ensuite, si c'est le cas, en construisant une démarche progressive : audit de l'existant, sécurisation des bases, documentation des processus. On ne vend pas la peur réglementaire comme moteur de contrat. Si vous n'avez pas besoin d'un package conformité NIS2, on vous le dit.

Contactez-nous

Email

Canal prioritaire, ouvert à tous. Chaque demande est traitée en moins de 2h. Tout est tracé, noir sur blanc.

urgence[at]sitinback.fr

Téléphone

Clients uniquement

On reçoit trop de faux appels pour filtrer. On ne décroche que pour nos clients. Un email sera de toute façon traité plus vite.

06 86 32 63 53

Pas de jugement, pas de chichi. Notre oreille est à l'écoute de vos problèmes — même les moins avouables. Dire juste "ça marche pas", c'est vrai que ça marche pas, mais ça nous fait perdre du temps à tous les deux. Alors lâchez-vous, dites ce que vous avez sur le cœur, on est là pour ça.