NIS2 en France : pourquoi il ne faut pas attendre la transposition pour se préparer

La question revient souvent : faut-il attendre la publication complète des textes français pour lancer sa démarche NIS2 ?

En pratique, la réponse est non.

L’ANSSI invite déjà les futures entités essentielles et importantes à s’engager dans une démarche de sécurisation cohérente avec NIS2. Depuis le 17 mars 2026, elle met à disposition le Référentiel Cyber France (ReCyF), présenté comme une version de travail permettant d’atteindre les objectifs de sécurité fixés par NIS2.

Autrement dit, même si le cadre national continue de se préciser, les organisations disposent déjà de repères suffisamment concrets pour démarrer : évaluer leur exposition, identifier les écarts structurants et prioriser les chantiers à forte valeur.

Premier réflexe : vérifier si l’entreprise est concernée par NIS2

Avant de parler exigences, feuilles de route ou contrôles, encore faut-il savoir si l’entreprise entre dans le périmètre.

Pour cela, l’ANSSI met à disposition Mon Espace NIS2, avec un simulateur permettant d’orienter les organisations sur leur statut potentiel : entité essentielle (EE), entité importante (EI) ou non concernée. L’ANSSI précise également que ce portail a vocation à devenir le point d’entrée des futures entités régulées.

C’est un point clé, car beaucoup d’entreprises abordent encore NIS2 uniquement sous l’angle du secteur d’activité, alors que l’analyse est plus large et plus structurée.

Activité, effectifs, chiffre d’affaires : une analyse à mener de façon globale

L’assujettissement à NIS2 ne dépend pas seulement de l’activité exercée.

L’ANSSI rappelle que, dans le cas général, l’analyse doit aussi intégrer des seuils d’effectifs, de chiffre d’affaires et de bilan annuel, appréciés sur l’ensemble des activités de l’entité, et non sur les seules activités visées dans les annexes I et II de la directive. Elle rappelle aussi qu’il existe des cas particuliers pour certaines catégories d’acteurs, régulées quelle que soit leur taille, ainsi que des possibilités de désignation sur critères de criticité.

Pour les directions générales, cela a une conséquence très concrète : une auto-évaluation rapide fondée uniquement sur l’intitulé d’activité est souvent insuffisante. Il faut raisonner à l’échelle de l’entité, de ses services, de son poids économique et de sa place dans son écosystème.

ISO 27001 : un socle utile, mais pas une couverture complète de NIS2

L’un des enseignements les plus intéressants de la comparaison entre ReCyF / NIS2 / ISO 27001 est le suivant : l’ISO 27001 constitue une base solide, mais ne couvre pas à elle seule l’ensemble des attendus NIS2.

Selon votre matrice de comparaison :

  • pour les entités importantes, 73 % des exigences présentent une correspondance élevée avec l’ISO 27001, 13 % une correspondance moyenne et 13 % une correspondance faible ;
  • pour les entités essentielles, 66 % des exigences présentent une correspondance élevée, 18 % une correspondance moyenne et 15 % une correspondance faible.

Le message de fond est important.

Une organisation déjà engagée dans une logique ISO 27001 part avec un avantage réel : gouvernance, politique de sécurité, gestion des actifs, gestion des accès, gestion des incidents ou amélioration continue constituent déjà un cadre de travail robuste.

En revanche, cet acquis ne doit pas masquer deux réalités :

D’abord, NIS2 s’inscrit dans une logique réglementaire, avec des attentes explicites sur la démonstration, la traçabilité, la responsabilité de la direction et la capacité à justifier les mesures prises.

Ensuite, le ReCyF apporte un niveau de précision opérationnelle qui dépasse parfois le niveau de généralité de la norme, en particulier pour les entités essentielles.

En d’autres termes, une certification ISO 27001 peut constituer un excellent point de départ, mais rarement un point d’arrivée.

La conformité NIS2 ne s’arrête pas au périmètre interne

Autre sujet majeur, souvent sous-estimé dans les premières analyses : la conformité NIS2 dépasse le strict périmètre technique et organisationnel interne.

La directive impose de prendre en compte la sécurité de la chaîne d’approvisionnement et les relations avec les fournisseurs directs et prestataires de services dans les mesures de gestion des risques cyber. Elle mentionne explicitement l’évaluation des vulnérabilités propres à chaque fournisseur et la qualité globale des pratiques de cybersécurité de ces tiers.

Cette logique est pleinement cohérente avec l’approche du ReCyF mise en avant par l’ANSSI, qui vise à structurer les mesures attendues autour d’une sécurité démontrable, pilotée et cohérente avec l’écosystème de l’organisation.

Pour les entreprises, l’implication est directe : même lorsqu’elles ne sont pas elles-mêmes assujetties à NIS2, elles peuvent rapidement être sollicitées par leurs clients pour démontrer un niveau de maîtrise suffisant sur des thèmes tels que :

  • la gouvernance de la sécurité ;
  • la gestion des risques ;
  • la gestion des incidents ;
  • la continuité d’activité ;
  • la gestion des accès ;
  • la maîtrise des prestations externalisées ;
  • les engagements contractuels de cybersécurité.

Autrement dit, NIS2 diffuse ses effets bien au-delà des seuls assujettis. Elle devient progressivement un standard de marché dans les relations entre donneurs d’ordre, fournisseurs et sous-traitants.

Pour les entreprises, l’enjeu n’est plus seulement réglementaire

Réduire NIS2 à un sujet de conformité serait une erreur.

Pour beaucoup d’organisations, le sujet est déjà à la fois :

  • un enjeu de gouvernance ;
  • un enjeu de priorisation des investissements cyber ;
  • un enjeu de contractualisation avec les tiers ;
  • un enjeu de crédibilité vis-à-vis des clients et partenaires ;
  • un enjeu de préparation au contrôle et à la démonstration.

Dans ce contexte, attendre la version finale des textes pour commencer à travailler expose à un risque classique : découvrir trop tard que la mise en conformité nécessite des arbitrages de gouvernance, des évolutions documentaires, des ajustements contractuels, une meilleure cartographie des actifs et une clarification des responsabilités.

Ma conviction : utiliser dès maintenant les outils ANSSI pour bâtir une feuille de route réaliste

La bonne approche n’est pas de chercher à “faire NIS2” en bloc, ni de transposer mécaniquement un référentiel existant.

La bonne approche consiste plutôt à :

  1. qualifier son exposition au regard du périmètre NIS2 ;
  2. identifier son statut probable via Mon Espace NIS2 ;
  3. cartographier les écarts entre l’existant, l’ISO 27001 le cas échéant, et les attentes du ReCyF ;
  4. prioriser les mesures structurantes : gouvernance, pilotage, incidents, continuité, tiers, preuves ;
  5. construire une trajectoire de conformité proportionnée, alignée avec le niveau de maturité de l’organisation.

C’est généralement à ce stade qu’un accompagnement externe apporte le plus de valeur : non pas pour produire de la conformité “sur étagère”, mais pour transformer un corpus réglementaire en décisions, en feuille de route et en capacités réellement opérables.

Conclusion

Même en l’absence de transposition française totalement stabilisée, le sujet NIS2 est déjà concret.

Les outils de l’ANSSI permettent d’ores et déjà aux entreprises de se positionner, de comprendre les premiers attendus et d’engager une trajectoire crédible. Le simulateur Mon Espace NIS2 aide à clarifier le périmètre potentiel, tandis que le ReCyF fournit une base de travail utile pour anticiper les futures obligations.

Pour les organisations déjà engagées dans une démarche ISO 27001, le chemin sera souvent facilité, mais pas achevé. Pour les autres, l’enjeu n’est pas seulement de savoir si elles seront directement concernées. Il est aussi de mesurer dans quelle mesure leur marché, leurs clients et leurs partenaires attendront bientôt d’elles des garanties tangibles sur leur niveau de maîtrise cyber.

La vraie question n’est donc plus seulement “Sommes-nous assujettis ?”, mais “Sommes-nous prêts à démontrer que notre niveau de sécurité est compatible avec les attentes de l’écosystème NIS2 ?”

Pour aller plus loin

Testez votre situation ici 
Consultez les exigences ReCyF ici 

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.