Directive NIS 2 : ce que les entreprises doivent anticiper dès maintenant

NIS 2 : préparez-vous avant la transposition

La directive européenne NIS 2 (2022/2555) impose de nouvelles exigences de cybersécurité à un large éventail d’entreprises. La transposition en droit français est toujours en cours. L’ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF) comme document de travail pour aider les entités à se préparer.

Qui sera concerné ?

• Les entreprises de plus de 50 salariés ou plus de 10 millions d’euros de CA dans les secteurs essentiels et importants.
• Les fournisseurs de services numériques et les sous-traitants de la chaîne d’approvisionnement.
• Au total, plus de 15 000 entités en France seront concernées.

Les obligations à anticiper

• Analyse des risques : évaluation formalisée des menaces et vulnérabilités.
• Mesures de sécurité : chiffrement, contrôle d’accès, sauvegardes, plan de continuité.
• Notification des incidents : obligation de signaler les incidents significatifs dans des délais courts.
• Responsabilité de la direction : les dirigeants seront personnellement responsables de la conformité.

Pourquoi ne pas attendre

Même si la loi n’est pas encore votée, les exigences de NIS 2 sont connues. Les entreprises qui commencent à se préparer maintenant auront un avantage : audit de l’existant, mise en conformité progressive, et documentation prête le jour de l’entrée en vigueur.

OLHYN peut vous accompagner avec un audit de votre posture de sécurité, la mise en place des mesures recommandées par le ReCyF, et un plan de préparation NIS 2.

Sources : ANSSI | Directive NIS 2 · Référentiel ReCyF (mars 2026)