Calendrier NIS2 France : ce que les entreprises doivent faire avant 2025

Pourquoi 2025 est l’année clé pour la conformité NIS2

L’année 2025 correspond à l’entrée en application opérationnelle de la directive NIS2 en France. Les entreprises concernées — qu’elles soient essentielles, importantes ou prestataires critiques — doivent avoir engagé leurs premières mesures de conformité avant cette date. L’objectif n’est pas encore d’atteindre un niveau de maturité complet, mais de mettre en place les fondations indispensables exigées par le texte.

Pour éviter un retard coûteux, les organisations doivent agir dès maintenant sur les éléments fondamentaux imposés par NIS2.

Étape 1 : Identifier si l’entreprise est concernée

Avant toute action, l’entreprise doit clarifier son statut par rapport aux catégories NIS2.

Vérifier trois points essentiels

1. Secteur d’activité (essentiel ou important)

2. Taille : dépassement des seuils européens

3. Rôle dans la chaîne d’approvisionnement (client ou prestataire critique)

Cette étape est déterminante : elle conditionne toutes les obligations à venir.

➤ Vérifier automatiquement votre statut NIS2 : Normi.fr/wizard

Étape 2 : Nommer les responsabilités cybersécurité

La directive exige une gouvernance claire, validée par la direction.

Deux points à mettre en place avant 2025

• nomination d’un responsable ou référent cybersécurité identifié

• implication de la direction dans les décisions de sécurité

Il s’agit d’un prérequis : les autorités pourront exiger ces éléments dès l’entrée en vigueur.

Étape 3 : Initier une analyse des risques

NIS2 repose sur une approche fondée sur les risques, ce qui signifie que les entreprises doivent documenter leur exposition.

L’analyse doit couvrir :

• les actifs critiques (systèmes, données, processus)

• les services numériques utilisés

• les dépendances opérationnelles

• les risques OT le cas échéant

• les mesures existantes et leurs limites

Cette première cartographie n’a pas besoin d’être exhaustive, mais elle doit exister et être formalisée.

Étape 4 : Mettre en place les premières mesures techniques obligatoires

Avant 2025, une entreprise doit avoir commencé à déployer les mesures minimales listées par NIS2.

Les mesures prioritaires, à engager dès maintenant

• authentification multifacteur (MFA)

• sauvegardes fiables et testées

• gestion des accès à privilèges

• journalisation minimale des systèmes

• process de gestion des vulnérabilités

• mécanismes initiaux de détection d’incident

• durcissement des systèmes critiques

• segmentation réseau lorsqu’elle est pertinente

Ces mesures constituent la base technique exigée par la directive.

➤ Voir les obligations détaillées : Normi.fr/directive

Étape 5 : Encadrer les prestataires critiques

Les attaques via fournisseurs sont devenues le principal vecteur d’incidents majeurs en Europe. NIS2 impose donc que chaque entreprise identifie et évalue ses prestataires essentiels.

Actions à réaliser avant 2025

• lister les prestataires ayant un accès ou un rôle critique

• vérifier les premières garanties de sécurité

• introduire des clauses contractuelles minimales

• documenter l’évaluation (même simple)

C’est un point crucial pour les entreprises qui externalisent l’infogérance, l’hébergement ou la maintenance.

➤ Évaluer automatiquement vos prestataires critiques : Normi.fr/wizard

Étape 6 : Préparer la procédure de déclaration d’incident

À partir de 2025, les incidents majeurs doivent être signalés selon un calendrier strict :

• pré-alerte en 24 h

• rapport en 72 h

• suivi sous un mois

Avant 2025, les entreprises doivent :

• définir ce qu’est un incident “majeur” dans leur contexte

• établir un circuit d’escalade interne

• identifier les interlocuteurs ANSSI

• documenter la procédure (même en version initiale)

Cette préparation évite les erreurs en situation de crise.

Étape 7 : Constituer les premières preuves de conformité

Même si les audits ne commenceront pas pour toutes les entités dès 2025, les entreprises doivent pouvoir démontrer qu’elles ont initié leur mise en conformité.

Preuves attendues avant 2025

• analyse des risques

• cartographie des actifs ou dépendances

• premières mesures techniques mises en place

• liste des prestataires critiques

• gouvernance cybersécurité

• documents validés par la direction

Une base documentaire solide facilitera la montée en maturité jusqu’en 2027.

Pourquoi se préparer avant 2025 ?

Trois raisons majeures :

1. Les obligations deviennent immédiatement applicables

Les entités essentielles peuvent être supervisées dès 2025.

2. Certaines mesures demandent du temps

Authentification multi-facteur, journalisation, segmentation, gestion des prestataires… Ces chantiers ne s’implantent pas en quelques semaines.

3. Les entreprises ayant anticipé seront avantagées

Une préparation précoce réduit :

• les risques opérationnels

• les coûts imprévus

• la charge en temps lors des contrôles

Conclusion

2025 n’est pas une date lointaine : c’est le début concret des obligations NIS2 pour les entreprises françaises. Identifier son statut, structurer la gouvernance, établir les premières mesures techniques et sécuriser les prestataires sont les priorités immédiates.

➤ Obtenir un plan d’action NIS2 en 30 secondes : Normi.fr/wizard ➤ Explorer les obligations complètes : Normi.fr/directive