top of page

NIS2 : que se passe-t-il à partir de 2025 ? Les obligations immédiates

  • Writer: Gautier Briand
    Gautier Briand
  • Nov 25
  • 3 min read
ree

2025 : l’entrée en application opérationnelle de la directive NIS2

À partir de 2025, la directive NIS2 devient pleinement applicable en France. Cela signifie que toutes les organisations classées comme entités essentielles, entités importantes ou prestataires critiques doivent commencer à démontrer qu’elles ont engagé une mise en conformité effective. Les obligations ne sont plus théoriques : elles deviennent opposables et vérifiables.

Cette phase marque le passage d’un cadre réglementaire en cours de transposition à un cadre opérationnel qui influence directement la cybersécurité des entreprises françaises.


Les entreprises doivent démontrer une mise en conformité “minimale”

NIS2 distingue deux grandes phases :• 2025 : conformité minimale opérationnelle• 2027 : conformité complète et mature


Ce que signifie “conformité minimale”

À partir de 2025, une entreprise doit pouvoir montrer :

  • une gouvernance cybersécurité active

  • une analyse des risques menée (même initiale)

  • les premières mesures techniques mises en place

  • un début de gestion des prestataires

  • un plan d’action formalisé

  • une procédure de déclaration d’incident

  • l’implication de la direction

Cette première marche est indispensable pour éviter une non-conformité anticipée.


Les obligations immédiates en gouvernance

La directive insiste sur l’implication directe de la direction.


Responsabilité de la direction

À partir de 2025, les dirigeants doivent :

  • valider la politique de sécurité

  • suivre les risques identifiés

  • approuver les plans d’action

  • participer à des formations obligatoires

  • assumer la responsabilité juridique en cas de manquement grave

NIS2 transforme la cybersécurité en enjeu stratégique, pas seulement technique.


Les obligations immédiates en sécurité opérationnelle

2025 impose la mise en œuvre d’un premier socle technique.


Mesures techniques à engager dès 2025

  • authentification multifacteur (MFA) sur les accès sensibles

  • journalisation et conservation minimale des logs

  • gestion des accès à privilèges

  • sauvegardes fiables et testées

  • protection contre les vulnérabilités connues

  • durcissement des systèmes essentiels

  • segmentation ou isolement des environnements sensibles

  • mécanismes initiaux de détection d’incidents

Ces mesures représentent la base exigée par le texte, dans tous les secteurs.

➤ Voir les obligations techniques détaillées : Normi.fr/directive


La gestion des prestataires devient obligatoire dès 2025

Les entreprises doivent être capables d’identifier et d’évaluer leurs fournisseurs critiques. C’est l’un des points les plus sensibles du dispositif NIS2.


Obligations clés pour 2025

  • lister les prestataires ayant un rôle opérationnel ou technique critique

  • collecter des preuves minimales de sécurité

  • intégrer des premières exigences contractuelles

  • documenter l’évaluation initiale

  • vérifier la gestion des accès externes

  • démontrer que le risque lié aux prestataires est connu et suivi

Cette obligation touche particulièrement les prestataires informatiques, cloud, SaaS, infogérance, maintenance et cybersécurité.

➤ Évaluer vos prestataires en quelques minutes : Normi.fr/wizard


Les règles de déclaration d’incident entrent en vigueur

Dès 2025, les incidents majeurs doivent être notifiés selon un calendrier précis :

  • pré-alerte en 24 h

  • rapport intermédiaire en 72 h

  • rapport final sous un mois

  • notification des clients si nécessaire


Les entreprises doivent donc avoir préparé :

  • une procédure documentée

  • des critères de gravité

  • un circuit d’escalade interne

  • une liste des contacts officiels (ANSSI, autorités sectorielles)

  • un dispositif de supervision minimal

Cette préparation est indispensable pour éviter les retards de notification lors d’un incident réel.


Les audits peuvent déjà commencer pour certaines entités

Dès 2025 :

  • les entités essentielles peuvent faire l’objet de contrôles proactifs

  • les entités importantes peuvent être vérifiées en cas d’incident

  • les prestataires critiques peuvent être sollicités pour démontrer leur niveau de sécurité

Les autorités cherchent à vérifier que les organisations ont bien lancé leur plan de conformité.


Comment se préparer efficacement pour 2025 ?

La mise en conformité est un processus progressif. Voici les priorités stratégiques avant l’entrée en application :


1. Clarifier votre statut

Essentiel, important, prestataire ou hors périmètre.


2. Cartographier vos risques et dépendances

Même une version simple suffit à ce stade.


3. Déployer les mesures minimales

MFA, journalisation, sauvegardes, gestion des accès.


4. Formaliser la gouvernance

Rôles, responsabilités, politique de sécurité.


5. Encadrer vos prestataires critiques

Évaluation, preuves, clauses.


6. Préparer la procédure d’incident

Pour tenir les délais de 24 h / 72 h.

➤ Obtenir un plan d’action NIS2 priorisé : Normi.fr/wizard


Conclusion

À partir de 2025, les entreprises françaises doivent être capables de démontrer un début de conformité NIS2. Il ne s’agit pas encore d’atteindre la maturité maximale, mais de mettre en place les fondations techniques, organisationnelles et documentaires. Les organisations qui anticipent dès maintenant entreront dans la phase 2026-2027 avec une longueur d’avance.

➤ Explorer les obligations complètes : Normi.fr/directive Diagnostiquer votre situation : Normi.fr/wizard

Comments

bottom of page