Quelle est la différence entre NIS1 et NIS2 ?

NIS1 (2016) ciblait environ 500 opérateurs de services essentiels en France. NIS2 élargit massivement le périmètre à plus de 15 000 entités, introduit deux catégories (essentielles et importantes), renforce les sanctions, et impose une responsabilité personnelle des dirigeants en cas de manquement.

Quelles sanctions en cas de non-conformité NIS2 ?

Les entités essentielles s'exposent à une amende maximale de 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial. Les entités importantes, à 7 millions d'euros ou 1,4% du CA annuel mondial. Au-delà des amendes, l'ANSSI peut imposer des mesures correctives obligatoires, des audits et rendre publique la non-conformité.

NIS2 s'applique-t-elle aux ETI et PME ?

Oui, dans les secteurs concernés. Les entités importantes couvrent un périmètre large : entreprises de 50 à 249 salariés ou entre 10 et 50 M€ de chiffre d'affaires, dans les secteurs visés. Une ETI industrielle, une clinique privée ou un fournisseur de services numériques peut très bien être dans le périmètre NIS2.

Quand NIS2 entre-t-elle en vigueur en France ?

La transposition via la Loi Résilience est attendue pour juillet 2026. Mais le ReCyF, publié par l'ANSSI le 17 mars 2026, est d'ores et déjà disponible et opérationnel. L'ANSSI encourage explicitement les futures entités assujetties à ne pas attendre la promulgation pour s'engager dans leur démarche de mise en conformité.

Comment préparer mon environnement Microsoft 365 à NIS2 ?

Trois actions prioritaires : cartographier vos permissions et accès sur M365 (OneDrive, SharePoint, Teams), identifier et corriger les sur-partages et accès obsolètes, installer une gouvernance des droits en continu avec des campagnes de revue périodiques. C'est précisément le périmètre couvert par le dispositif DETOX pour M365 d'IDECSI, opérationnel en 4 à 6 semaines, sans charge IT supplémentaire.

Préparez votre tenant à Copilot : identifiez et éliminez les accès non autorisés aux données

Tendances

04 janvier 2024

Directive NIS2 : obligations, conformité et enjeux M365 (2026)

La directive NIS2 va soumettre plus de 15 000 entités françaises à des obligations de cybersécurité renforcées, et Microsoft 365 se trouve au cœur des points d'attention. En 2026, le cadre réglementaire se précise : le Référentiel Cyber France (ReCyF) est disponible, la Loi Résilience avance. Ne pas attendre la promulgation pour agir, c'est le message explicite de l'ANSSI. Voici ce que votre organisation doit savoir et faire concrètement.
Au programme :

Qu'est ce que la directive NIS2 ?
Votre organisation est-elle concernée par NIS2
Les 10 obligations de l'article 21 : ce que NIS2 impose concrètement
NIS2 et Microsoft 365 : vos accès et partages de données en ligne de mire
Comment IDECSI vous aide à répondre aux exigences NIS2
FAQ : Questions fréquentes sur la directive NIS2

Qu'est-ce que la directive NIS2 ?

De NIS1 à NIS2 : un changement d'échelle sans précédent

La directive NIS2 (Network and Information Security 2) est le texte européen de référence en matière de cybersécurité. Publiée au Journal Officiel de l'Union européenne en décembre 2022, elle représente une opportunité unique pour améliorer la résilience des infrastructures critiques face à une menace cyber qui s'intensifie.

Le changement d'échelle est considérable. Là où NIS1 ne concernait qu'environ 500 opérateurs d'importance vitale en France, NIS2 élargit son périmètre pour toucher plus de 15 000 entités. À l'échelle européenne, la Commission européenne estime que plus de 160 000 organisations pourraient être concernées.

Où en est la transposition en France en 2026 ?

La France accuse un retard dans la transposition de NIS2. Le projet de loi Résilience, qui transpose simultanément NIS2, la directive REC sur les infrastructures critiques et le règlement DORA, a été adopté en première lecture au Sénat en octobre 2024. La date évoquée pour l'examen en hémicycle à l'Assemblée nationale est juillet 2026.

Ce retard ne signifie pas que vous pouvez attendre. Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Ce référentiel est diffusé en tant que document de travail, il est déjà pleinement opérationnel. L'ANSSI est explicite : ne pas attendre la promulgation pour agir.

Point d'actualité : Avril 2026

17 mars 2026 : publication du ReCyF par l'ANSSI, applicable dès maintenant
Juillet 2026 : date attendue pour l'examen du projet de loi Résilience à l'Assemblée nationale
Les organisations peuvent dès à présent s'auto-évaluer via MonEspaceNIS2

Votre organisation est-elle concernée par NIS2 ?

Entités essentielles et entités importantes : les deux catégories

NIS2 distingue deux niveaux d'obligation selon la criticité de l'organisation et sa taille. Les entités essentielles font l'objet d'une supervision proactive de l'ANSSI, qui peut conduire des audits sans attendre qu'un incident survienne. Pour les entités importantes, la supervision est déclenchée sur incident ou sur signalement.

Critère	Entités Essentielles (EE)	Entités Importantes (EI)
Effectif	> 250 salariés	50 à 249 salariés
Chiffre d'affaires	> 50 M€	10 à 50 M€
Bilan	> 43 M€	—
Supervision ANSSI	Proactive (audits sans incident préalable)	Sur incident ou signalement
Sanctions maximales	10 M€ ou 2% du CA mondial	7 M€ ou 1,4% du CA mondial

Les 18 secteurs couverts

Secteurs hautement critiques (groupe 1) : énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace.

Secteurs critiques (groupe 2) : services postaux, gestion des déchets, chimie, agroalimentaire, industrie manufacturière (dispositifs médicaux, équipements électroniques, véhicules…), fournisseurs de services numériques (places de marché, moteurs de recherche, réseaux sociaux).

Et si vous êtes prestataire ou sous-traitant ?

Même si votre organisation ne relève pas directement de NIS2, vous pouvez être soumis à ses exigences par ricochet. Les organisations non assujetties en première ligne peuvent être concernées en tant que prestataires, sous-traitants ou éditeurs de solutions utilisées par des clients soumis à NIS2. La sécurité de la chaîne d'approvisionnement est une obligation explicite de l'article 21. Pour déterminer votre périmètre exact, l'ANSSI met à disposition l'outil officiel : monespacenis2.cyber.gouv.fr

Les 10 obligations de l'article 21 : ce que NIS2 impose concrètement

Une approche « tous risques » sur l'ensemble de votre système d'information

L'article 21 de la directive NIS2 établit 10 mesures de cybersécurité obligatoires que toutes les entités essentielles et importantes doivent mettre en œuvre, selon une approche complète basée sur les risques couvrant l'ensemble du cycle de vie de la posture de sécurité.

#	Mesure	Enjeu concret
1	Analyse des risques et sécurité des SI	Cartographier et évaluer systématiquement vos expositions
2	Gestion des incidents	Notifier l'ANSSI sous 24h (alerte) puis 72h (rapport détaillé)
3	Continuité d'activité et gestion de crise	Sauvegardes, plan de reprise, procédures documentées
4	Sécurité de la chaîne d'approvisionnement	Évaluer et encadrer vos prestataires et sous-traitants
5	Sécurité dans l'acquisition et la maintenance des SI	Intégrer la sécurité dès la conception des systèmes
6	Évaluation de l'efficacité des mesures	Mesurer, tester, ajuster en continu
7	Cyber hygiène et formation	Former les équipes, installer des comportements sécurisés durables
8	Cryptographie et chiffrement	Protéger les données en transit et au repos
9	Contrôle d'accès et gestion des actifs	Maîtriser qui accède à quoi — principe du moindre privilège
10	Authentification multifacteur (MFA)	MFA obligatoire pour tous les comptes exposés

Responsabilité des dirigeants : un point souvent sous-estimé

La cybersécurité devient un sujet de direction. Les responsables doivent être formés, impliqués et capables de prouver à tout moment la conformité de leur organisation. Les dirigeants ne peuvent plus déléguer entièrement la cybersécurité, les manquements peuvent entraîner des sanctions financières et leur mise en cause personnelle.

NIS2 et Microsoft 365 : vos accès et partages de données en ligne de mire

M365, terrain d'exposition privilégié

Microsoft 365 concentre l'essentiel de la collaboration, des échanges de données et des droits d'accès de votre organisation. C'est précisément pour cette raison qu'il constitue le point d'attention numéro un dans une démarche de conformité NIS2.

Deux mesures de l'article 21 s'appliquent directement à votre environnement M365 :

La mesure 9 (contrôle d'accès et gestion des actifs) exige que vous sachiez précisément qui accède à quoi, que les droits soient alignés sur le principe du moindre privilège, et que les accès soient revus régulièrement. Sur M365, cela implique de cartographier l'ensemble des permissions sur OneDrive, SharePoint, Teams et Outlook, y compris les partages anonymes, les accès externes et les droits hérités.

La mesure 7 (cyber hygiène) impose l'installation de comportements responsables et durables chez vos collaborateurs. Or 80% des violations de données résultent d'erreurs internes, pas d'attaques externes. La sensibilisation ne suffit plus : il faut outiller chaque utilisateur pour qu'il puisse identifier et corriger ses propres risques.

Copilot pour Microsoft 365 : révélateur et amplificateur de risques

Si vous déployez ou envisagez de déployer Copilot pour Microsoft 365, la conformité NIS2 sur le contrôle des accès devient un prérequis non négociable. Copilot accède à l'ensemble des données auxquelles l'utilisateur a droit dans M365. Si les permissions sont mal gérées, fichiers sur-partagés, accès obsolètes, partages anonymes ouverts, Copilot les expose et les amplifie.

96% des entreprises expriment des préoccupations de sécurité liées au déploiement de Copilot. Ce chiffre traduit une réalité concrète : avant d'activer l'IA, il faut reprendre le contrôle sur les droits d'accès. C'est précisément ce qu'exige la mesure 9 de NIS2. Les deux agendas, conformité réglementaire et déploiement Copilot, convergent vers la même action prioritaire.

Comment IDECSI vous aide à répondre aux exigences NIS2

Un mapping direct entre obligations NIS2 et plateforme IDECSI

IDECSI est la première plateforme de détection connectée avec les utilisateurs pour Microsoft 365 et les environnements on-premise. Notre approche : responsabiliser chaque propriétaire de données, répond directement aux exigences NIS2 sur le contrôle d'accès, la cyber hygiène et la gouvernance continue.

Obligation NIS2 (art. 21)	Solution IDECSI	Résultat mesurable
Mesure 9 : Contrôle d'accès et gestion des actifs	Cartographie complète des permissions, identification des accès à risque, remédiation en un clic	50% des risques supprimés dès la 1ère campagne, 70% à la 2ème
Mesure 7 : Cyber hygiène et responsabilisation	MyDataSecurity : tableau de bord personnel, chaque utilisateur visualise et corrige ses partages	7 remédiations en moyenne par utilisateur
Mesure 6 : Évaluation continue des mesures	Revue de Droits : campagnes périodiques planifiées, tableaux de bord temps réel	Conformité mesurable, résultats documentés pour l'ANSSI
Mesure 1 — Analyse des risques	Diagnostic sur l’état du tenant, le niveau d’exposition des données, analyse de risque avancée sur cloud et on-premise, alerting temps réel	Visibilité complète sur la surface d’exposition, priorisation des risques
Mesure 4 — Chaîne d'approvisionnement	Gestion des accès externes : contrôle des comptes invités et prestataires dans M365	Réduction du nombre d'accès externes non maîtrisés

Le dispositif DETOX pour M365 est conçu pour être clé-en-main et opérationnel en 4 à 6 semaines, sans infrastructure à déployer, sans charge supplémentaire pour l'IT. Les utilisateurs corrigent eux-mêmes leurs partages à risque via MyDataSecurity, l'IT supervise, les collaborateurs agissent.

La ville de Cergy-Pontoise Agglomération illustre concrètement cette approche : 50% des risques supprimés à l'issue de la première campagne, 70% à la deuxième. Des résultats tangibles, documentés, et directement valorisables dans le cadre d'un contrôle ANSSI.

Vous souhaitez évaluer votre exposition avant que NIS2 ne s'applique pleinement ?

Demandez une démo IDECSI, 30 minutes suffisent pour avoir une première cartographie de vos risques sur M365.

FAQ : Question fréquentes sur la directive NIS2

: NIS1 (2016) ciblait environ 500 opérateurs de services essentiels en France. NIS2 élargit massivement le périmètre à plus de 15 000 entités, introduit deux catégories (essentielles et importantes), renforce les sanctions, et impose une responsabilité personnelle des dirigeants en cas de manquement.
: Les entités essentielles s'exposent à une amende maximale de 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial. Les entités importantes, à 7 millions d'euros ou 1,4% du CA annuel mondial. Au-delà des amendes, l'ANSSI peut imposer des mesures correctives obligatoires, des audits et rendre publique la non-conformité.
: Oui, dans les secteurs concernés. Les entités importantes couvrent un périmètre large : entreprises de 50 à 249 salariés ou entre 10 et 50 M€ de chiffre d'affaires, dans les secteurs visés. Une ETI industrielle, une clinique privée ou un fournisseur de services numériques peut très bien être dans le périmètre NIS2.
: La transposition via la Loi Résilience est attendue pour juillet 2026. Mais le ReCyF, publié par l'ANSSI le 17 mars 2026, est d'ores et déjà disponible et opérationnel. L'ANSSI encourage explicitement les futures entités assujetties à ne pas attendre la promulgation pour s'engager dans leur démarche de mise en conformité.
: Trois actions prioritaires : cartographier vos permissions et accès sur M365 (OneDrive, SharePoint, Teams), identifier et corriger les sur-partages et accès obsolètes, installer une gouvernance des droits en continu avec des campagnes de revue périodiques. C'est précisément le périmètre couvert par le dispositif DETOX pour M365 d'IDECSI, opérationnel en 4 à 6 semaines, sans charge IT supplémentaire.

Conclusion

NIS2 n'est pas une contrainte lointaine. Le ReCyF est disponible dès aujourd'hui, la Loi Résilience avance, et l'ANSSI est claire : les organisations doivent s'engager maintenant dans leur démarche de sécurisation. Attendre la promulgation, c'est perdre des mois précieux.

Pour les organisations qui utilisent Microsoft 365, le point de départ logique est la maîtrise des accès et des partages de données — c'est là que se concentrent les risques les plus exposés, et c'est précisément ce que cible la mesure 9 de l'article 21. Reprendre le contrôle sur vos permissions M365, responsabiliser vos utilisateurs, installer une gouvernance durable : ce sont des actions concrètes, mesurables, et réalisables en quelques semaines.

IDECSI vous accompagne dans cette démarche avec un dispositif clé-en-main, des résultats documentés et une approche qui n'alourdit pas la charge de votre équipe IT.

Prêt à évaluer votre exposition NIS2 sur M365 ?

Articles récents

DSPM (Data Security Posture Management) : Guide complet 2026

Microsoft 365 Copilot vs ChatGPT Enterprise : Comparatif pour les DSI (2026)

Microsoft Agent 365 : architecture, sécurité et enjeux de gouvernance

Comparatif des solutions d'IA en entreprise : Le guide DSI 2026