Mon SaaS B2B de 60 salariés est-il concerné par NIS2 ?

Très probablement oui, au titre des « services numériques » (annexe II). Avec ≥ 50 salariés ou ≥ 10 M€ de CA, votre SaaS est classé entité importante. Vous devez vous déclarer auprès de l'ANSSI.

SOC 2 Type II suffit-il pour NIS2 ?

Non. SOC 2 et NIS2 ne sont pas équivalents. Les recouvrements existent (chiffrement, MFA, audit logs) mais ne représentent que 60-70 % du périmètre NIS2. NIS2 demande notamment la notification ANSSI 24h/72h, le registre fournisseurs, et les exercices de continuité — qui ne sont pas dans SOC 2.

Comment notifier un incident à l'ANSSI ?

Trois étapes : alerte précoce sous 24h via le portail Mon Service Sécurisé de l'ANSSI, notification détaillée sous 72h, rapport final sous 1 mois. La notion d'« impact significatif » est volontairement large — en cas de doute, mieux vaut notifier.

Que change NIS2 pour le board d'une entreprise ?

La nouveauté NIS2 est la responsabilité personnelle des dirigeants. Le CEO et le CTO peuvent voir leur responsabilité civile engagée, voire être interdits d'exercer des fonctions managériales en cas de manquement grave. NIS2 devient un sujet board, pas un sujet RSSI.

ApplicableApplication : 2024-10-17

NIS2

Network and Information Security 2 — Directive (UE) 2022/2555

Directive cybersécurité européenne applicable depuis octobre 2024. Élargit le périmètre aux SaaS, datacenters, transporteurs, alimentaire.

Secteurs concernés

01 · Qu'est-ce que c'est ?

NIS2 (directive 2022/2555) est le second cadre européen de cybersécurité, qui remplace la directive NIS de 2016. Elle est entrée en application le 17 octobre 2024 et a été transposée en droit français par la loi du 21 novembre 2024.

L'objectif : harmoniser et renforcer le niveau de cybersécurité dans l'UE en imposant aux entités identifiées comme « essentielles » ou « importantes » des obligations de gestion du risque, de notification d'incident, et de gouvernance — avec une responsabilité personnelle des dirigeants en cas de manquement.

L'autorité française de référence est l'ANSSI (Agence nationale de la sécurité des systèmes d'information). C'est elle qui reçoit les déclarations, les notifications d'incident, et qui mène les contrôles.

02 · Qui est concerné ?

Le périmètre est défini par les annexes I (entités essentielles) et II (entités importantes) de la directive. En synthèse :

Annexe I (entités essentielles) : énergie, transport, banques, santé, eau, infrastructures numériques, administrations publiques, espace.
Annexe II (entités importantes) : services postaux, gestion des déchets, alimentation, fabrication de produits chimiques / dispositifs médicaux / véhicules, services numériques (cloud, datacenter, SaaS), R&D.

Les seuils : ≥ 50 salariés OU ≥ 10 M€ de CA suffisent pour entrer dans le périmètre « entité importante ». Au-delà de 250 salariés ou 50 M€ CA, c'est « entité essentielle » avec un régime de contrôle plus strict.

Important : la déclaration auprès de l'ANSSI est auto-déclarative. Aucune notification n'est envoyée par l'autorité — c'est à l'entité concernée de s'identifier et de se déclarer. L'absence de déclaration est elle-même une infraction.

03 · Calendrier d'application

Applicable depuis le 17 octobre 2024. Transposée en droit français en novembre 2024. Auto-déclaration ANSSI ouverte ; contrôles ciblés à compter de 2026.

17 octobre 2024 : entrée en application de la directive.
Novembre 2024 : transposition française votée.
2025 : ouverture du portail d'auto-déclaration ANSSI.
À compter de 2026 : contrôles ciblés sur les acteurs ayant eu un incident notifié, signalés via plainte, ou identifiés comme à risque.

04 · Sanctions

Les sanctions sont à la fois administratives et personnelles :

Entités essentielles : amende jusqu'à 10 M€ ou 2 % du CA annuel mondial (le plus élevé).
Entités importantes : amende jusqu'à 7 M€ ou 1,4 % du CA annuel mondial.
Responsabilité personnelle des dirigeants : possibilité d'interdiction temporaire d'exercer des fonctions de direction.
Sanctions complémentaires : injonctions de mise en conformité, suspension d'autorisations, publication des décisions.

05 · Comment s'y conformer

L'article 21 de la directive liste 10 catégories de mesures techniques et organisationnelles minimales. En traduction logicielle :

Audit log infalsifiable et requêtable (chaque action sensible tracée, append-only, horodaté).
Détection d'incident et workflow de notification ANSSI sous 24h alerte / 72h détaillé / 1 mois rapport final.
Registre des sous-traitants techniques avec certifications associées (SOC 2, ISO 27001, NIS2), dates d'audit, contacts DPO/RSSI.
Gestion d'accès avec MFA, gestion des privilèges, et revues régulières.
Plan de continuité d'activité documenté, testé, et revu annuellement.

06 · Questions fréquentes

Mon SaaS B2B de 60 salariés est-il concerné par NIS2 ?: Très probablement oui, au titre des « services numériques » (annexe II). Avec ≥ 50 salariés ou ≥ 10 M€ de CA, votre SaaS est classé entité importante. Vous devez vous déclarer auprès de l'ANSSI.
SOC 2 Type II suffit-il pour NIS2 ?: Non. SOC 2 et NIS2 ne sont pas équivalents. Les recouvrements existent (chiffrement, MFA, audit logs) mais ne représentent que 60-70 % du périmètre NIS2. NIS2 demande notamment la notification ANSSI 24h/72h, le registre fournisseurs, et les exercices de continuité — qui ne sont pas dans SOC 2.
Comment notifier un incident à l'ANSSI ?: Trois étapes : alerte précoce sous 24h via le portail Mon Service Sécurisé de l'ANSSI, notification détaillée sous 72h, rapport final sous 1 mois. La notion d'« impact significatif » est volontairement large — en cas de doute, mieux vaut notifier.
Que change NIS2 pour le board d'une entreprise ?: La nouveauté NIS2 est la responsabilité personnelle des dirigeants. Le CEO et le CTO peuvent voir leur responsabilité civile engagée, voire être interdits d'exercer des fonctions managériales en cas de manquement grave. NIS2 devient un sujet board, pas un sujet RSSI.

Sources officielles

Réglementations connexes

Digital Operational Resilience Act — Règlement (UE) 2022/2554
Applicable2025-01-17
DORA
Digital Operational Resilience Act — Règlement (UE) 2022/2554
Règlement européen sur la résilience opérationnelle numérique du secteur financier. Applicable depuis le 17 janvier 2025, avec TLPT en 2026.
- Secteur bancaire
- Finance & VC
Décrypter →
Règlement (UE) 2024/1689 sur l'intelligence artificielle
Application partielle2025-02-02
EU AI Act
Règlement (UE) 2024/1689 sur l'intelligence artificielle
Premier cadre horizontal mondial de régulation de l'IA. Obligations IA haut risque applicables le 2 août 2026.
- SaaS
- Secteur bancaire
- Défense
- +1
Décrypter →

Articles d'analyse

NIS2 pour les éditeurs SaaS : six mois pour passer l'audit
SaaS8 avril 2026
NIS2 pour les éditeurs SaaS : six mois pour passer l'audit
Applicable depuis octobre 2024, la directive NIS2 commence à mordre en 2026. Les éditeurs SaaS classés « entité importante » font face à des exigences techniques nouvelles.

Un projet logiciel NIS2 ?

Quand NIS2 demande un logiciel sur-mesure, nous le livrons en quelques semaines, 3× moins cher qu'un éditeur historique.

Décrire votre projet