NIS2 et Cyberedouane — pourquoi les MSP doivent comprendre les deux

La directive NIS2 (Network and Information Security 2) transpose en droit européen un ensemble d'obligations de cybersécurité pour les entités critiques. En France, c'est l'ANSSI qui en assure la supervision, notamment via le dispositif Cyberedouane — le cadre de contrôle des flux numériques sur les réseaux et infrastructures critiques nationaux.

Pour un MSP, la distinction est importante : NIS2 fixe qui est obligé et quoi faire. Cyberedouane précise comment l'ANSSI contrôle la conformité sur les réseaux qu'elle supervise. Un client opérateur essentiel dans l'énergie, le transport ou la santé est soumis aux deux référentiels — et son MSP est dans sa chaîne de responsabilité.

🏛️
~15 000 entités concernées en France par NIS2 — dont des milliers de PME sous-traitantes d'opérateurs essentiels. Le MSP qui les accompagne est lui-même dans la boucle de conformité.

Notre article de référence sur NIS2 couvre le cadre réglementaire général. Cet article descend dans le détail technique : quelles entités exactement, quelles obligations concrètes, et comment le MSP se positionne.

Les 10 catégories d'entités concernées par NIS2

NIS2 distingue deux niveaux d'entités avec des obligations d'intensité différente. Les entités essentielles (haute criticité) sont soumises à des exigences renforcées et à des contrôles proactifs de l'ANSSI. Les entités importantes ont des obligations similaires mais des contrôles réactifs (déclenchés sur incident).

Catégorie Secteurs Niveau
Énergie Électricité, gaz, pétrole, hydrogène, réseaux de chaleur Essentiel
Transports Aviation, ferroviaire, maritime, routier (infrastructure) Essentiel
Secteur bancaire Établissements de crédit, infrastructures des marchés financiers Essentiel
Santé Hôpitaux, laboratoires, fabricants de dispositifs médicaux Essentiel
Eau potable & eaux usées Réseaux de distribution, traitement Essentiel
Infrastructures numériques DNS, IXP, datacenters, fournisseurs cloud, réseaux de communication Essentiel
Gestion des TIC (B2B) MSP, MSSP, fournisseurs de services numériques — vous Essentiel
Industrie & fabrication Fabricants de machines, véhicules, équipements électroniques Important
Alimentation Production, transformation, distribution alimentaire à grande échelle Important
Services postaux & chimie Opérateurs postaux, fabricants de substances dangereuses Important
⚠️ Attention MSP

La catégorie "Gestion des TIC" (ligne 7) inclut explicitement les MSP et MSSP dans les entités essentielles, dès lors qu'ils dépassent les seuils de taille (250 salariés ou 50M€ CA, ou désignation par l'ANSSI). En dessous, vous restez dans la chaîne d'approvisionnement de vos clients — et leur obligation de vous auditer s'applique.

Les obligations concrètes — ce que NIS2 impose

NIS2 articule ses exigences autour de trois axes. Voici ce qu'ils signifient opérationnellement pour un MSP qui accompagne des clients concernés.

🚨
Notification d'incident — obligation 24h / 72h
Délai légal : 24h / 72h

Tout incident significatif doit être signalé à l'ANSSI dans les 24 heures (alerte initiale, sans attendre l'analyse complète). Un rapport détaillé suit dans les 72 heures. Un rapport final est attendu dans le mois. "Significatif" couvre : interruption de service, accès non autorisé prouvé, fuite de données, attaque DDoS sur infrastructure critique. Le seuil est délibérément bas — l'ANSSI préfère être alertée trop tôt que trop tard. Votre rôle MSP : détecter, qualifier et déclencher la procédure de notification pour votre client. Sans supervision réseau en continu (DETOXIO ou équivalent), la détection à J+0 est impossible.

🛡️
Gestion des risques — mesures de sécurité obligatoires
Permanent — vérifiable à tout moment

NIS2 impose un socle de 10 mesures de sécurité que toute entité concernée doit avoir en place : politique de gestion des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des ressources humaines, politiques de contrôle d'accès et authentification (MFA obligatoire), cryptographie, sécurité des communications, gestion des actifs, et traitement des vulnérabilités. L'ANSSI peut demander la preuve de mise en œuvre à tout moment — la conformité doit être documentée, pas seulement déployée.

🔗
Sécurité de la chaîne d'approvisionnement
Audit annuel recommandé

L'article 21 de NIS2 impose aux entités concernées de vérifier et documenter la conformité de leurs fournisseurs numériques clés. Concrètement : votre client opérateur essentiel doit vous demander un rapport de conformité NIS2 — et vous devez être en mesure de le fournir. Ce rapport couvre vos propres pratiques de sécurité, vos procédures d'incident, et les garanties que vous offrez sur la confidentialité et la disponibilité de leurs données. Les MSP qui ne peuvent pas fournir ce rapport perdront des contrats avec des clients regulated dès 2026. DETOXIO génère ce rapport automatiquement.

Sanctions : ce que risquent vos clients

NIS2 prévoit des sanctions administratives significatives. Les responsables dirigeants peuvent être personnellement tenus responsables — un changement majeur par rapport à NIS1.

10M€ ou 2% du CA mondial — amende max entités essentielles
7M€ ou 1,4% du CA mondial — amende max entités importantes
📋 Responsabilité dirigeant

NIS2 introduit explicitement la responsabilité personnelle des dirigeants en cas de non-conformité grave. L'ANSSI peut publiquement nommer les entités non conformes (name & shame) et interdire temporairement aux dirigeants d'exercer des fonctions de direction. Ce n'est plus un risque IT — c'est un risque juridique personnel.

Ce que les MSP doivent faire pour accompagner leurs clients

La valeur du MSP dans le contexte NIS2 n'est pas seulement technique — c'est de transformer une obligation réglementaire complexe en service clés en main. Voici la checklist pratique, dans l'ordre d'impact.

01
Qualifier si le client est entité essentielle ou importante Priorité haute

Vérifiez le secteur d'activité, la taille (seuils : 250 salariés ou 50M€ CA pour "entité importante", plus si désignation ANSSI) et les liens de sous-traitance avec des opérateurs essentiels. Un sous-traitant direct d'un hôpital ou d'une infrastructure énergétique est souvent concerné même s'il ne l'est pas directement. Ce diagnostic est votre premier livrable commercialement valorisable.

🛠️ Template de qualification disponible dans le portail partenaire DETOXIO
02
Déployer la supervision réseau continue Priorité haute

La notification en 24h est impossible sans détection en temps réel. DETOXIO surveille en continu les flux réseau, génère des alertes qualifiées et produit les logs d'audit exportables requis par l'ANSSI. C'est la brique fondatrice — sans elle, toutes les autres obligations sont impossibles à tenir dans les délais légaux.

🛠️ DETOXIO : déploiement en 30 minutes, supervision 24/7, logs prêts pour audit ANSSI
03
Rédiger et faire signer la procédure de notification d'incident Priorité haute

La procédure doit préciser : qui déclenche l'alerte ANSSI (MSP ou client), quel critère déclenche la notification (seuil de criticité), comment se fait la remontée interne en moins de 2h, et qui signe le rapport à 72h. Cette procédure doit être cosignée par le dirigeant — sa responsabilité personnelle en dépend. Elle doit être révisée après chaque incident.

🛠️ DETOXIO : template de procédure + modèle de notification ANSSI inclus dans le programme partenaire
04
Constituer le dossier de conformité chaîne d'approvisionnement Priorité haute

Votre client opérateur essentiel a l'obligation légale de vous auditer. Préparez proactivement : votre politique de sécurité interne, votre certification ou conformité NIS2 propre, les garanties de disponibilité et de confidentialité que vous offrez, et un inventaire de vos propres fournisseurs critiques (hébergeur, éditeurs logiciels). Ce dossier vous évite de perdre un contrat sur une exigence documentaire.

🛠️ DETOXIO : rapport de conformité revendeur auto-généré, exportable en PDF
05
Auditer et documenter les 10 mesures obligatoires NIS2 Important

Passez en revue les 10 domaines avec votre client : politique des risques, gestion des incidents, continuité d'activité (PCA/PRA), chaîne d'approvisionnement, ressources humaines, contrôle d'accès (MFA), cryptographie, sécurité des communications, gestion des actifs, gestion des vulnérabilités. Produisez un tableau de bord de conformité avec un statut clair (conforme / en cours / manquant) pour chaque domaine.

🛠️ DETOXIO couvre automatiquement 7 des 10 domaines — voir notre checklist complète
06
Positionner la conformité comme MRR récurrent Important

NIS2 n'est pas un projet one-shot — c'est un état permanent. La surveillance continue, la mise à jour des procédures, les tests du PCA, les formations annuelles, les revues de sécurité trimestrielles : tout ceci se facture en récurrent. Notre guide sur la facturation cybersécurité MSP détaille les modèles de pricing.

🛠️ Marges DETOXIO revendeur : 30–40% sur l'abonnement mensuel + prestation d'accompagnement
07
Créer un canal de veille réglementaire Complémentaire

L'ANSSI publie régulièrement des guides sectoriels et des mises à jour de son référentiel. Abonnez-vous au CERT-FR, aux alertes ANSSI et aux publications de l'ENISA (agence EU). Chaque nouvelle publication est une opportunité de contacter vos clients concernés avec une analyse adaptée à leur secteur — c'est du conseil à valeur ajoutée, pas de la maintenance.

📡 CERT-FR : cert.ssi.gouv.fr | ANSSI : ssi.gouv.fr | ENISA : enisa.europa.eu

Timeline d'application — octobre 2026, on y est

La directive NIS2 est techniquement en vigueur depuis octobre 2024. La transposition française et l'intensification des contrôles ANSSI se déroulent sur 2025–2026. Nous sommes en mai 2026 — il reste moins de 5 mois avant la vague d'audit d'automne.

Octobre 2024 — passé
Directive NIS2 en vigueur — délai de transposition terminé
Les États membres devaient transposer NIS2 en droit national avant le 17 octobre 2024. Les obligations s'appliquent formellement depuis cette date. La France a publié son ordonnance de transposition. Les entités concernées qui n'ont rien fait sont déjà en retard.
2025 — contrôles ciblés ANSSI
Première vague de contrôles — secteurs énergie et santé en tête
L'ANSSI a concentré ses premières vérifications sur les opérateurs essentiels des secteurs énergie et santé. Les MSP qui travaillent avec ces clients ont reçu (ou vont recevoir) des demandes de justification de conformité de leurs clients.
Mai – Septembre 2026 — maintenant
Fenêtre de mise en conformité — dernière chance avant la vague générale
C'est maintenant. Les MSP qui déploient DETOXIO et constituent les dossiers de conformité dans cette fenêtre seront en position défensive lors des contrôles d'automne. Les 5 mois qui restent permettent une mise en conformité complète sur un portefeuille de clients PME.
Octobre 2026 — vague générale
Intensification des contrôles — tous secteurs, entités importantes incluses
L'ANSSI élargit ses contrôles aux entités importantes (secteurs industrie, alimentation, services). Les MSP non conformes risquent de perdre des clients. Les sanctions financières et la responsabilité dirigeant s'appliquent. C'est l'échéance que vous avez 5 mois pour préparer.
📈 Calcul d'urgence

Un MSP avec 15 clients PME potentiellement concernés, à 5 jours de travail par client pour la mise en conformité initiale = 75 jours de travail. Réaliste en 5 mois avec 2 techniciens si vous commencez maintenant. Si vous attendez septembre, vous n'y arriverez pas.

Le positionnement MSP à adopter maintenant

NIS2 et Cyberedouane créent une fenêtre commerciale que les MSP avisés saisiront en 2026. Ce n'est pas de l'alarmisme — c'est de l'arithmétique. Vos clients essentiels ont une obligation légale. Ils ont besoin d'aide pour la remplir. Vous avez les compétences et les outils. Il manquait le cadre réglementaire pour créer l'urgence.

En pratique, ça ressemble à :

  • Première conversation : "Êtes-vous dans le périmètre NIS2 ? Je vous propose un diagnostic gratuit en 1h." — C'est une porte d'entrée, pas une vente forcée.
  • Deuxième conversation : "Voici votre état de conformité actuel sur les 10 points NIS2. Voici ce qu'il manque et combien ça coûte à corriger." — C'est un devis sur une obligation légale, pas un projet optionnel.
  • Troisième conversation : "Voici le rapport de conformité que vous devrez fournir à vos clients si on vous demande." — C'est la valeur différenciante qui justifie le contrat récurrent.

Pour aller plus loin sur la structure de tarification et les modèles MRR, consultez notre guide complet sur la facturation cybersécurité MSP. Pour la mise en œuvre pas à pas, la checklist NIS2 MSP en 10 actions est votre point de départ. Et pour le cadre réglementaire complet, relisez notre article fondateur sur NIS2 et les PME françaises.

🛒
à lire aussi — vos clients PME
NIS2 PME 50 salariés : êtes-vous concerné ? →

Le critère taille exact, les 18 secteurs et les 3 étapes concrètes pour vos clients PME de taille intermédiaire.

🔐 Guide NIS2 — 10 étapes

Téléchargez le guide complet "10 étapes NIS2 MSP"

Méthodologie terrain pour accompagner vos clients PME vers la conformité NIS2 — avec templates, procédures et modèles de rapports ANSSI.

Accéder au guide gratuit →