NIS2 et hébergement web : ce que ça change pour votre entreprise en 2026

La directive NIS2 est une réglementation européenne de cybersécurité qui élargit fortement le nombre d’entreprises soumises à des obligations de sécurité : entre 15 000 et 18 000 entités sont concernées en France, réparties en deux catégories, entités essentielles et entités importantes. Même si votre entreprise n’entre pas directement dans ce périmètre, elle peut être concernée par effet cascade : une entité régulée doit sécuriser l’ensemble de sa chaîne de sous-traitance, et votre hébergeur web en fait partie. En 2026, savoir si vous êtes concerné et choisir un hébergeur capable de prouver sa sécurité devient un enjeu concret pour conserver vos clients et vos marchés.

Pour beaucoup de dirigeants de TPE, de freelances et d’e-commerçants, NIS2 ressemble à un sujet réservé aux grands groupes industriels. C’est une erreur d’appréciation qui peut coûter cher : la directive transforme la cybersécurité en critère commercial, et place votre hébergeur au cœur du dispositif.

La situation française mérite toutefois d’être clarifiée, car de nombreux articles la présentent de façon inexacte. Au moment où nous écrivons ces lignes, NIS2 n’est pas encore transposée en droit français : le projet de loi Résilience, qui doit l’inscrire dans la loi, est attendu en séance à l’Assemblée nationale en juillet 2026.

En attendant, l’ANSSI a publié le 17 mars 2026 son Référentiel Cyber France (ReCyF), qui sert de feuille de route opérationnelle aux entités concernées. Dans ce guide, vérifié en juin 2026, vous verrez ce qu’est réellement NIS2, qui est concerné, ce que la directive exige de votre hébergeur, ce qu’elle exige de vous, et comment choisir une infrastructure qui simplifie votre mise en conformité plutôt que de la compliquer.

NIS2 : qu’est-ce que c’est et quand entre-t-elle vraiment en vigueur en France ?

La directive NIS2 (directive UE 2022/2555) est le cadre européen qui fixe un niveau commun de cybersécurité aux organisations jugées critiques pour l’économie. Pour vous, l’intérêt n’est pas théorique : elle définit qui devra prouver sa sécurité, et donc à qui vos clients ou vous-même devrez bientôt rendre des comptes.

De NIS1 à NIS2 : ce qui change pour vous

NIS2 remplace la première directive NIS de 2016, dont le périmètre était jugé trop étroit. Le changement d’échelle est considérable et vous concerne directement.

• Le périmètre passe de 7 à 18 secteurs → la directive inclut désormais les services numériques, l’agroalimentaire, la chimie ou la fabrication industrielle → concrètement, votre activité ou celle de vos clients a beaucoup plus de chances d’être concernée qu’auparavant.
• Le nombre d’entités régulées est multiplié par plus de 20 → on passe d’environ 500 opérateurs sous NIS1 à 15 000-18 000 entités en France → vous ne pouvez plus partir du principe que « ça ne me concerne pas ».
• La responsabilité des dirigeants est directement engagée → NIS2 impose à la direction d’approuver et de superviser les mesures de sécurité → la cybersécurité devient un sujet de gouvernance, pas seulement une affaire d’informaticien.

NIS2 n’est pas un référentiel technique comme l’ISO 27001 : c’est un texte juridique contraignant qui impose une gestion des risques, une notification des incidents et des sanctions financières lourdes.

Où en est la France en 2026 ?

C’est le point que beaucoup d’articles présentent de façon inexacte, et le clarifier vous évite de prendre de mauvaises décisions.

• La date limite européenne de transposition était le 17 octobre 2024 → la France l’a dépassée, comme plusieurs États membres → la directive n’est donc pas encore inscrite dans la loi française au moment où vous lisez ce guide.
• La transposition passe par le projet de loi Résilience → son examen en séance à l’Assemblée nationale est attendu en juillet 2026, pour une promulgation espérée dans la foulée → vous disposez d’une fenêtre d’anticipation avant que les obligations ne deviennent pleinement opposables.
• L’ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026 → ce document liste les mesures recommandées pour atteindre les objectifs de NIS2 → vous pouvez vous appuyer dessus dès aujourd’hui pour structurer votre démarche, sans attendre le vote de la loi.

L’ANSSI encourage d’ailleurs les futures entités concernées à ne plus attendre, et a ouvert la plateforme MonEspaceNIS2 au pré-enregistrement volontaire. S’y inscrire tôt vous positionne favorablement et vous donne accès à des ressources pratiques — un avantage si vous voulez transformer cette contrainte en argument commercial plutôt qu’en urgence de dernière minute.

Votre entreprise est-elle concernée par NIS2 ?

Trois portes d’entrée déterminent si NIS2 s’applique à vous : votre secteur, votre taille, et votre place dans la chaîne de sous-traitance d’une entité régulée. Les deux premières définissent l’assujettissement direct ; la troisième, souvent ignorée, concerne le plus grand nombre de TPE et PME.

Les deux catégories : entités essentielles et importantes

NIS2 classe les organisations directement assujetties en deux catégories, selon la criticité de leur secteur et leur taille.

À noter : certaines organisations sont concernées quelle que soit leur taille — notamment les fournisseurs de services DNS, les registres de noms de domaine de premier niveau et les prestataires de services de confiance qualifiés. Si vous gérez un registre ou un service DNS, l’analyse ne dépend pas de votre effectif.

Si vous êtes sous les seuils (moins de 50 salariés et moins de 10 M€), vous n’êtes en principe pas concerné directement. Mais cela ne signifie pas que NIS2 vous ignore.

L’effet cascade : concerné même sans être directement visé

C’est le mécanisme le plus sous-estimé, et le plus probable pour une TPE ou une PME.

• NIS2 impose aux entités régulées de sécuriser leur chaîne d’approvisionnement (article 21) → elles doivent identifier et évaluer leurs fournisseurs critiques → si vous êtes l’un d’eux, vos clients vous transmettront des exigences de sécurité.
• En pratique, cela prend la forme de questionnaires de conformité, de clauses contractuelles renforcées et de droits d’audit → agences web, hébergeurs, éditeurs SaaS, prestataires IT sont en première ligne → ne pas pouvoir répondre revient, concrètement, à risquer de perdre le contrat.
• La responsabilité réglementaire reste portée par l’entité régulée, pas par vous → externaliser un service ne transfère pas la responsabilité → mais cette entité la répercute sur vous par le contrat, ce qui produit le même effet qu’une obligation directe.

Autrement dit, vous pouvez être hors du champ juridique de NIS2 tout en devant démontrer un niveau de sécurité équivalent pour conserver votre clientèle B2B. Anticiper devient alors un argument commercial autant qu’une précaution.

Quelles obligations NIS2 pèsent sur les hébergeurs web ?

Un hébergeur peut être concerné de deux façons : directement, si son activité relève des secteurs et seuils de la directive (les infrastructures numériques figurent parmi les secteurs hautement critiques), et indirectement, comme fournisseur critique de ses clients régulés. Dans les deux cas, ce sont les mesures de l’article 21 et le régime de notification de l’article 23 qui structurent ses obligations.

Les 10 mesures de l’article 21 qui touchent l’hébergement

L’article 21 impose dix catégories de mesures minimales de gestion des risques. Plusieurs concernent directement la qualité de l’infrastructure sur laquelle repose votre site.

• Analyse des risques et politiques de sécurité → l’hébergeur doit cartographier ses risques et formaliser ses règles → vous bénéficiez d’une infrastructure pilotée, pas improvisée.
• Gestion et notification des incidents → procédures de détection et de réponse documentées → en cas d’attaque, l’hébergeur réagit selon un processus défini plutôt que dans l’urgence.
• Continuité d’activité et sauvegardes → plans de reprise et sauvegardes testées → votre site peut être restauré après un incident, ce qui limite l’interruption de service.
• Sécurité de la chaîne d’approvisionnement → l’hébergeur doit lui aussi évaluer ses propres fournisseurs → la sécurité se vérifie sur toute la chaîne, jusqu’aux sous-traitants de votre prestataire.
• Cryptographie et chiffrement → données chiffrées en transit et au repos → vos informations sont protégées même en cas d’accès non autorisé au stockage.
• Contrôle d’accès et authentification forte (MFA) → accès restreints et tracés → réduction du risque qu’un compte compromis ouvre la porte à votre site.
• Sécurité physique des locaux → contrôle d’accès aux datacenters, vidéosurveillance, supervision 24/7 → un point explicite de l’article 21 que beaucoup oublient : la protection ne se limite pas au numérique.

La directive fixe les objectifs mais ne dit pas comment les atteindre : c’est le rôle du ReCyF de l’ANSSI de préciser les mesures opérationnelles attendues.

La notification d’incident en 24h / 72h / 1 mois

L’article 23 impose aux entités régulées un calendrier strict de notification à l’ANSSI, en trois étapes cumulatives.

Le point à retenir : le délai de 24h démarre dès la connaissance de l’incident, pas à sa résolution. Sans supervision continue et procédure d’astreinte, ce délai est intenable. Un hébergeur doté d’une détection opérationnelle vous aide donc indirectement à respecter vos propres obligations, en repérant l’incident assez tôt pour qu’il soit déclarable dans les temps.

Que devez-vous faire, vous, en tant que client ?

Quelle que soit votre situation, un principe domine : recourir à un hébergeur, même certifié, ne transfère pas votre responsabilité. NIS2 considère que l’entité régulée reste maîtresse de ses obligations, y compris pour les fonctions externalisées. Vos actions dépendent ensuite de votre profil.

• Identifiez votre situation → directement assujetti, ou concerné par effet cascade via un client régulé → cela détermine l’ampleur de l’effort à fournir.
• Cartographiez vos fournisseurs critiques → hébergeur, éditeurs SaaS, prestataires IT → tenez un registre à jour : c’est un élément de preuve exigible en cas de contrôle ou d’audit client.
• Préparez votre dossier de sécurité → politique de sécurité, MFA, sauvegardes testées, procédure d’incident → vous répondez plus vite et plus crédiblement aux questionnaires fournisseurs.
• Sur la notification, organisez-vous sur le délai le plus court → 24h pour l’ANSSI (NIS2), 72h pour la CNIL (RGPD) si des données personnelles sont touchées → déclencher les deux en parallèle évite de dépasser une échéance. Pour approfondir l’articulation, voir notre guide RGPD et hébergement web.

Le tableau ci-dessous résume les priorités selon votre profil.

Une règle d’or vaut pour tous : ne mentez pas dans un questionnaire fournisseur. Indiquer « MFA déployée à 60 %, plan de remédiation en cours pour atteindre 100 % » est mieux accepté qu’un « 100 % » qui s’effondre lors d’un audit complémentaire — et la sanction commerciale d’un mensonge découvert est immédiate.

Un hébergeur qui a déjà structuré sa sécurité ne vous rend pas conforme à votre place, mais il vous décharge d’une partie du travail et vous fournit des preuves directement réutilisables. Encore faut-il savoir ce que sa certification couvre — et ce qu’elle ne couvre pas.

La certification ISO/IEC 27001 atteste qu’un hébergeur applique un système de management de la sécurité de l’information (SMSI) : analyse des risques, contrôle des accès, gestion des incidents, continuité d’activité, audité chaque année par un organisme indépendant.

• Le ReCyF présente une forte correspondance structurelle avec l’ISO 27001 → un hébergeur certifié couvre déjà une large part des dix mesures de l’article 21 → vous héritez d’un socle d’infrastructure aligné, sans avoir à le construire.
• La certification est auditée annuellement → elle n’est pas un logo acquis une fois pour toutes → vous disposez d’une garantie maintenue dans le temps, et non d’une promesse ponctuelle.
• L’hébergeur peut fournir des preuves de conformité → attestations, logs d’accès, rapports d’audit → vous répondez plus vite aux questionnaires fournisseurs et aux appels d’offres, certificats à l’appui.
• Datacenters en France et conformité RGPD facilitée → vos données ne quittent pas le territoire → vous simplifiez l’articulation avec vos obligations RGPD, abordée dans notre guide RGPD et hébergement.

C’est le point sur lequel beaucoup d’entreprises se trompent, parfois jusqu’au contrôle.

• La certification couvre le périmètre de l’hébergeur, pas le vôtre → infrastructure et datacenter, mais pas votre application, vos comptes utilisateurs ni vos sauvegardes applicatives → vous devez sécuriser votre propre couche.
• L’ISO 27001 seule ne suffit pas à prétendre à la conformité NIS2 → elle ne couvre ni vos obligations de notification d’incident, ni la gestion complète de votre chaîne d’approvisionnement → la certification accélère votre démarche, mais ne la remplace pas.

En clair : choisissez un hébergeur certifié pour partir d’un bon socle, puis traitez votre propre périmètre (gouvernance, MFA, procédures). Les deux sont complémentaires, jamais interchangeables.

LWS face à NIS2 : une infrastructure déjà certifiée ISO 27001 ?

Parmi les hébergeurs français positionnés sur l’angle sécurité, LWS (Ligne Web Services) illustre ce que peut apporter une infrastructure alignée sur les exigences de NIS2. Voici les faits, leurs atouts et leurs limites.

Ce que LWS met en avant

• Certification ISO/IEC 27001:2022 → la version 2022 renforce la prise en compte du cloud et de la gestion des identités → vous bénéficiez d’un SMSI audité annuellement, couvrant une large part des mesures de l’article 21.
• Datacenters situés exclusivement en France (Equinix, Adista), certifiés ISO 27001 et HDS → vos données ne quittent pas le territoire → souveraineté juridique française et conformité RGPD facilitée, sans exposition au Cloud Act.
• Sécurité physique et supervision → contrôle d’accès renforcé, vidéosurveillance, monitoring 24/7, sauvegardes quotidiennes sur NAS indépendant → l’exigence de sécurité physique de l’article 21 est couverte au niveau de l’infrastructure.
• Uptime garanti à 99,99 % → soit moins d’environ 53 minutes d’indisponibilité par an → continuité de service utile pour limiter l’impact d’un incident (donnée annoncée par l’hébergeur, à vérifier sur lws.fr).
• Mise en conformité NIS2 annoncée → LWS indique préparer son alignement sur la directive, au-delà de l’ISO 27001 déjà obtenue → signal d’anticipation, mais à considérer comme une démarche en cours et non comme une conformité actée.

Les limites à connaître

• LWS n’opère aucun datacenter hors de France → si votre projet exige une présence multi-pays (latence internationale, réplication hors UE), regardez plutôt OVHcloud ou un acteur disposant d’un réseau mondial.
• Les tarifs ne sont pas les plus bas du marché sur certaines gammes (le VPS infogéré se situe au-dessus des offres low-cost) → l’écart se justifie par le support et la souveraineté, mais reste à arbitrer selon votre budget.
• La certification ISO 27001 de LWS ne vous rend pas conforme → elle couvre son infrastructure, pas votre périmètre applicatif → vous devez toujours traiter vos propres accès, sauvegardes et procédures.
• Comme pour tout hébergeur, les tarifs et conditions évoluent → vérifiez le prix d’appel et le prix de renouvellement, ainsi que la validité des certifications, directement sur les pages officielles avant de commander.

En synthèse : LWS constitue un point de départ cohérent si vous valorisez la souveraineté française et un socle déjà certifié, à condition de garder en tête que la conformité finale reste votre responsabilité — et de comparer selon votre budget et vos besoins réels.

Conclusion

La directive NIS2 ne se limite pas aux grandes entreprises ni aux secteurs industriels : par son périmètre élargi et son effet cascade, elle finit par concerner une grande partie des TPE, PME et e-commerçants, ne serait-ce que parce qu’ils fournissent une entité régulée. Dans cette équation, votre hébergeur occupe une place particulière : ses certifications, la localisation de ses serveurs et sa capacité à détecter un incident influencent directement votre propre niveau de sécurité et votre crédibilité commerciale.

La nuance reste essentielle. Un hébergeur certifié ISO 27001 vous fournit un socle aligné sur une large part de l’article 21 et des preuves réutilisables, mais il ne vous rend pas conforme à votre place : votre périmètre applicatif, vos accès et vos procédures de notification demeurent votre responsabilité.

L’avantage de 2026 est le temps. La transposition française n’étant attendue qu’à partir de juillet, et le ReCyF de l’ANSSI étant déjà disponible, vous pouvez transformer cette contrainte réglementaire en argument de confiance — à condition de vous y prendre maintenant, selon votre profil, votre budget et vos besoins réels.

FAQ sur NIS2

Qui est soumis à NIS2 en France ?

Sont directement soumises les entités essentielles et importantes, c’est-à-dire les organisations relevant de l’un des 18 secteurs critiques et dépassant les seuils de taille (en général 50 salariés ou 10 M€ de chiffre d’affaires ou de bilan). Certaines structures sont concernées quelle que soit leur taille, comme les fournisseurs de services DNS, les registres de noms de domaine de premier niveau et les prestataires de services de confiance qualifiés. Enfin, par effet cascade, les sous-traitants et fournisseurs d’une entité régulée doivent souvent démontrer un niveau de sécurité équivalent, sans être eux-mêmes directement assujettis.

Le RGPD protège les données personnelles ; NIS2 sécurise les réseaux et systèmes d’information des entités critiques. Les deux textes peuvent se déclencher en même temps : si un incident compromet des données personnelles, vous devez notifier l’ANSSI sous 24h puis 72h au titre de NIS2, et la CNIL sous 72h au titre du RGPD. Ce sont deux procédures distinctes, avec des interlocuteurs différents ; en pratique, mieux vaut s’organiser sur le délai le plus court et déclencher les deux en parallèle.

La démarche tient en quelques étapes : vérifier si vous êtes concerné, réaliser une analyse d’écart entre votre situation et les dix mesures de l’article 21, puis construire un plan de remédiation (souvent sur 12 à 18 mois) en commençant par les actions rapides — MFA, sauvegardes testées, gestion des correctifs. Vous pouvez vous appuyer sur le référentiel ReCyF de l’ANSSI et vous pré-enregistrer sur MonEspaceNIS2 pour accéder à des ressources pratiques, sans attendre le vote de la loi Résilience.

Il peut l’être de deux manières : directement, si son activité relève des infrastructures numériques et qu’il dépasse les seuils de la directive ; et indirectement, comme fournisseur critique de ses clients régulés, qui doivent évaluer la sécurité de leur chaîne d’approvisionnement. Dans les deux cas, un hébergeur sérieux doit pouvoir documenter ses mesures de sécurité et ses certifications.

Non. Elle constitue un socle solide, car elle couvre une large part des mesures de l’article 21 au niveau de l’infrastructure, et le ReCyF présente une forte correspondance avec cette norme. Mais elle ne couvre que le périmètre de l’hébergeur, pas votre application, vos accès ni vos sauvegardes. Elle ne traite pas non plus vos obligations de notification d’incident. La certification accélère votre conformité, elle ne la remplace pas.

Pour une entité essentielle, l’amende administrative peut atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial ; pour une entité importante, 7 millions d’euros ou 1,4 % du chiffre d’affaires. S’y ajoutent des sanctions complémentaires (injonctions, publication de la décision) et, nouveauté de NIS2, la responsabilité personnelle des dirigeants en cas de manquement grave.

Articles similaires :

RGPD et hébergement web : checklist 2026 (que 80 % des sites violent) Que va-t-il se passer si vous bloquez les bots IA ? Webmail Infomaniak vs Gmail : Lequel choisir pour une messagerie efficace ?