NIS2 à Montpellier : pourquoi les entreprises d’Occitanie doivent agir maintenant pour se mettre en securité avant les premières sanctions européennes
La directive européenne NIS2 n’est plus une menace lointaine. Plusieurs pays membres de l’Union Européenne ont déjà transposé la directive et prononcé leurs premières sanctions. La France avance à marche forcée, et les entreprises de Montpellier et d’Occitanie qui n’ont pas encore engagé leur mise en conformité jouent avec le feu.
Dans cet article, nous faisons le point sur ce qui se passe déjà en Europe, ce qui arrive très prochainement en France, et ce que les organisations de la région Occitanie doivent mettre en place sans attendre pour éviter des sanctions pouvant atteindre 10 millions d’euros.
L’Europe a déjà franchi le pas : ce qui se passe chez nos voisins
La date limite de transposition de NIS2 était fixée au 17 octobre 2024. Plusieurs États membres ont respecté ce calendrier et sont entrés dans une phase active d’application.
En Belgique, le Centre pour la Cybersécurité (CCB) a publié ses premières mises en demeure dès novembre 2024. Les entités essentielles ont 3 mois pour se conformer sous peine d’amendes administratives.
Aux Pays-Bas, le NCSC néerlandais a établi un registre des entités soumises à NIS2 et a lancé des inspections dès le premier trimestre 2025.
En Allemagne, le BSI (équivalent de l’ANSSI) applique NIS2 via la loi NIS2UmsuCG entrée en vigueur en 2024, avec des sanctions pouvant atteindre 10 millions d’euros pour les entités essentielles.
À retenir : Ce n’est pas une question de “si” mais de “quand”. Les sanctions tombent déjà chez nos voisins européens. La France suit le même chemin avec quelques mois de décalage.
NIS2 en France : le calendrier qui s’accélère
La France a accusé un retard dans la transposition de NIS2, mais la machine est en marche. L’ANSSI pilote le projet de loi de transposition, attendu pour 2025, avec une entrée en application progressive ensuite.
Ce que l’on sait déjà :
- +15 000 entités françaises seront concernées contre 500 sous NIS1
- Les entreprises de la métropole de Montpellier actives dans la santé, l’eau, les transports, le numérique ou l’industrie sont directement dans le scope
- Les sanctions pour les entités essentielles pourront atteindre 10 millions d’euros ou 2% du CA mondial
- Les sanctions pour les entités importantes pourront atteindre 7 millions d’euros ou 1,4% du CA mondial
- Les dirigeants sont personnellement responsables de la mise en conformité
À retenir : Les entreprises de Montpellier ont une fenêtre de préparation. Mais cette fenêtre se referme rapidement. Commencer aujourd’hui c’est avoir 12 à 18 mois d’avance sur les contrôles.
Êtes-vous concerné ? Les secteurs visés en Occitanie
NIS2 distingue deux catégories d’entités, toutes deux présentes dans le tissu économique de Montpellier et de la région Occitanie :
Entités essentielles (EE)
- Énergie (électricité, gaz, pétrole)
- Transports (aérien, ferroviaire, maritime, routier)
- Secteur bancaire et financier
- Santé — particulièrement présent à Montpellier (CHU, cliniques, biotech)
- Eau potable et eaux usées
- Infrastructure numérique et services ICT
Entités importantes (EI)
- Services postaux et de messagerie
- Gestion des déchets
- Fabrication de produits critiques (chimie, agro-alimentaire)
- Fournisseurs de services numériques
- Recherche — universités et laboratoires (secteur majeur à Montpellier)
Les critères de taille : toute organisation de plus de 50 salariés ou 10 millions d’euros de CA dans ces secteurs est potentiellement concernée.
Les 4 obligations NIS2 à mettre en place
Que vous soyez à Montpellier, Nîmes ou Béziers, les obligations sont identiques. Voici les 4 piliers de la conformité NIS2 :
1. Gouvernance cyber
- Désigner un responsable cybersécurité (RSSI ou équivalent)
- Former et sensibiliser la direction — les dirigeants sont personnellement impliqués sous NIS2
- Documenter une politique de sécurité des systèmes d’information (PSSI)
2. Gestion des risques
- Conduire une analyse de risques formalisée (méthode EBIOS RM recommandée par l’ANSSI)
- Inventorier et classer les actifs critiques
- Mettre en place des mesures techniques proportionnées aux risques identifiés
3. Plan de continuité et de reprise
- Formaliser un Plan de Continuité d’Activité (PCA) documenté et testé
- Définir un Plan de Reprise d’Activité (PRA) avec des objectifs RTO et RPO précis
- Appliquer la règle des sauvegardes 3-2-1 avec stockage hors ligne
4. Déclaration des incidents
- Mettre en place une procédure de notification des incidents significatifs à l’ANSSI sous 24h
- Rapport intermédiaire sous 72h
- Rapport final sous 1 mois
À retenir : La notification des incidents est l’obligation la plus immédiate et la plus contrôlable. Ne pas déclarer un incident grave est une faute caractérisée sous NIS2.
Ce que font déjà les entreprises proactives à Montpellier
Les organisations de la région Occitanie les plus avancées ont engagé une démarche en 3 phases :
Phase 1 — Évaluation (1 à 2 mois)
Audit de l’existant, cartographie des actifs, identification du périmètre NIS2, gap analysis par rapport aux exigences.
Phase 2 — Mise en conformité (3 à 6 mois)
Rédaction de la PSSI, mise en place des procédures, déploiement des outils techniques, formation des équipes.
Phase 3 — Maintien en condition (continu)
Tests réguliers du PCA/PRA, exercices de crise, veille réglementaire, audits annuels.
Les entreprises de Montpellier qui démarrent aujourd’hui ont largement le temps d’être conformes avant les premiers contrôles français. Celles qui attendent risquent de se retrouver dans l’urgence — et l’urgence coûte toujours plus cher.
Pour en savoir plus, consultez nos autres articles sur la cybersécurité et notamment notre guide complet sur NIS2.
FAQ — NIS2 à Montpellier et en Occitanie
Mon entreprise de 60 salariés à Montpellier est-elle concernée par NIS2 ?
Si votre organisation dépasse 50 salariés ou 10 millions d’euros de chiffre d’affaires et opère dans un secteur listé par NIS2 (santé, numérique, énergie, transport…), vous êtes très probablement concerné. Une analyse de périmètre est indispensable pour le confirmer.
Quand les contrôles NIS2 vont-ils commencer en France ?
La transposition française est attendue courant 2025. Les premières inspections de l’ANSSI devraient débuter dans la foulée, avec une montée en puissance progressive. Les entités essentielles seront contrôlées en priorité.
Combien coûte une mise en conformité NIS2 pour une ETI en Occitanie ?
Le coût varie selon votre niveau de maturité existant. Un accompagnement complet pour une ETI de 50 à 200 salariés représente généralement entre 15 000 et 50 000 euros, selon la complexité du système d’information. C’est significativement moins que les sanctions encourues ou le coût moyen d’une cyberattaque (97 000 euros pour une PME selon l’ANSSI).
Que risque concrètement mon dirigeant en cas de non-conformité ?
Sous NIS2, la responsabilité personnelle des dirigeants est expressément mentionnée. En cas d’incident grave révélant une non-conformité manifeste, le dirigeant peut faire l’objet d’une interdiction temporaire d’exercer ses fonctions, en plus des sanctions financières pour l’organisation.
Conclusion : ne laissez pas l’Europe vous rattraper
L’exemple de nos voisins européens est clair : NIS2 se déploie, les sanctions tombent, et la France n’échappera pas à cette dynamique. Les entreprises de Montpellier et d’Occitanie qui agissent maintenant transforment une contrainte réglementaire en avantage compétitif — elles seront plus solides, plus rassurantes pour leurs clients et leurs partenaires.
Résilience Cyber accompagne les ETI et organisations critiques d’Occitanie dans leur mise en conformité NIS2 : audit, plan d’action, accompagnement à la mise en œuvre.
📋 Commencez par évaluer votre niveau actuel : téléchargez notre checklist gratuite des 30 points
📞 Ou prenez rendez-vous avec un expert pour un échange gratuit de 30 minutes sur votre situation.