La directive NIS2, en cours de transposition en droit français, impose aux assureurs et à leurs prestataires IT des obligations renforcées de cybersécurité. Voici ce qu’il faut savoir.
La cybersécurité n’est plus une option pour le secteur de l’assurance. Avec la transposition imminente de la directive européenne NIS2 en droit français, les assureurs — classés parmi les entités essentielles — et leurs prestataires IT entrent dans une nouvelle ère réglementaire. Cet article vous explique concrètement ce que NIS2 change, qui est concerné, et comment se préparer.
Qu’est-ce que la directive NIS2 ?
NIS2 (Network and Information Security 2) est une directive européenne adoptée en novembre 2022, visant à élever le niveau de cybersécurité dans les secteurs critiques de l’Union européenne. Elle remplace NIS1 et élargit considérablement son périmètre d’application.
En France, le texte de transposition — la Loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité — a été voté au Sénat le 12 mars 2025. Les décrets d’application sont attendus avant la fin 2025.
Le périmètre passe d’environ 1 500 organisations sous NIS1 à près de 15 000 entités sous NIS2, réparties en deux catégories : les entités essentielles (EE) et les entités importantes (EI).
Qui est concerné ? Le périmètre NIS2 côté assurance
Les assureurs : entités essentielles
Les compagnies d’assurance, mutuelles et groupes de protection sociale qui dépassent les seuils réglementaires (250 salariés ou 50 M€ de chiffre d’affaires) sont classés en entités essentielles. À ce titre, ils sont soumis aux exigences les plus strictes de NIS2 et font l’objet de contrôles renforcés de l’ANSSI.
Les prestataires IT : dans le viseur de la réglementation
Les entreprises de services numériques (ESN), fournisseurs de services cloud, éditeurs de logiciels et autres partenaires technologiques des assureurs sont eux aussi intégrés au périmètre. Concrètement, un prestataire IT qui gère le système d’information d’un assureur doit respecter les mêmes exigences de sécurité que son client.
Impacts NIS2 sur les assureurs : 3 obligations majeures
01. Des mesures de sécurité obligatoires
Les assureurs devront mettre en œuvre un ensemble de mesures techniques et organisationnelles, notamment :
- Déploiement d’un SOC (Security Operations Center) ou recours à un prestataire MSSP qualifié
- Gestion formalisée des risques cyber intégrée à la stratégie d’entreprise
- Politiques de sauvegarde, de continuité d’activité et de gestion des crises
- Sécurisation de la chaîne d’approvisionnement numérique (supply chain)
02. Une gouvernance cyber au niveau de la direction
NIS2 fait de la cybersécurité un enjeu de direction. Les membres du conseil d’administration sont personnellement responsables de l’approbation et de la supervision des stratégies cyber. Des formations régulières des dirigeants sont également imposées. La cybersécurité sort du seul périmètre de la DSI pour devenir un sujet de gouvernance stratégique.
03. Notification d'incidents en moins de 24 heures
Tout incident significatif devra être signalé à l’ANSSI dans un délai de 24 heures après sa détection. Un rapport complet devra suivre sous 72 heures. Cette obligation de transparence est une rupture majeure pour un secteur habitué à gérer ses incidents de façon discrète.
Impacts NIS2 sur les prestataires IT et ESN
Les prestataires informatiques des assureurs ne sont pas de simples sous-traitants dans le cadre de NIS2 : ils deviennent des acteurs réglementés à part entière, soumis aux mêmes niveaux de contrôle que leurs clients.
Exigences techniques obligatoires
- Authentification multifacteur (MFA) sur tous les accès sensibles
- Segmentation des réseaux pour limiter la propagation des attaques
- Supervision continue de la sécurité (monitoring, détection d’intrusions)
- Chiffrement des données en transit et au repos
- Gestion des correctifs et des vulnérabilités
Des contrôles ANSSI renforcés
L’ANSSI disposera de nouveaux pouvoirs de contrôle : audits réguliers, inspections de sécurité sur site et instructions contraignantes. Les prestataires seront autant scrutés que les assureurs eux-mêmes. Il est fortement recommandé d’intégrer des clauses de cybersécurité contractuelles dans tout nouveau contrat dès aujourd’hui.
NIS2 en chiffres : ce que les assureurs doivent budgéter
Selon l’ANSSI et le SGDSN, la mise en conformité NIS2 représente un investissement initial estimé entre 450 000 et 880 000 euros pour une entité essentielle, auxquels s’ajoutent environ 10 % par an pour la maintenance et la mise à jour des dispositifs de sécurité.
À mettre en regard du coût moyen d’une cyberattaque, estimé selon la Cour des comptes française à 5-10 % du chiffre d’affaires annuel. La conformité NIS2 est donc aussi un investissement de rentabilité.
Calendrier de mise en conformité NIS2 en France
Mars 2025
Vote du texte de transposition au Sénat français
Fin 2025 - Début 2026
Vote à l’Assemblée nationale et promulgation de la loi
Publication des décrets
Point de départ officiel des obligations NIS2 en France
J+3ans
Délai maximal accordé aux entités pour la mise en conformité complète
FAQ – Questions fréquentes sur NIS2 et les assureurs en France
NIS2 est une directive européenne de cybersécurité transposée en droit français via une loi votée au Sénat en mars 2025. Elle impose des obligations de sécurité renforcées à environ 15 000 entités, dont les assureurs et leurs prestataires IT.
Oui. Les assureurs dépassant 250 salariés ou 50 M€ de chiffre d’affaires sont classés en entités essentielles sous NIS2. Ils doivent respecter les exigences les plus strictes de la directive et peuvent être contrôlés par l’ANSSI.
Un assureur soumis à NIS2 doit : (1) mettre en place des mesures de sécurité techniques obligatoires (SOC, gestion des risques, continuité d’activité), (2) renforcer la gouvernance cyber au niveau de la direction, et (3) notifier tout incident significatif à l’ANSSI dans les 24 heures.
Oui. Les ESN, fournisseurs cloud et prestataires IT des assureurs sont directement soumis à NIS2. Ils doivent respecter des exigences techniques (MFA, segmentation réseau, supervision) et peuvent faire l’objet de contrôles ANSSI au même titre que les assureurs.
Sous NIS2, un incident significatif doit être signalé à l’ANSSI dans un délai de 24 heures après sa détection. Un rapport complet doit suivre sous 72 heures.
Les entités essentielles non conformes s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires mondial annuel, selon le montant le plus élevé.
Le texte a été voté au Sénat en mars 2025. Après la promulgation de la loi et la publication des décrets, les entités concernées disposent de 3 ans pour atteindre la conformité complète.
Comment anticiper NIS2 dès aujourd'hui ?
NIS2 transforme en profondeur les obligations de cybersécurité du secteur assurantiel français. Pour les assureurs, c’est l’opportunité de se doter d’une vraie culture cyber au niveau stratégique. Pour les prestataires IT, c’est la confirmation que la sécurité n’est plus une option mais un critère de sélection. Anticiper dès aujourd’hui, c’est transformer une contrainte réglementaire en avantage concurrentiel.
NIS2 transforme en profondeur les obligations de cybersécurité du secteur assurantiel français. Pour les assureurs, c’est l’opportunité de se doter d’une vraie culture cyber au niveau stratégique. Pour les prestataires IT, c’est la confirmation que la sécurité n’est plus une option mais un critère de sélection. Anticiper dès aujourd’hui, c’est transformer une contrainte réglementaire en avantage concurrentiel.
Votre entreprise est-elle prête pour NIS2 ?
Ne laissez pas la conformité devenir une urgence. Nos experts SYD réalisent un audit de maturité NIS2 pour identifier vos risques prioritaires et vous proposer un plan d’action concret, adapté à votre secteur et à votre taille.