NIS2 : pourquoi la cybersécurité s’invite dans les arbitrages des dirigeants

Temps de lecture : 5 minutes
Salle de conseil d'entreprise avec un écran mural affichant un tableau de bord de cybersécurité.
© Les comités exécutifs et conseils d'administration entrent en première ligne sur le risque cyber avec l'arrivée de NIS2.
Voir les titres Ne plus voir les titres

Le 17 octobre 2024, l’Union européenne actait l’entrée en vigueur de la directive NIS2, un texte qui révise profondément le cadre de la cybersécurité européenne hérité de NIS1. La directive est un règlement de relèvement du niveau de protection des systèmes d’information, qui élargit considérablement le périmètre des entreprises soumises à des obligations cyber. Là où le texte précédent visait quelques centaines d’opérateurs jugés essentiels, sa version remaniée s’adresse désormais à des milliers de structures, du sous-traitant industriel au cabinet de conseil, en passant par les collectivités locales et les fournisseurs de services numériques.

Le sujet excède largement la conformité technique. Il s’invite dans la gouvernance, redessine la responsabilité personnelle des dirigeants et impose un nouveau rythme de gestion des incidents. Vous voyez votre comité exécutif se saisir du risque cyber comme il l’a fait du RGPD il y a quelques années. Pourquoi cette directive change-t-elle la donne pour la majorité des entreprises françaises ?

Un périmètre qui passe de quelques centaines à plusieurs milliers d’entités

La marche est nette : selon les estimations communiquées par l’ANSSI, entre 15 000 et 18 000 entités françaises tombent dans le champ d’application de NIS2, contre environ 500 sous le régime précédent. Le seuil est mécanique. Toute entreprise de plus de 50 salariés ou de plus de 10 millions d’euros de chiffre d’affaires, dès lors qu’elle opère dans l’un des 18 secteurs identifiés comme critiques, est concernée.

CybersécuritéChatGPT en entreprise : comment sécuriser l’avenir de vos données ?

Ces secteurs débordent les seules infrastructures stratégiques. La santé, le transport, l’énergie, l’eau, les services postaux, les fournisseurs de services numériques, les fabricants de matériel médical, les entreprises agroalimentaires de taille intermédiaire ou encore l’administration publique entrent dans la nasse. Ce changement d’échelle marque l’aboutissement d’une décennie de réflexion européenne sur la résilience numérique des chaînes de valeur.

Dix mesures de sécurité gravées dans la loi

L’article 21 de la directive impose un socle minimal que toute entité concernée devra documenter et appliquer. Voici les obligations qui structureront la mise en conformité d’ici l’automne :

  • une analyse de risque formalisée et une politique de sécurité des systèmes d’information ;
  • une gestion des incidents avec procédures écrites et journalisation ;
  • une continuité d’activité incluant la sauvegarde et la gestion de crise ;
  • la sécurisation de la chaîne d’approvisionnement et des prestataires ;
  • la sécurité dans le développement, la maintenance et la divulgation des vulnérabilités ;
  • une évaluation régulière de l’efficacité des mesures ;
  • des pratiques élémentaires d’hygiène informatique et de sensibilisation ;
  • l’usage de la cryptographie et du chiffrement quand cela s’impose ;
  • une politique des ressources humaines, des contrôles d’accès et la gestion des actifs ;
  • l’authentification multifacteur sur les accès sensibles et l’usage de communications sécurisées.

Cette liste a beau paraître générique, sa mise en œuvre opérationnelle bouleverse les organisations qui pilotaient encore la cybersécurité de manière artisanale.

Un calendrier français resserré autour de l’automne 2026

La transposition nationale a connu un parcours laborieux. Le projet de loi Résilience, qui porte NIS2 dans le droit français aux côtés des directives DORA et REC, a été adopté par le Sénat les 11 et 12 mars 2025, puis examiné par une commission spéciale de l’Assemblée nationale en septembre 2025. Le vote en hémicycle est désormais attendu pour juillet 2026, suivi de plusieurs décrets et arrêtés techniques.

L’ANSSI a anticipé ce retard en publiant le 17 mars 2026 le Référentiel Cyber France, baptisé ReCyF. Ce document opérationnel, non obligatoire par défaut, détaille les mesures recommandées pour atteindre les objectifs de la directive. Il sert d’ores et déjà de boussole aux DSI et RSSI qui structurent leur feuille de route, en attendant que la date butoir du 17 octobre 2026 fixe le rendez-vous.

La responsabilité personnelle des dirigeants entre dans le jeu

C’est peut-être la rupture la plus structurante du texte. NIS2 ne se contente plus de sanctionner les personnes morales, elle engage directement les membres des organes de direction. Un dirigeant qui aurait failli à son devoir de supervision peut voir sa responsabilité personnelle recherchée, et l’autorité compétente pourra demander la suspension temporaire de fonctions en cas de manquement grave.

Cette logique s’accompagne d’une approche graduée, telle que l’a publiquement défendue le directeur général de l’ANSSI.

Nous allons accompagner les entreprises qui seront assujetties à NIS2 avant de les contrôler. On est sur des échéances de 3 ans, 5 ans.

Vincent Strubel, directeur général de l’ANSSI, interview à Solutions Numériques & Cybersécurité, 1er mars 2024.

Le message est clair : la phase de pédagogie précède le bâton, mais le bâton existe. Les conseils d’administration devront inscrire la cybersécurité comme un point récurrent de leurs travaux, au même titre que la conformité financière ou la sécurité au travail.

Un régime de sanctions à deux étages

La directive distingue deux catégories d’entités, qui n’encourent pas le même plafond d’amendes administratives. Le tableau ci-dessous synthétise les principales différences :

CritèreEntités essentiellesEntités importantes
Secteurs couvertsÉnergie, transport, santé, banque, eauPostes, agroalimentaire, manufacture, recherche
Amende plafond10 M€ ou 2 % du CA mondial7 M€ ou 1,4 % du CA mondial
Régime de contrôleInspection ex ante possibleInspection sur déclenchement
Notification d’incidentAlerte 24 h, rapport 72 h, final 1 moisMêmes délais applicables

Au-delà du montant, l’effet réputationnel pèse lourd. Une sanction publique peut affecter les contrats publics et les certifications sectorielles, et la confiance des grands comptes clients en sort durablement abîmée.

Une transition qui révèle la maturité des organisations

Les structures qui se sont déjà acculturées au RGPD et aux référentiels de type ISO 27001 partent avec une avance, ne serait-ce que méthodologique. Pour les autres, l’horizon d’octobre 2026 a un mérite. Il transforme un risque diffus en projet borné, avec des livrables, un budget et un sponsor au sommet de l’organisation.

CybersécuritéComment protéger vos données personnelles en ligne : Guide complet pour 2024

Les premiers retours d’expérience publiés par les cabinets spécialisés convergent sur un constat. La majorité du coût de la mise en conformité ne réside pas dans l’outillage technique, mais dans la gouvernance et l’organisation. Cartographier les flux, identifier les actifs critiques, contractualiser avec les fournisseurs et renforcer la sécurité de la donnée client mobilisent des cadres et des relations transverses bien plus que des licences logicielles.

L’enjeu sous-jacent dépasse la simple conformité réglementaire. Il dessine une culture du risque où l’incident n’est plus traité comme un accident exceptionnel, mais comme une éventualité de gestion courante. Pour de nombreuses entreprises françaises, cette acculturation marque l’entrée de la cybersécurité dans le langage du comité de direction.

Faites passer le mot en partageant !

Nos thématiques populaires

Tout voir

Copyright ©Veille de Presse 2026. Toute copie, même partielle, est formellement interdite.