NIS2 : J-19 avant le premier audit de conformité obligatoire

Ce qui s'est passé

Le 30 juin 2026 s'approche à grands pas, et avec lui la première échéance formelle de conformité à la directive NIS2 (Network and Information Security 2) pour les entités essentielles et importantes en France et dans l'Union européenne. À moins de trois semaines de cette date, les organisations qui n'ont pas encore entamé leur démarche se trouvent dans une situation de risque réglementaire significatif. La directive, adoptée par le Parlement européen en décembre 2022, vise à établir un niveau commun élevé de cybersécurité dans l'ensemble de l'UE en imposant des obligations de sécurité contraignantes à un spectre beaucoup plus large d'entités que son prédécesseur NIS1.

L'échéance du 30 juin 2026 correspond à la date limite à laquelle les entités dans le scope doivent avoir réalisé leur premier audit de conformité NIS2. Cette obligation représente la première démonstration formelle que les organisations ont engagé les démarches nécessaires. Elle ne signifie pas nécessairement que toutes les mesures de sécurité doivent être pleinement déployées à cette date, mais que les organisations doivent être en mesure de présenter une évaluation documentée de leur posture de sécurité par rapport aux exigences NIS2 et un plan de remédiation pour les écarts identifiés. L'audit de maturité, le gap analysis et la feuille de route de mise en conformité constituent les livrables attendus à cette étape initiale.

La situation française est complexifiée par un retard significatif dans la transposition nationale. La date limite de transposition fixée par la Commission européenne était le 17 octobre 2024. La France, comme de nombreux autres États membres, a manqué cette échéance, déclenchant une procédure d'infraction européenne. La Loi Résilience, texte de transposition français de NIS2, a été adoptée par le Sénat le 12 mars 2025 mais attendait encore sa promulgation au Journal Officiel en début d'année 2026. La publication des décrets d'application par l'ANSSI — qui précisent les standards techniques exacts à respecter — était attendue au deuxième trimestre 2026. Cette incertitude réglementaire a créé une situation paradoxale où les organisations doivent se préparer à un cadre dont les détails d'application ne sont pas encore tous finalisés.

Malgré ce retard, l'ANSSI a adopté une approche pragmatique en lançant le portail MesServicesCyber. Ce portail permet aux entités potentiellement dans le scope de NIS2 de procéder à leur auto-identification et leur auto-enregistrement, et d'accéder aux ressources de préparation produites par l'agence. L'auto-enregistrement est la première étape obligatoire pour toute organisation qui pense être concernée par NIS2, et constitue le point de départ du dialogue avec l'ANSSI. Les organisations qui ne se sont pas encore auto-identifiées s'exposent non seulement à des sanctions, mais également à une absence de visibilité sur leurs obligations réglementaires précises et sur les ressources d'accompagnement disponibles.

Le périmètre de NIS2 est considérablement plus large que celui de NIS1. Là où NIS1 concernait environ 300 entités en France, NIS2 s'applique à 15 000 à 18 000 entités selon les estimations de l'ANSSI. La directive distingue deux catégories : les entités essentielles (EE), soumises au niveau d'exigences le plus élevé, et les entités importantes (EI), soumises à des exigences légèrement moins strictes. Les EE incluent les opérateurs des secteurs de l'énergie, des transports, du secteur bancaire, des infrastructures des marchés financiers, de la santé, de l'eau potable, des eaux usées, des infrastructures numériques, de la gestion des services TIC, de l'administration publique et de l'espace. Les EI couvrent plus de 70 secteurs supplémentaires incluant les services postaux, la gestion des déchets, la fabrication de produits critiques, les services numériques et l'alimentation.

Les obligations de sécurité imposées par NIS2 couvrent dix domaines principaux définis à l'article 21 de la directive. Les entités doivent mettre en place des politiques d'analyse des risques et de sécurité des systèmes d'information, des procédures de gestion des incidents, des plans de continuité des activités et de reprise après sinistre, et assurer la sécurité de leur chaîne d'approvisionnement. Elles doivent également garantir la sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, et mettre en place des pratiques de base de cyberhygiène, des politiques de cryptographie, des mesures de sécurité des ressources humaines, et des solutions d'authentification multi-facteurs. La formation en cybersécurité et des communications sécurisées viennent compléter ce socle d'exigences.

Les sanctions prévues par NIS2 sont significatives et conçues pour assurer le respect effectif de la directive. Pour les entités essentielles, les amendes peuvent atteindre le montant le plus élevé entre 10 millions d'euros et 2 % du chiffre d'affaires mondial annuel total de l'exercice précédent. Pour les entités importantes, le plafond est fixé au montant le plus élevé entre 7 millions d'euros et 1,4 % du chiffre d'affaires mondial annuel. Ces montants sont comparables aux sanctions RGPD et témoignent de la volonté du législateur européen de faire de NIS2 un cadre de conformité à prendre au sérieux. La directive prévoit également la possibilité pour les autorités compétentes de mettre en cause la responsabilité personnelle des dirigeants dans les cas de manquements graves — une disposition sans précédent dans le domaine de la cybersécurité réglementaire européenne.

Dans le contexte régional européen, la semaine du 23 au 26 juin 2026 verra se tenir à Paris la réunion des autorités de protection des données des pays du G7, présidée par la CNIL. Cette rencontre, qui inclut une cinquième édition de la Privacy Research Day le 24 juin, représente un signal fort de l'intensification de la coopération internationale en matière de régulation numérique. Si l'agenda porte principalement sur la protection des données personnelles, les sujets de cybersécurité et de souveraineté numérique — intimement liés à NIS2 — seront inévitablement abordés dans les discussions entre régulateurs des pays du G7, donnant une résonance internationale à l'échéance française de fin juin.

Pourquoi c'est important

NIS2 représente le changement réglementaire le plus significatif en matière de cybersécurité pour les entreprises françaises depuis l'introduction du RGPD en 2018. Comme le RGPD avait transformé les pratiques de traitement des données personnelles, NIS2 va imposer une mise à niveau structurelle de la cybersécurité dans des milliers d'organisations qui n'étaient jusqu'alors soumises à aucune obligation réglementaire spécifique en la matière. La comparaison avec le RGPD est instructive : les premières années du RGPD ont été marquées par une application progressive, permettant aux organisations d'adapter leurs pratiques. NIS2 bénéficie des leçons du RGPD, et les régulateurs nationaux pourraient adopter une approche plus assertive dès les premières phases d'application, notamment pour les entités n'ayant pas démontré un engagement minimal à la date du 30 juin.

Pour les PME et ETI qui découvrent qu'elles entrent dans le scope NIS2, l'échéance peut sembler intimidante. La réalité est que la conformité NIS2 est un processus itératif sur plusieurs années, non une obligation de résultat immédiat. Ce qui est attendu au 30 juin 2026, c'est une démonstration d'engagement : auto-identification auprès de l'ANSSI, réalisation d'un premier audit de maturité, identification des lacunes et établissement d'un plan de remédiation documenté. Les organisations capables de présenter ces éléments sont dans une position défendable vis-à-vis des autorités de contrôle, même si leur niveau de maturité en cybersécurité est encore insuffisant par rapport aux exigences finales de la directive.

La dimension supply chain de NIS2 est probablement celle qui impactera le plus largement l'écosystème économique. L'article 21 de la directive impose aux entités essentielles et importantes d'évaluer la sécurité de leur chaîne d'approvisionnement, ce qui signifie concrètement qu'elles devront contrôler et imposer des exigences de sécurité à leurs fournisseurs et sous-traitants IT. Cette obligation créera un effet de ruissellement : les fournisseurs de services informatiques aux grandes organisations — hébergeurs, ESN, éditeurs de logiciels — seront progressivement contraints par leurs clients de démontrer leur conformité NIS2, même s'ils ne sont pas eux-mêmes directement dans le scope de la directive. Pour les prestataires IT qui n'ont pas encore intégré cette dimension, NIS2 va devenir un critère commercial majeur dans les appels d'offres des secteurs réglementés.

Les incidents récents illustrent parfaitement le type de menaces supply chain que NIS2 vise à adresser. La campagne Miasma qui a compromis des dizaines de dépôts GitHub via des outils de codage IA en juin 2026, ou les attaques de type VECT ransomware déployées via des packages npm malveillants ciblant des éditeurs logiciels, démontrent que les organisations ne peuvent plus se limiter à sécuriser leur propre périmètre : elles doivent exercer une diligence raisonnable sur l'ensemble de leur chaîne de valeur numérique. Cette évolution conceptuelle — de la sécurité de périmètre à la résilience systémique — est au coeur de NIS2 et représente le changement de paradigme le plus profond qu'elle introduit dans les pratiques de gestion des risques cyber.

Ce qu'il faut retenir

• Si votre organisation n'est pas encore enregistrée sur le portail MesServicesCyber de l'ANSSI, c'est la première action à réaliser cette semaine — l'auto-identification est le prérequis de toute démarche NIS2.
• L'échéance du 30 juin 2026 exige un premier audit de conformité documenté, pas une conformité totale ; présentez votre état des lieux et votre plan de remédiation pour démontrer votre engagement à l'autorité de contrôle.
• NIS2 va créer un effet de ruissellement sur la supply chain IT : préparez-vous à recevoir des questionnaires de conformité de vos clients grands comptes, et considérez NIS2 comme un avantage concurrentiel si vous êtes prestataire de services numériques.