Bruxelles allège NIS2 pour 28 700 entreprises européennes

Ce qui s'est passé

Le paquet cybersécurité présenté par la Commission européenne le 20 janvier 2026 entre dans une phase de discussion accélérée au Parlement et au Conseil, avec un calendrier qui vise une adoption avant la fin du mandat actuel. Composé de deux volets, il combine une révision du Cybersecurity Act de 2019 (rebaptisé Cybersecurity Act 2) et un train d'amendements ciblés à la directive NIS2 adoptée en 2022. L'objectif affiché est triple : aligner les régimes existants, alléger la charge administrative pour les PME et clarifier des dispositions jugées trop floues par les entreprises depuis l'entrée en vigueur de NIS2 en octobre 2024.

Selon les chiffres avancés par la Commission, environ 28 700 entreprises bénéficieront directement de cette simplification, dont 6 200 micro et petites entreprises actuellement classées comme entités essentielles ou importantes. Les amendements introduisent des seuils plus précis et plus proportionnés, par exemple un seuil de capacité de production de 1 MW pour les producteurs d'électricité ou des affinements ciblés pour les secteurs de la santé, de l'hydrogène et de la chimie. Pour environ 22 500 entreprises, ces critères sectoriels permettront un déclassement partiel de leurs obligations, recentrant le régime le plus strict sur les acteurs systémiques.

L'autre brique majeure consiste à harmoniser les règles juridictionnelles. Aujourd'hui, une entreprise multipays doit composer avec autant d'autorités nationales compétentes que d'États où elle opère, avec des interprétations divergentes du périmètre NIS2. Le paquet renforce le rôle de coordination de l'ENISA, l'agence européenne de cybersécurité, qui devient le point d'entrée pour les entités transfrontalières et un guichet unique pour la collecte des données sur les attaques par rançongiciel. Cette centralisation vise à réduire les redondances de notification, mais aussi à constituer une base de connaissance commune sur la menace.

Le second volet, le Cybersecurity Act 2, refond le cadre de certification européen mis en place par le règlement de 2019. Il étend la portée des schémas de certification, notamment pour les services cloud (EUCS) et les produits matériels et logiciels critiques (EUCC), et introduit la possibilité d'imposer des certifications obligatoires pour certaines catégories de produits jugés à haut risque. La présence d'exigences relatives à la souveraineté numérique, comme la limitation de l'accès aux données par des juridictions extra-européennes, reste l'un des points les plus discutés du texte ; plusieurs hyperscalers américains ont déjà fait connaître leurs réserves auprès de la Commission.

Du côté des États membres, la situation reste hétérogène. Au 30 juin 2025, seuls 14 des 27 pays de l'Union avaient pleinement transposé la directive NIS2 dans leur droit national, alors que la date limite était fixée au 17 octobre 2024. La Commission poursuit ses procédures d'infraction contre 13 États, parmi lesquels l'Allemagne, la France, l'Espagne et la Pologne. En France, le projet de loi de transposition, voté à l'été 2025, achève sa phase de décrets d'application ; il devrait permettre à l'ANSSI de notifier officiellement les entités essentielles et importantes au cours du second semestre 2026.

Les acteurs économiques accueillent la simplification avec un sentiment mitigé. Les fédérations patronales (DigitalEurope, MEDEF, BDI) saluent le geste de Bruxelles vers les PME, mais redoutent que les amendements n'arrivent au moment où les régimes nationaux commencent à se stabiliser. Le résultat pourrait être une cible mobile : adapter les politiques internes à des règles à peine entrées en vigueur, alors qu'elles vont de nouveau évoluer. Plusieurs cabinets juridiques européens conseillent de poursuivre les programmes de mise en conformité actuels sans attendre l'aboutissement du paquet, qui ne sera probablement pas pleinement applicable avant 2027 ou 2028.

L'articulation avec DORA, la réglementation européenne sur la résilience opérationnelle numérique applicable au secteur financier depuis le 17 janvier 2025, est également clarifiée. La Commission rappelle que pour les entités financières, DORA prime sur NIS2 dès lors qu'il y a chevauchement, ce qui doit éviter les doubles obligations sur la gestion des risques liés aux tiers et la notification des incidents. Concrètement, les banques et assureurs continuent de relever de leurs autorités sectorielles (ACPR en France, BaFin en Allemagne) plutôt que des CSIRT nationaux pour les sujets relevant de DORA.

Enfin, le paquet introduit des obligations renforcées en matière de chaîne d'approvisionnement logicielle. Les éditeurs de produits critiques devront publier un SBOM (Software Bill of Materials) conforme aux schémas européens, fournir une politique de divulgation coordonnée des vulnérabilités et permettre une remontée structurée des incidents touchant leurs composants. Ces exigences s'inscrivent dans la continuité du Cyber Resilience Act, déjà adopté en 2024, mais elles imposent un degré supplémentaire de traçabilité et de transparence pour les fournisseurs de l'État et des opérateurs essentiels.

Pourquoi c'est important

L'enjeu central, pour les directions juridiques et les RSSI, n'est pas tant le contenu technique des amendements que la complexité accumulée du cadre cybersécurité européen. NIS2, DORA, Cyber Resilience Act, AI Act, RGPD, Data Act, Digital Services Act : la stratification est telle qu'une entreprise active dans le numérique doit aujourd'hui cartographier en moyenne entre cinq et huit régimes distincts pour ses produits et services. Le paquet de janvier 2026 reconnaît ce constat et vise à fluidifier les zones de chevauchement, à commencer par celles entre NIS2 et le Cybersecurity Act, mais le chemin reste long avant un véritable code unique.

Pour les PME, l'allègement annoncé représente un soulagement réel mais conditionnel. Les seuils sectoriels révisés pourront permettre à 22 500 entreprises de sortir du régime essentiel le plus strict, mais elles resteront, pour la plupart, soumises au régime « important » et donc obligées de mettre en place des mesures de gestion des risques, de plans de continuité et de notification d'incidents. La marche reste haute pour des structures qui, dans leur grande majorité, n'ont ni RSSI à temps plein ni cellule SOC interne. Les dispositifs d'accompagnement comme le « cyber check » de l'ANSSI, ou les financements via France Relance et le programme Digital Europe, joueront un rôle déterminant pour combler ce déficit de maturité.

L'impact géopolitique n'est pas neutre. En renforçant les schémas de certification cloud et en encadrant l'accès des juridictions tierces aux données européennes, la Commission envoie un signal clair en faveur d'une autonomie stratégique numérique. Les fournisseurs américains et chinois devront soit adapter leurs offres pour répondre aux critères européens (architectures « EU sovereign » dédiées), soit accepter d'être exclus de marchés publics sensibles. Les premiers signes d'adaptation sont déjà visibles : Microsoft a annoncé en mars 2026 sa « EU Sovereign Cloud » à Strasbourg, AWS et Google ont annoncé des engagements similaires.

Pour les entreprises françaises, le calendrier est aussi un signal opérationnel : la transposition NIS2 française est en cours d'achèvement, l'ANSSI prépare l'identification officielle des entités assujetties, et les premières inspections sont attendues à partir de la rentrée 2026. Anticiper la mise en conformité, plutôt que d'attendre l'adoption finale du paquet européen de simplification, reste la posture la plus sûre. Les entreprises doivent d'ici là cartographier leur périmètre, formaliser leur politique de gestion des risques cyber, mettre en place une procédure de notification d'incident dans les 24 puis 72 heures, et sécuriser leur chaîne de fournisseurs logiciels critiques.

Ce qu'il faut retenir

• Le paquet cybersécurité de janvier 2026 simplifie NIS2 pour 28 700 entreprises et propose un nouveau Cybersecurity Act 2.
• L'ENISA devient le point d'entrée pour les entités transfrontalières et la collecte des données ransomware.
• La transposition NIS2 reste incomplète : la France finalise ses décrets et l'ANSSI prépare les premières notifications officielles d'assujettissement.