Cloud
NIS 2, le chantier n°1 des RSSI pour 2026
Par Alain Clapaud, publié le 02 décembre 2025
Ce sera sans nul doute la grande affaire pour des dizaines de milliers de RSSI à travers toute l’Europe. Les pays transposent progressivement le texte européen NIS 2 en droit national. Et même si l’ANSSI a promis un sursis de trois ans avant les premières sanctions, le travail de mise en conformité s’annonce immense et doit débuter rapidement.
À l’heure où paraissent ces lignes, le texte de transposition de NIS 2 (Network and Information System) dans la loi française n’est toujours pas voté et l’instabilité politique actuelle de la France laisse planer la menace d’un nouveau report. C’est dans ce contexte que les DSI et les RSSI doivent néanmoins préparer leur budget 2026 en tenant compte de la mise en conformité à NIS 2. Pas simple quand on ne connaît pas avec certitude les entreprises et les collectivités locales auxquelles s’appliquera finalement le texte.
L’ANSSI livre néanmoins, sur le site MonEspaceNIS2, les grandes lignes du futur texte, et surtout les critères d’éligibilité des EE (Entités Essentielles) et EI (Entités Importantes). Tous les domaines d’activité sont listés et des milliers de collectivités locales, d’administrations publiques, d’entreprises moyennes et plus grandes dans 18 secteurs seront concernées.
Laurent Gelu, cybersecurity & resilience leader chez Kyndryl France, calibre le chantier NIS 2 selon les typologies d’entreprises : « Pour les grandes, NIS 2 n’apportera pas de grande nouveauté : elles sont déjà dans une approche SMSI (Système de management de la sécurité de l’information), ont fait l’effort d’aller vers l’ISO 27001 et sont engagées dans un processus d’amélioration continue. »
Par contre, pour les plus petites organisations, NIS 2 va représenter un travail beaucoup plus conséquent. « L’objectif de NIS 2 est justement d’élever le niveau de sécurité général de toutes les organisations en Europe, car toutes peuvent être potentiellement la cible d’une attaque. Or le niveau d’investissement en cyber d’une grande banque ou d’une entreprise du SBF 120 n’a rien à voir avec ce qu’une PME peut consacrer à sa sécurité. »
Pour tenir compte de ce dernier point, NIS 2 introduit la notion de proportionnalité : une entreprise de taille moyenne n’aura pas à se doter d’une cyber du niveau d’un géant de la Défense, mais elle devra s’aligner sur les dix grands principes du texte.
Des mesures évidentes, d’autres plus structurantes
Certaines mesures de NIS 2 peuvent sembler évidentes, comme avoir une gestion des accès ou disposer d’un PRA pour assurer la continuité des activités critiques. D’autres demanderont beaucoup plus d’efforts. C’est notamment le cas de la gestion des incidents. Le délai de signalement d’un incident de sécurité majeur va rester de 72 heures auprès de la CNIL, mais sera de 24 heures seulement auprès du CSIRT local ou de l’ANSSI. Cela laisse peu de temps pour enquêter à son sujet, ce qui veut dire que l’entreprise doit pouvoir s’appuyer sur un SOC pour analyser rapidement l’incident remonté par les outils de détection afin d’éliminer un éventuel faux positif, et le qualifier afin de décider si celui-ci doit faire l’objet d’un signalement officiel.
Que le SOC soit internalisé, mutualisé auprès d’un MSSP ou, pour les plus petites organisations, qu’il repose sur une offre MicroSOC d’un opérateur télécom, impossible désormais de laisser passer le week-end avant d’investiguer.
L’autre point de NIS 2 qui suscite sans doute le plus de discussions entre les professionnels porte sur la sécurité de la supply chain. Les grands comptes étant plutôt bien protégés, les attaquants visent leurs fournisseurs afin de rebondir vers leur cible principale. Avec NIS 2, le donneur d’ordres doit pouvoir s’assurer que l’ensemble de ses sous-traitants ont mis en place un minimum de protections autour de leur SI. Les outils pour y parvenir sont connus : questionnaires à remplir, clauses contractuelles ou encore recours aux systèmes de notation, ces mesures n’excluant pas des audits ciblés pour s’assurer que ce qui est déclaré correspond à la réalité…
Une portée transnationale qui pose question(s)
Enfin, la portée transnationale de NIS 2 crée de nouvelles problématiques pour les entreprises. Chaque pays légifère selon sa propre lecture du texte, or pour le DOSI d’un grand groupe, le diable se niche dans les détails. Il faudra gérer les différences d’interprétation. Autre question, une conformité NIS 2 reconnue dans le pays du siège va-t-elle couvrir l’ensemble des filiales ? Et où faudra- t-il déclarer un incident de sécurité si celui-ci a eu lieu dans une filiale danoise ou grecque ?
On le voit, beaucoup de points doivent encore être précisés pour que NIS 2 devienne une réalité sur l’ensemble du continent. « L’ENISA [NDLR : Agence européenne de Cybersécurité] a publié au début de l’été un guide d’application de NIS 2 qui reprend 80 % de l’ISO 27002, mais l’encre n’est pas encore sèche et des réponses doivent encore être trouvées à des questions importantes », prévoit Laurent Gelu.
Pour autant, faut-il attendre que tout le dispositif soit prêt pour se lancer dans la mise en conformité ? Vincent Strubel, le directeur de l’ANSSI, a certes promis trois années de sursis avant l’application de sanctions, mais il ne cesse par ailleurs d’alarmer la communauté cyber sur la charge que va représenter la mise en conformité dans les prochaines années. Les compétences disponibles sont rares et vont s’arracher à prix d’or…
Pierre Jacob, directeur général adjoint de Magellan Sécurité, estime donc que les entreprises doivent rapidement évaluer leurs chances d’être soumises au texte « Si l’on est concerné, il ne faut pas attendre pour lancer la démarche de mise en conformité. La trajectoire de certains pays, dont la Belgique, est de se rapprocher de l’ISO 27001. Ça ne veut pas dire pour autant que si on est conforme ISO, on le sera avec NIS 2, mais c’est un socle qu’il est important de maîtriser. »
Pour le consultant, les gains en termes de sécurité opérationnelle peuvent déjà légitimer la démarche de conformité auprès des directions générales : « NIS 2 va représenter un certain nombre de thématiques cyber et de chantiers à mener. Quoi qu’il arrive, l’entreprise va gagner en résilience et en protection de ses ressources. »
Témoin : Fabrice Bru, président du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique)
Une opportunité de faire monter le niveau de sécurité
« NIS 2 est une très belle opportunité pour tout l’écosystème de faire monter le niveau de sécurité de l’ensemble des entreprises et des organisations à l’échelle européenne et française. Les JO 2024 ont montré que si on s’en donne les moyens, le risque cyber, même très élevé, peut être maîtrisé. Le CESIN oeuvre pour aboutir à un texte voté rapidement. Nous sommes en bonne voie. Avec d’autres organisations professionnelles, nous avons été entendus par le groupe parlementaire de l’Assemblée nationale au mois de juin et nous avons pu faire part de nos interrogations sur le texte et les points qui devaient encore être précisés. »
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
