La directive NIS2 marque un basculement majeur : la cybersécurité n’est plus un sujet technique délégué aux équipes IT, mais un enjeu de gouvernance opérationnelle engageant directement la responsabilité des
60–65 % : très technique, expert / 70–75 % : business spécialisé / 80–85 % : business accessible / 90 %+ : vulgarisation grand public
Responsabilité des dirigeants : NIS2 engage la responsabilité personnelle des dirigeants en cybersécurité.
Gouvernance opérationnelle : la cybersécurité devient un enjeu de pilotage, pas seulement un sujet IT.
Périmètre élargi : le champ couvre désormais de nombreux secteurs essentiels et importants.
Sanctions renforcées : jusqu’à 10 M€ ou 2 % du CA mondial pour certaines entités.
Approche proactive : gestion des risques, notification rapide, preuves et audits réguliers.
Chaîne d’approvisionnement : responsabilité étendue aux fournisseurs et sous-traitants critiques.
Échéance : la transposition avance. Il faut s’organiser dès maintenant.
La directive européenne NIS2, applicable depuis octobre 2024, n’est pas un texte de plus.
Elle marque un basculement. Désormais, la cybersécurité ne peut plus être uniquement déléguée.
En pratique, NIS2 impose une approche plus structurée.
Elle ancre la cybersécurité dans la gouvernance opérationnelle.
Autrement dit, ce sujet remonte au niveau des dirigeants.
De plus, la directive vise des milliers d’organisations en Europe.
Elle redéfinit les responsabilités. Elle formalise aussi les processus de gestion des risques.
Enfin, elle impose une logique de preuve et de supervision.
NIS2 succède à NIS1 (2016). Or NIS1 a montré ses limites.
Son application était fragmentée. Son périmètre était aussi trop réduit.
Avec NIS2, le scope s’élargit fortement.
On passe de 7 à 18 secteurs. L’industrie, les déchets, les services postaux et la recherche entrent notamment dans le périmètre.
Surtout, les critères deviennent plus mécaniques.
Il ne s’agit plus d’une désignation au cas par cas.
Dès lors, les seuils de taille jouent un rôle central.
En clair : une entreprise d’un secteur visé, au-dessus de certains seuils, peut entrer automatiquement dans le périmètre.
Ainsi, de nombreuses ETI et PME se retrouvent concernées.
Enfin, NIS2 distingue deux catégories : entités essentielles et entités importantes.
Les sanctions varient selon la catégorie. Cependant, elles restent élevées.
📊 28 700 entreprises européennes concernées, dont 6 200 PME (Commission européenne, janvier 2026)
💰 31,2 Md€ : coût annuel estimé pour les secteurs déjà régulés, + 29,9 Md€ pour les nouveaux entrants (ENISA, 2026)
⚖️ 78 % : la chaîne d’approvisionnement est le principal défi cyber (WEF, 2026)
⏱️ 28 % : remise complète < 12 heures après attaque (Rubrik, 2026)
Le cœur du changement se trouve dans l’article 20.
Il introduit une responsabilité directe des organes de direction.
Concrètement, les dirigeants doivent approuver les mesures de gestion des risques.
Ils doivent aussi superviser la mise en œuvre. Enfin, ils doivent suivre l’efficacité des mesures.
Cette logique change la posture habituelle.
Jusqu’ici, un dirigeant pouvait invoquer son manque de compétence technique.
Désormais, cet argument tient beaucoup moins.
En effet, NIS2 impose aussi une formation des dirigeants.
L’objectif est clair : permettre des décisions éclairées.
Donc, le conseil doit être capable de challenger les plans cyber.
Enfin, en cas de manquement grave, des sanctions personnelles peuvent s’ajouter.
Cela place la cybersécurité au niveau des risques classiques : financier, juridique, réputationnel.
Si l’article 20 fixe la responsabilité, l’article 21 fixe le contenu.
Il définit dix domaines de mesures techniques, organisationnelles et opérationnelles.
Pour être clair, voici les domaines, regroupés et simplifiés :
Gestion des risques : cartographie, criticité, plans de traitement documentés
Sécurité opérationnelle : patching, contrôle d’accès, surveillance
Continuité : PCA/PRA testés, gestion de crise, exercices
Chaîne d’approvisionnement : fournisseurs critiques, clauses, audits
Notification : 24 h / 72 h / 1 mois, selon le niveau d’information
Vulnérabilités : détection, priorisation, correction
Crypto & auth : MFA, chiffrement, communications protégées
Hygiène & formation : sensibilisation, simulations, culture cyber
RH & identités : onboarding/offboarding, droits, identités
Physique : accès, data centers, résilience des sites
Ces domaines ne sont pas une check-list.
Au contraire, ils forment un système de management.
Il doit être proportionné. Il doit aussi être auditable. Et il doit s’améliorer.
Si NIS2 impose un cadre clair de responsabilités et de mesures, elle ne dit pas comment une organisation doit objectiver son niveau réel de maturité cyber. Or, dans la pratique, la plupart des dirigeants surestiment leur niveau de préparation. La documentation existe, les politiques sont formalisées, mais l’écart entre le référentiel et la réalité opérationnelle reste souvent invisible au niveau du conseil d’administration.
C’est précisément à ce stade que l’audit cyber devient un outil de gouvernance, et non un simple exercice de conformité. Un audit indépendant permet de confronter les exigences NIS2 aux pratiques effectives : exposition réelle des actifs critiques, dépendances fournisseurs sous-estimées, capacités de détection et de réaction réellement opérationnelles, robustesse des PCA/PRA au-delà des documents.
Des acteurs spécialisés comme Dipole-Security, positionnés sur l’audit cyber PASSI et la lecture réglementaire de NIS2, interviennent justement à cette interface entre exigence réglementaire, réalité opérationnelle et responsabilité des dirigeants. Leur valeur ne réside pas uniquement dans le constat technique, mais dans la capacité à traduire les écarts en risques de gouvernance compréhensibles par un conseil d’administration, avec des priorités claires et actionnables.
Dans un contexte où les autorités examinent désormais les décisions, les arbitrages et les preuves de pilotage, l’audit cyber PASSI devient un socle factuel indispensable à toute gouvernance crédible sous NIS2.
NIS2 donne un cadre. Cependant, elle ne dit pas comment mesurer la maturité réelle.
Or beaucoup d’organisations surestiment leur préparation.
Souvent, la documentation existe. Les politiques sont écrites.
Mais l’écart avec la réalité reste invisible. Et il ne remonte pas au conseil.
C’est pourquoi l’audit cyber devient un outil de gouvernance.
Il ne s’agit pas seulement de conformité. Il s’agit de vérité opérationnelle.
Un audit indépendant permet de vérifier des points concrets.
Par exemple : criticité des actifs, dépendances fournisseurs, capacité de détection, robustesse PCA/PRA.
Dans ce contexte, Dipole-Security intervient précisément sur ce terrain.
L’enjeu est de relier NIS2 à la réalité. Et surtout, de traduire les écarts en risques compréhensibles pour un board.
Ainsi, l’audit devient un socle factuel, défendable et actionnable.
NIS2 insiste fortement sur la supply chain. Et ce n’est pas un hasard.
Les attaques passent de plus en plus par des tiers.
Selon certaines estimations, une part croissante des incidents vient de la chaîne logicielle.
Par conséquent, la directive impose une évaluation systématique des fournisseurs critiques.
Cela va au-delà d’un questionnaire.
Il faut des preuves. Il faut aussi des clauses. Et il faut un suivi.
Voici un cadre lisible :
| Niveau de risque fournisseur | Mesures attendues | Réévaluation |
|---|---|---|
| Critique (infra, données sensibles) | audit, certifications, clauses renforcées | trimestrielle |
| Élevé (services métier essentiels) | questionnaires + preuves + tests | semestrielle |
| Modéré (services support) | auto-évaluation + vérifs doc | annuelle |
Ainsi, les grandes entreprises répercutent leurs exigences.
Et même hors scope, beaucoup de PME doivent s’aligner pour rester fournisseurs.
Les retours 2026 montrent un écart entre théorie et réalité.
En effet, beaucoup d’organisations n’avaient pas prévu un budget dédié.
Les coûts directs sont visibles : outils, sauvegarde, supervision, détection.
Cependant, les coûts indirects pèsent souvent plus : conseil, recrutement, formation, audits, documentation.
Les ETI sont particulièrement exposées.
Elles doivent parfois construire ces capacités de zéro.
Donc l’effort devient aussi organisationnel.
Enfin, la conformité crée de la friction.
Elle ralentit certains processus. Elle mobilise du temps.
Par ailleurs, le multi-pays ajoute une complexité réelle.
ENISA met en avant trois difficultés récurrentes :
Correctifs & vulnérabilités : systèmes legacy, contraintes de production, interdépendances
Continuité : PCA/PRA difficiles à rendre “testables” et réellement opérationnels
Supply chain : visibilité faible sur rang 2 et 3, difficulté à imposer des clauses
Ces difficultés varient selon la taille.
Les grands groupes souffrent de la complexité.
Les PME souffrent surtout du budget et des compétences.
Le régime de notification est exigeant.
Il impose un signalement très tôt.
Sous 24 heures, on n’a souvent pas le diagnostic complet.
Pourtant, il faut notifier. Ensuite, il faut préciser.
Sous 72 heures, le rapport doit inclure impacts et remédiation.
Enfin, sous un mois, un rapport final est attendu. Il doit expliquer les causes et les leçons.
Donc la crise doit être préparée.
Les organisations matures mettent en place des cellules de crise.
Elles préparent aussi des modèles de notification. Et elles sécurisent les canaux.
NIS2 peut être vécue comme une contrainte. Cependant, elle peut aussi structurer l’entreprise.
Celles qui dépassent la conformité minimale en tirent des bénéfices.
D’abord, la gouvernance cyber devient plus claire.
Ensuite, la résilience s’améliore. Enfin, la décision devient plus rapide.
De plus, la gestion des tiers devient plus robuste.
Cela réduit les risques cyber, mais aussi des risques opérationnels plus classiques.
Enfin, la conformité démontrable devient un avantage.
Dans certains appels d’offres, elle fait la différence.
Le 20 janvier 2026, la Commission européenne a proposé des ajustements.
L’objectif : réduire certaines charges pour les entreprises de taille moyenne.
Par exemple, une catégorie “small mid-cap” est évoquée.
De plus, les règles de compétence juridictionnelle sont clarifiées.
Enfin, certains reportings sont rationalisés.
Ces changements doivent ensuite être transposés.
Donc, il faut suivre l’évolution nationale. Mais l’esprit de NIS2 reste inchangé.
NIS2 confirme une évolution : la cybersécurité devient de la gouvernance opérationnelle.
Elle engage la responsabilité des dirigeants. Et elle exige des preuves.
La directive impose une discipline : documenter, mesurer, améliorer.
Ainsi, la résilience progresse, au-delà de la conformité.
Les organisations qui réussiront ne chercheront pas le minimum.
Au contraire, elles utiliseront NIS2 comme un outil de pilotage.
La question n’est plus “si” un incident arrivera.
C’est “quand”, et surtout “comment” l’organisation répondra.
NIS2 donne un cadre. Aux dirigeants de l’utiliser.
D’autres articles :
Comment la Data et la RFID viennent accélérer la performance du Retail
Nescafé au Japon : La Stratégie Marketing Long Terme qui a Transformé un Marché Entier
Family Offices : comprendre enfin ce qu’ils sont (et ce qu’ils ne sont pas)
Advisor et Consultant auprès des dirigeants d'entreprise - Fondateur de GOWeeZ !
La directive NIS2 marque un basculement majeur : la cybersécurité n’est plus un sujet technique délégué aux équipes IT, mais un enjeu de gouvernance opérationnelle engageant directement la responsabilité des dirigeants. En imposant une supervision active des risques cyber par les conseils d’administration, NIS2 transforme la conformité réglementaire en levier stratégique de résilience, de continuité d’activité et de souveraineté opérationnelle.
