La directive européenne NIS2 élargit considérablement le périmètre des organisations concernées par des obligations de cybersécurité. Pour de nombreuses PME et ETI, 2026 marque l’entrée dans un cadre réglementaire jusqu’ici réservé aux grands opérateurs. Décryptage et plan d’action.
Qu’est-ce qui change avec NIS2 ?
NIS2 remplace et renforce la directive NIS de 2016. Trois évolutions majeures sont à retenir pour les structures de taille intermédiaire :
- Un périmètre élargi : davantage de secteurs (« essentiels » et « importants ») et des entreprises plus petites entrent dans le champ d’application.
- Des obligations de notification renforcées, avec des délais courts en cas d’incident significatif.
- La responsabilité des dirigeants, désormais explicitement engagée sur la gouvernance des risques cyber.
En pratique, beaucoup d’organisations découvrent qu’elles sont concernées alors qu’elles ne l’étaient pas sous NIS1. Le premier réflexe : vérifier son éligibilité.
Les mesures attendues
La directive impose une approche par les risques, proportionnée à l’exposition de chaque organisation. Parmi les attendus :
- Analyse de risques et politique de sécurité du Système d’Information ;
- Gestion des incidents (détection, réponse, notification) ;
- Continuité d’activité : sauvegardes, gestion de crise, PCA/PRA ;
- Sécurité de la chaîne d’approvisionnement et des prestataires ;
- Politiques d’hygiène cyber et sensibilisation des collaborateurs.
Par où commencer ?
Inutile de tout reconstruire d’un coup. Une trajectoire réaliste s’articule en trois temps : évaluer votre exposition et votre maturité, prioriser les écarts les plus critiques, puis piloter la mise en conformité dans la durée — idéalement avec une gouvernance claire et un référent identifié.
C’est exactement la démarche que nous outillons chez CyberSpector, du diagnostic initial à la gouvernance déléguée (RSSI / DPO), en passant par les audits et la supervision continue.