La conformité NIS2 ne se résume plus à un socle de mesures à documenter, mais à une capacité organisationnelle à maintenir dans le temps. Sensibilisation, gouvernance et amélioration continue redessinent les standards attendus en matière de cybersécurité.
Depuis l’entrée en application de la directive européenne NIS2 en octobre 2024, les organisations concernées ont souvent adopté une approche pragmatique : identifier les obligations réglementaires et mettre en place les mesures nécessaires pour être conformes. Mais en 2026, une réalité s’impose : se limiter à une conformité minimale pourrait rapidement devenir insuffisant.
Le texte européen ne se contente pas d’imposer des mesures techniques. Il introduit une transformation plus profonde de la gouvernance de la cybersécurité et de la responsabilité des organisations. Et cette transformation repose en grande partie sur un facteur souvent sous-estimé : l’humain.
Une directive qui élargit considérablement le périmètre
NIS2 marque une rupture par rapport à la première directive adoptée en 2016. En France, on estime que 10 000 à 15 000 organisations sont désormais concernées, soit un périmètre environ trente fois plus large que sous NIS1.
Cette extension s’accompagne d’un régime de sanctions significatif. Les autorités nationales peuvent infliger des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial en cas de manquement.
Mais l’enjeu ne réside pas seulement dans la sanction. Il tient surtout dans l’esprit du texte : NIS2 n’impose pas une série d’actions ponctuelles, mais un processus permanent de gestion du risque cyber.
Or de nombreuses organisations abordent encore cette directive comme un projet de conformité limité dans le temps, alors qu’elle implique une transformation durable.
L’article 21 : la cybersécurité devient une compétence organisationnelle
L’un des aspects les plus révélateurs de cette évolution est l’Article 21 de la directive, qui impose la mise en place de formations continues et de programmes de sensibilisation à la cybersécurité pour les collaborateurs.
La sensibilisation ne peut plus être considérée comme une simple activité de communication interne. Elle devient un élément structurant de la gestion des risques cyber.
Cette évolution reflète une réalité bien connue des professionnels : dans de nombreux incidents, la faille initiale est d’origine humaine, qu’il s’agisse d’un phishing, d’une erreur de configuration ou d’une mauvaise gestion des accès.
Une responsabilité désormais portée au plus haut niveau
Autre changement majeur introduit par NIS2 : la responsabilité de la cybersécurité ne se limite plus aux équipes techniques.
L’Article 20 impose aux membres des organes de direction d’approuver les mesures de gestion des risques cyber et d’en superviser la mise en œuvre. Ils doivent également suivre eux-mêmes des formations et encourager activement le personnel à faire de même.
Cette disposition modifie profondément la gouvernance de la cybersécurité. Les conseils d’administration et comités de direction doivent désormais considérer ces sujets comme une question stratégique, au même titre que la gestion financière ou la conformité réglementaire.
Dans certains pays européens, les transpositions nationales prévoient même des responsabilités personnelles pour les dirigeants en cas de manquement.
Une convergence réglementaire en Europe
NIS2 ne doit pas non plus être analysée isolément. Elle s’inscrit dans un mouvement plus large de renforcement de la cybersécurité à l’échelle européenne.
Le règlement DORA, appliqué depuis janvier 2025 dans le secteur financier, impose lui aussi des programmes réguliers de formation à la résilience opérationnelle numérique. Le Cyber Resilience Act, adopté en 2024, introduit quant à lui de nouvelles obligations pour les fabricants de produits comportant des éléments numériques. Ces textes poursuivent un objectif commun : instaurer un niveau élevé et homogène de cybersécurité dans l’économie européenne.
Pour les organisations opérant dans plusieurs secteurs, cette convergence réglementaire signifie que la cybersécurité ne peut plus être abordée de manière fragmentée. Les programmes doivent être pensés dans la durée et intégrés aux processus de gestion des risques.
De la conformité à la maturité
Face à ces exigences, certaines organisations choisissent encore une approche minimaliste : déployer des mesures permettant de démontrer la conformité lors d’un audit.
Cette stratégie comporte toutefois un risque. La cybersécurité est un domaine dynamique, où les menaces évoluent en permanence. Un dispositif statique devient rapidement obsolète.
À l’inverse, un nombre croissant d’organisations adopte une approche fondée sur la maturité organisationnelle. Celle-ci consiste à structurer progressivement les programmes de formation, les simulations d’attaque, les indicateurs de risque et le reporting vers la direction.
Dans cette logique, la conformité réglementaire n’est plus un objectif final mais une étape dans l’amélioration continue de la posture de sécurité.
Un changement de culture
Au fond, NIS2 ne vise pas uniquement à renforcer les obligations réglementaires. Elle cherche à provoquer un changement de culture.
La cybersécurité ne peut plus être perçue comme une contrainte technique ou un sujet réservé aux spécialistes. Elle devient une compétence collective qui implique l’ensemble de l’organisation, du conseil d’administration jusqu’aux collaborateurs.
Pour les entreprises européennes, l’enjeu dépasse donc la simple conformité. Il s’agit de transformer une obligation réglementaire en capacité opérationnelle durable.
Car dans un environnement numérique où les menaces se multiplient, la véritable question n’est plus de savoir si une organisation respecte les exigences minimales.
La question est plutôt de savoir si elle est réellement prête à faire face aux incidents qui, tôt ou tard, surviendront.
_____________________________
Par Martin Kraemer, expert en cybersécurité chez KnowBe4
_____________________________
puis