NIS2 est en cours de réécriture : ce que la proposition d'amendement 2026 signifie pour vous et vos clients

Vingt-deux des 27 États membres de l'UE ont désormais transposé NIS2 en droit national. Alors que la plupart des organisations peinent encore à satisfaire aux exigences initiales, la Commission européenne a déjà publié une proposition pour modifier les règles. Le 20 janvier 2026, la Commission a publié un paquet d'amendements touchant le périmètre, le signalement des ransomwares, la certification et la supervision transfrontalière.

Pourquoi la Commission amende déjà une directive qui n'est pas encore pleinement mise en œuvre

NIS2 est devenue exécutoire en octobre 2024. Le Digital Omnibus Package de la Commission, lancé en novembre 2025, rationalise la législation numérique de l'UE pour réduire la fragmentation. La mise en œuvre pratique a également révélé des lacunes — notamment la divergence des règles nationales et l'absence de voie de certification harmonisée.

La proposition de janvier 2026 est "ciblée" — la Commission ne remet pas en question l'architecture fondamentale de NIS2. Les dix mesures de sécurité de l'article 21 restent inchangées. Les délais de signalement (24 heures, 72 heures, un mois) restent inchangés.

Statut de Mise en Œuvre NIS2 par Pays (2025–2026)
✅
Pleinement en vigueur
🇧🇪Belgique
🇭🇷Croatie
🇭🇺Hongrie
🇱🇹Lituanie
🇱🇻Lettonie
🇮🇹Italie
6 pays
📋
Adopté — fin 2025
🇩🇪Allemagne
🇨🇿République tchèque
🇫🇮Finlande
3 pays
⏳
En cours — prévu 2026
🇳🇱Pays-Bas
🇫🇷France
🇪🇸Espagne
🇵🇱Pologne
🇦🇹Autriche
🇸🇪Suède
🇮🇪Irlande
7 pays

Signalement des ransomwares : de nouvelles obligations se profilent

Si une autorité nationale le demande, les organisations seront tenues de divulguer si une demande de rançon a été faite et par qui, si une rançon a été payée, le montant et la méthode de paiement, et l'identité du destinataire (y compris tout prestataire de services sur crypto-actifs impliqué).

La divulgation n'est pas automatique — elle est déclenchée par une demande d'autorité. La proposition cible l'asymétrie d'information à laquelle les régulateurs sont confrontés. Les clients qui gèrent des incidents ransomware doivent commencer à établir des pratiques de documentation interne maintenant.

Calendrier de Notification des Incidents NIS2
24h
⚡
Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
Étape 1
72h
📋
Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
Étape 2
1mo
📊
Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.
Étape 3
24h
⚡
Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
72h
📋
Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
1mo
📊
Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.

Changements de périmètre : qui est concerné, qui ne l'est plus

Les opérateurs de câbles sous-marins entrent dans le champ pour la première fois. La distribution chimique sort : l'amendement supprime "distribution" de l'Annexe II. Une nouvelle catégorie de "petites entreprises de taille moyenne" (moins de 750 employés, CA inférieur à 150 millions d'euros) serait traitée comme "entités importantes" plutôt qu'essentielles — supervision réactive plutôt que proactive.

La NIS2 s'applique-t-elle à votre organisation ?
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼
Non▼
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗
La NIS2 ne s'applique pas directement à votre organisation.
Oui▼
Non▼
✓
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →
✗
La NIS2 ne s'applique pas directement à votre organisation.
✓
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'applique
Possiblement applicable
Ne s'applique pas

La certification comme voie de conformité : le certificat cyber-posture

Les entités pourront à terme obtenir un "certificat cyber-posture" de l'UE sous un futur schéma européen de certification aligné sur CSA2. Si une entité détient un certificat valide couvrant les exigences de l'article 21, les autorités compétentes ne peuvent pas la soumettre à des audits supplémentaires pour ces exigences. Prouver la conformité une fois, éviter les audits nationaux dupliqués.

CSA2 est lui-même encore une proposition. Mais la direction est claire : investissez dans des cadres certifiables. Les orientations d'ENISA mappant NIS2 sur ISO 27001 deviendront probablement la base des futurs certificats cyber-posture.

Pour plus de contexte sur les dix mesures de l'article 21, voir l'analyse approfondie de l'article 21 de NIS2.

Rôle renforcé de l'ENISA : supervision transfrontalière

L'ENISA facilitera la coopération entre autorités nationales, aidera à déterminer une autorité chef de file, réalisera une analyse des risques dans les 15 mois suivant l'entrée en vigueur, et participera aux activités de supervision conjointe sur demande. Ce n'est pas un guichet unique au modèle RGPD.

Ce qui change et quand : un calendrier pratique

Estimation conservatrice : ces amendements ne seront pas en droit national avant fin 2027 ou début 2028. Conseillez les clients maintenant — de manière sélective. La documentation ransomware est peu coûteuse à mettre en place. Les changements de périmètre sont prioritaires pour les secteurs concernés.

Le tableau d'ensemble : l'application de NIS2 a déjà commencé

Sept États membres ont déjà été renvoyés devant la Cour de justice. Les autorités nationales commencent à mener des inspections. Les premières amendes sont attendues avant la fin de l'année.

Escalade des sanctions NIS2 — Au-delà de l'amende
!
Déclencheur
Non-conformité détectée ou incident survenu
Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2
Les autorités peuvent imposer
▼
Sanctions non financières
1
Ordres de mise en conformité avec délais contraignants
2
Audits de sécurité obligatoires à vos frais
3
Divulgation publique des violations
4
Instructions contraignantes sur des mesures de sécurité spécifiques
Escalade vers
▼
Conséquences opérationnelles et personnelles
1
Suspension de certifications ou licences d'exploitation
2
Interdiction temporaire de fonctions de direction pour les individus
3
Désignation publique des personnes physiques responsables
Déclencheur
Non financier
Opérationnel / personnel

Les amendements proposés n'accordent pas plus de temps aux organisations. Ils ajoutent de nouvelles obligations au-dessus de la base existante. La position la plus défendable est une analyse des écarts documentée.

Si vos clients n'ont pas encore réalisé cette analyse, faites-la maintenant. Le quick-scan NIS2 sur NIS2Certify vous offre un point de départ structuré en moins de 20 minutes.