Avis d'expert | NIS2 : votre organisation est-elle vraiment prête à démontrer sa conformité ?
Mai 2026 | De l’état des lieux à la mise en conformité opérationnelle pilotée
Avec la transposition imminente de la directive NIS2 en droit français, les organisations concernées entrent dans une phase décisive. Plus de 15 000 entités — contre 500 sous NIS1 — vont se trouver soumises à des obligations nouvelles, contraignantes et opposables. Pour beaucoup, c’est une première exposition à ce type de réglementation.
Au-delà des obligations réglementaires, NIS2 impose un changement de posture durable dans la manière d’aborder la cybersécurité. Le défi n’est plus seulement de se protéger, mais de pouvoir en apporter la preuve à tout moment.
Avec la transposition imminente de la directive NIS2 en droit français, les organisations concernées entrent dans une phase décisive. Plus de 15 000 entités — contre 500 sous NIS1 — vont se trouver soumises à des obligations nouvelles, contraignantes et opposables. Pour beaucoup, c’est une première exposition à ce type de réglementation.
Au-delà des obligations réglementaires, NIS2 impose un changement de posture durable dans la manière d’aborder la cybersécurité. Le défi n’est plus seulement de se protéger, mais de pouvoir en apporter la preuve à tout moment.
« Ce qui ne se démontre pas ne se défend pas. » — Le principe fondateur de NIS2
- 15000entités concernées en France sous NIS2, contre 500 sous NIS1
- 24délai maximal pour notifier une alerte précoce en cas d’incident
De la conformité déclarative à la démonstration continue
Pendant de nombreuses années, la cybersécurité s’est structurée autour de logiques de conformité essentiellement déclaratives. Les organisations s’appuyaient sur des référentiels, des politiques et des audits périodiques pour attester de leur niveau de maturité.
NIS2 introduit une rupture nette avec ce modèle. Désormais, il ne s’agit plus uniquement de mettre en place des dispositifs, mais d’être en mesure d’en démontrer l’efficacité dans le temps et en situation réelle.
Cette évolution transforme profondément les attentes des régulateurs, qui ne se limitent plus à une logique de moyens, mais s’inscrivent dans une logique de résultats et de capacité opérationnelle.
Des exigences concrètes qui structurent un nouveau standard
NIS2 se distingue par la nature très opérationnelle des obligations qu’elle introduit. Ce qui relevait auparavant de bonnes pratiques devient désormais une obligation opposable. Les organisations doivent structurer et formaliser un ensemble de capacités clés :
- Mise en place de dispositifs robustes de gestion des risques et des incidents
- Sécurisation de l’ensemble de la supply chain
- Capacité à détecter et notifier un incident dans des délais contraints (alerte précoce sous 24 h)
- Production d’une documentation formalisée, traçable et exploitable à tout moment
Ces exigences prennent une dimension nouvelle sous NIS2 : elles doivent être démontrables, auditables et activables à tout moment. On assiste ainsi à la fin des approches informelles ou partiellement structurées.
La supply chain : facteur de risque devenu central
Un des apports majeurs de NIS2 réside dans l’élargissement du périmètre de responsabilité. La directive ne se limite plus au système d’information interne, mais intègre pleinement les risques liés aux tiers. Fournisseurs, prestataires et partenaires deviennent des éléments constitutifs de l’exposition globale.
Historiquement releguée en marge des dispositifs de sécurité, la supply chain devient désormais un enjeu central de la conformité NIS2. Cela implique ::
- une évaluation renforcée des tiers critiques,
- une intégration des enjeux de cybersécurité dans les processus achats et contractuels,
- et une capacité à superviser, au moins partiellement, des environnements qui ne sont pas sous contrôle direct.
La sécurité d’une organisation dépend désormais directement de celle de son écosystème.
La contrainte temporelle : l’écart entre capacité théorique et capacité réelle
Au-delà des exigences techniques et organisationnelles, NIS2 introduit une dimension souvent sous-estimée : la contrainte de temps.
La capacité à détecter, analyser et notifier un incident dans des délais très courts constitue un changement majeur. Elle ne repose pas uniquement sur des outils, mais sur un ensemble cohérent de processus, de responsabilités et de chaînes de décision. Dans ce contexte, la réactivité devient une composante essentielle de la maturité cyber.
De nombreuses organisations disposent aujourd’hui de dispositifs de protection relativement avancés, mais rencontrent des difficultés à :
- qualifier rapidement un incident,
- activer des processus de crise,
- produire une information fiable dans des délais contraints.
NIS2 met en lumière cet écart entre capacité théorique et capacité réelle. Le véritable test n’est pas la documentation, c’est l’exercice.
Focus France : une transposition structurante sous pilotage de l’ANSSI
En France, la directive NIS2 est en cours de transposition dans le cadre de la future Loi Résilience. Cette étape est déterminante : elle rendra les obligations pleinement opposables et enclenchera les mécanismes de supervision et de contrôle de l’ANSSI.
L’articulation avec le cadre ReCyf viendra préciser les modalités concrètes de mise en conformité. Deux catégories d’entités seront désormais distinguées — entités essentielles et entités importantes — avec des niveaux d’exigence différenciés.
Le calendrier est serré : les organisations qui n’ont pas encore engagé leur démarche de mise en conformité doivent le faire dès maintenant, sans attendre la publication des textes d’application. L’ANSSI a d’ores et déjà signalé qu’elle privilégiera une approche par les risques et les résultats plutôt que par les moyens.
Anticiper plutôt que subir : un enjeu de pilotage
Face à cette évolution, une tentation subsiste : attendre la transposition complète pour engager les actions de mise en conformité.
Cette approche présente un risque important.
Une mise en conformité conduite dans l’urgence conduit généralement à :
- des priorisations subies,
- des investissements désoptimisés,
- et une difficulté à structurer une démarche cohérente dans le temps.
À l’inverse, les organisations qui anticipent peuvent :
- lisser leurs efforts,
- structurer une trajectoire progressive,
- et intégrer NIS2 dans une dynamique plus large de transformation du système d’information.
L’enjeu n’est donc pas uniquement réglementaire, mais bien stratégique et organisationnel.
Un nouveau standard à intégrer dans la durée
NIS2 ne constitue pas uniquement une évolution réglementaire supplémentaire. Elle participe à la définition d’un nouveau standard de cybersécurité, fondé sur la capacité des organisations à démontrer leur niveau de préparation et leur aptitude à réagir.
Dans ce cadre, la question n’est plus uniquement de savoir si les dispositifs sont en place, mais s’ils sont :
- opérationnels,
- mobilisables,
- et démontrables à tout moment.
Pour les organisations françaises, l’enjeu est désormais clair : transformer cette contrainte réglementaire en une opportunité de structurer durablement leur capacité de résilience.
Vous accompagner vers une conformité NIS2 démontrable
Notre démarche d’accompagnement à la mise en conformité NIS2 couvre l’ensemble du parcours : évaluation de maturité, feuille de route priorisée, mise en œuvre opérationnelle et préparation à l’audit. Nous intervenons aussi bien sur les dimensions techniques qu’organisationnelles, avec une attention particulière à la supply chain et à la capacité de gestion de crise.
Contactez nos experts pour un premier échange diagnostic
Simon Laurette Senior Manager - Conseil Cybersécurité - Paris
Data Services et AI
Découvrez comment les équipes spécialisées en Data de Forvis Mazars exploitent au mieux vos données grâce à des stratégies data et à l’intelligence artificielle.