NIS2 en 2026 - la France à la traîne
Février 2026. NIS2 est censée être pleinement opérationnelle depuis plus d’un an dans toute l’Europe. Pourtant, en France, on en est encore à attendre les débats parlementaires finaux, avec une adoption espérée pour le premier trimestre et une roadmap de…

Février 2026. NIS2 est censée être pleinement opérationnelle depuis plus d’un an dans toute l’Europe. Pourtant, en France, on en est encore à attendre les débats parlementaires finaux, avec une adoption espérée pour le premier trimestre et une roadmap de conformité étalée sur trois ans. Pendant ce temps, les attaquants, eux, ne respectent aucun calendrier législatif.
J’anime régulièrement des ateliers avec des RSSI et DSI français : la lassitude est palpable.
« On attend le texte définitif »,
« On verra quand les décrets sortiront »,
« De toute façon, l’ANSSI va encore ajouter sa couche ».
Personne ne veut vraiment aller de l’avant. C’est chiant, bureaucratique, et ça bloque tout.
Et pourtant, juste à côté, en Belgique, en Irlande ou en Roumanie, ça bouge. Vite et bien.
L’Europe avance, la France freine
NIS2 devait être transposée avant octobre 2024. La plupart des États membres l’ont fait, avec des approches plus ou moins pragmatiques. Certains ont même déjà lancé les premiers contrôles et registres d’entités essentielles/importantes.
En France ? La Loi Résilience passe encore par les méandres parlementaires. Les trackers européens (ECSO, Eversheds Sutherland) classent régulièrement la France parmi les retardataires. Résultat : incertitude juridique, reporting flou, et entreprises qui repoussent les investissements cyber sous prétexte d’attendre « la version finale ».
Et c’est là que le mécanisme devient pervers : plus ça traîne, plus l’inaction se justifie.
On ne reporte pas par manque de budget ou par manque de ressources. On reporte par attente du cadre. Comme si un attaquant, lui, avait besoin du JO pour lancer un rançongiciel.
Et la sécurité n'est jamais qu'un sujet de second plan que j'adressais déjà dans ma lettre ouverte au président.
Pendant ce temps, nos voisins adoptent des cadres simples et opérationnels. Le meilleur exemple ? Le modèle belge CyberFundamentals (CyFun).

Le terrain belge : quand la simplicité gagne
Chez Cresco où je travaille comme Lead GRC, nous avons accompagné près de 40 entreprises dans leur mise en conformité NIS2 rien qu’en 2025.
Et le constat est clair et franchement alarmant : IL Y A UN BESOIN URGENT DE LÉGIFÉRER SUR LA CYBERSÉCURITÉ POUR FORCER LES ORGANISATIONS À SE RENFORCER.
Parce que sur le terrain, j’ai vu de tout:
- J’ai vu des sociétés à 9 chiffres de chiffre d’affaires être moins sécurisées qu’un moulin à vent avec une porte en bois sans serrure.
- J’ai vu des boîtes de 200 collaborateurs sans aucun formalisme, même pas une charte informatique.
- J’ai vu des équipes IT pleines de bonne volonté, mais un management qui se moque de la sécurité, parce qu’on continue de traiter le sujet comme un exercice budgétaire : on verra l’an prochain, ce n’est pas prioritaire, il y a d’autres urgences.
Vous les imaginez gérer ça comme les risques d’incendie dans un bâtiment ?
Non. La direction serait dégagée.
Et pourtant, un risque cyber, c’est un risque business.
C’est exactement là que CyFun est intéressant. Pas parce que la Belgique est meilleure, mais parce que le cadre est pilotable. Il force une discussion simple : niveau cible, contrôles attendus, preuves, trajectoire.
Pas une dissertation. Un plan.
Le framework CyberFundamentals (CyFun), développé par le Centre for Cybersecurity Belgium (CCB), est aujourd’hui co-adopté par la Belgique, l’Irlande et la Roumanie. D’autres pays (Portugal, Croatie…) l’observent ou l’adoptent partiellement. Pourquoi ? Parce que c’est pragmatique : trois niveaux de maturité, des contrôles clairs, et une certification reconnue qui présume la conformité NIS2 jusqu’à preuve du contraire.
Et surtout : ça casse l’excuse préférée des organisations : on ne sait pas quoi faire.
Parce que le cadre dit quoi faire, dans quel ordre, et comment le prouver.
Les entreprises détestent la conformité… mais elles adorent qu’on leur donne un cadre simple. Si c’est clair, elles signent.
CyFun, c’est exactement ça.
Résultat concret : les entreprises avancent. Elles investissent dans la résilience réelle, plutôt que dans la paperasse infinie.
Pendant ce temps, les menaces explosent
On perd un temps fou en enfantillages politiques et administratifs, alors que les données des Français sont exposées comme jamais.
- Attaques supply chain en hausse continue ?
- IA offensive qui industrialise le phishing, les malwares évolutifs et la reconnaissance automatisée.
- Fuites de données à répétition : chaque mois apporte son lot de breaches massifs, souvent chez des entités qui auraient dû être mieux protégées sous NIS2.
Et ce qui m’inquiète le plus, ce n’est pas l’intensité des attaques. C’est l’habitude.
La fuite devient un bruit de fond.
Le rançongiciel devient un risque métier.
Le phishing devient un problème RH.
On normalise l’anormal.
Le WEF Global Cybersecurity Outlook 2026 place à nouveau la fragmentation géopolitique et les attaques sophistiquées en tête des risques. Mais en France, on préfère débattre de la formulation exacte d’un décret plutôt que de renforcer la résilience opérationnelle.
Et c’est là le point clé : le temps administratif est lent. Le temps des menaces est instantané.
L’écart entre les deux, c’est la zone où les incidents se logent.

Les labels qui ne servent à rien et l’entre-soi confortable
Dans le même temps, on continue à produire des initiatives qui donnent l’illusion d’agir sans créer de vraie valeur.
Exemple parfait : le label CyberBat, lancé récemment pour le secteur du bâtiment (génie électrique, énergétique…). Sympa sur le papier, mais qui apporte-t-il concrètement face à NIS2 ou aux menaces réelles ? Une couche supplémentaire pour les maîtres d’ouvrage qui veulent cocher une case ?
Parce que c’est ça, le problème : on adore les labels quand ils évitent de faire le dur : inventaire, segmentation, gestion des accès, patching, exigences fournisseurs, exercices de crise, preuves de restauration, etc.
Un label confort ne remplace jamais une capacité de réaction.
Et que dire de la qualification PASSI ? Indispensable pour certains audits réglementés, elle est devenue un club fermé qui sert surtout l’entre-soi des prestataires historiques. Le marché est verrouillé, les coûts explosent, l’innovation peine à entrer et les Appels d'Offres demandent des auditeurs PASSI pour aucune raison si ce n'est celle de s'être fait convaincre par Pierre, Paul ou Jacques.
On se gargarise de certifications françaises, mais on oublie l’essentiel : la cybersécurité efficace est celle qui protège vraiment, pas celle qui remplit des dossiers.
Recommandations : arrêtez d’attendre et passez à l’action
Peu importe le calendrier exact de la Loi Résilience, les entreprises françaises peuvent (et doivent) avancer dès maintenant :
- Adoptez un framework pragmatique comme ISO27001, CyFun ou NIST CSF - ils sont compatibles NIS2 et déjà utilisés ailleurs en Europe.
- Lancez l’inventaire de vos actifs critiques, fournisseurs et risques supply chain, sans attendre le registre officiel.
- Formez vos équipes et simulez des incidents : la résilience se construit sur le terrain, pas dans les textes.
- Exigez la transparence des prestataires : au-delà des labels, demandez des preuves concrètes d’efficacité.
- Poussez vos pairs et fédérations à demander une transposition rapide et allégée - pas une usine à gaz supplémentaire.
Et j’ajoute un point terrain que tout le monde évite :
6. Clarifiez la décision en crise (qui coupe quoi, qui parle à qui, qui valide un arrêt de prod, qui assume la notification).
Parce que le jour où ça tape, la sécurité ne s’écroule pas toujours à cause d’un manque d’outil. Elle s’écroule à cause d’un manque d’arbitrage.
2026 doit être l’année du réveil
NIS2 n’est pas une contrainte de plus : c’est une opportunité de renforcer enfin la résilience européenne. Mais en France, on choisit encore de traîner, de complexifier, de créer des labels gadgets pendant que les attaquants passent à l’offensive.
Les données des Français - et de nos entreprises - méritent mieux que des enfantillages politiques. Il est temps d’avancer comme nos voisins : pragmatiquement, rapidement.
La conformité ne protège pas. L’exécution, si.
Et l’exécution, on peut la démarrer aujourd’hui.
Questions fréquentes
Où en est la transposition de NIS2 en France en 2026 ?
En février 2026, la Loi Résilience est encore en débat parlementaire, avec une adoption espérée au premier trimestre et une roadmap de conformité étalée sur trois ans, alors que la directive devait être transposée avant octobre 2024.
Qu’est-ce que CyFun et pourquoi est-il cité en exemple ?
CyberFundamentals (CyFun) est le framework du Centre for Cybersecurity Belgium (CCB), co-adopté par la Belgique, l’Irlande et la Roumanie. Il est pragmatique, trois niveaux de maturité, des contrôles clairs, une certification qui présume la conformité NIS2, et rend la mise en conformité pilotable.
Faut-il attendre le texte définitif pour agir ?
Non. Les entreprises peuvent adopter dès maintenant un framework compatible NIS2 (ISO 27001, CyFun, NIST CSF), lancer l’inventaire de leurs actifs et fournisseurs, former leurs équipes et simuler des incidents, sans attendre le registre officiel.
Les labels comme CyberBat ou la qualification PASSI suffisent-ils ?
L’article soutient que non : un label de confort ne remplace pas une capacité de réaction, et la qualification PASSI tend à verrouiller le marché. La cybersécurité efficace est celle qui protège vraiment, pas celle qui remplit des dossiers.
Sources & méthodologie
- Lettre ouverte à Emmanuel Macron sur la cybersécurité
- Centre for Cybersecurity Belgium (CCB), framework CyberFundamentals (CyFun)
- Cresco (Lead GRC)
- WEF Global Cybersecurity Outlook 2026

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
