Conformité NIS2 : pourquoi le minimum ne suffira pas

Martin Kraemer, expert chez KnowBe4, publie une tribune dans laquelle il alerte sur une erreur d’interprétation fréquente : traiter NIS2 comme un projet de conformité ponctuel, alors que la directive impose une transformation durable de la gouvernance cyber. Voici ce que l’on en retient.

Depuis l’entrée en application de NIS2 en octobre 2024, beaucoup d’organisations ont ainsi adopté une approche pragmatique : identifier les obligations et mettre en place les mesures nécessaires pour être conformes. En 2026, cette logique montre pourtant déjà ses limites.

NIS2 ne se contente pas d’imposer des mesures techniques. Elle introduit une transformation profonde de la gouvernance cyber. Cette transformation repose en grande partie sur un facteur souvent sous-estimé : l’humain.

En France, entre 10 000 et 15 000 organisations sont désormais concernées trente fois plus que sous NIS1. Les sanctions sont par ailleurs lourdes. Les autorités nationales peuvent en effet infliger des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

C’est là que la conformité NIS2 prend une dimension nouvelle. L’Article 21 impose ainsi des programmes de formation continue et de sensibilisation à la cybersécurité pour l’ensemble des collaborateurs. La sensibilisation ne peut donc plus se limiter à une communication interne annuelle. Elle devient un élément structurant de la gestion des risques, à maintenir dans le temps.

L’Article 20 va plus loin encore. Il impose aux membres des organes de direction d’approuver les mesures de gestion des risques cyber et d’en superviser la mise en œuvre. Ils doivent par ailleurs suivre eux-mêmes des formations. Dans certains pays européens, les transpositions nationales prévoient même des responsabilités personnelles pour les dirigeants en cas de manquement.

Les conseils d’administration doivent donc désormais traiter la cybersécurité comme un enjeu stratégique, au même titre que la gestion financière ou la conformité réglementaire.

NIS2 s’inscrit dans un mouvement plus large de renforcement de la cybersécurité à l’échelle européenne. Le règlement DORA, appliqué depuis janvier 2025 dans le secteur financier, impose des programmes réguliers de formation à la résilience opérationnelle. Le Cyber Resilience Act, adopté en 2024, introduit quant à lui de nouvelles obligations pour les fabricants de produits numériques.

Ces textes poursuivent un objectif commun : instaurer un niveau homogène de cybersécurité dans l’économie européenne. Pour les organisations multi-secteurs, cette convergence est claire. La cybersécurité ne peut plus être abordée de manière fragmentée.

Certaines organisations choisissent encore une approche minimaliste : déployer les mesures nécessaires pour passer un audit. Cette stratégie comporte un risque évident. La cybersécurité est un domaine dynamique un dispositif statique devient rapidement obsolète face à des menaces qui évoluent en permanence.

À l’inverse, les organisations les plus avancées structurent progressivement leurs programmes de formation, leurs simulations d’attaque et leurs indicateurs de risque. La conformité NIS2 n’est plus un objectif final. C’est une étape dans l’amélioration continue de la posture de sécurité.

Au fond, NIS2 cherche à provoquer un changement de culture.La cybersécurité ne peut plus être réservée aux spécialistes. Elle devient une compétence collective qui implique toute l’organisation.

Pour conclure la tribune de Martin Kraemer rappelle une réalité que beaucoup d’organisations tardent encore à intégrer : respecter le minimum réglementaire ne protège pas. Dans un environnement où les menaces évoluent plus vite que les textes, la vraie question n’est pas de savoir si une organisation est conforme. C’est de savoir si elle est réellement prête à faire face aux incidents qui, tôt ou tard, surviendront.