Retard de transposition de NIS2 : le Cesin alerte sur les risques pour la commande cyber et l’investissement
Faute de calendrier clair, les organisations peinent à engager leurs budgets et à structurer leurs projets cyber.
Le Cesin, Club des experts de la sécurité de l’information et du numérique, appelle à une clarification rapide du calendrier de transposition de la directive NIS2 en droit français.
À ce stade, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité ne figure toujours pas à l’ordre du jour de la session extraordinaire ouverte le 1er juillet 2026.
Au-delà de l’enjeu juridique, le retard accumulé crée une difficulté très concrète pour les entreprises, car elles doivent préparer de nouvelles obligations. Or elles ne disposent pas encore d’un cadre pleinement stabilisé pour sécuriser leurs arbitrages budgétaires, structurer leurs appels d’offres et contractualiser avec leurs prestataires.
À lire également
Cette incertitude pèse directement sur le marché de la cybersécurité. Les organisations concernées, ainsi que leurs fournisseurs et sous-traitants, doivent déjà anticiper un renforcement global des exigences en matière de gouvernance. Faute de visibilité, certains projets sont ralentis, ou reportés, alors même que les démarches de mise en conformité s’inscrivent dans des cycles pluriannuels.
À l’échelle européenne, certaines entreprises s’alignent déjà sur les cadres des pays les plus avancés, ce qui contribue à creuser l’écart avec la France.
« L’incertitude réglementaire perturbe la commande cyber et ralentit les décisions d’investissement. Elle impacte l’ensemble des organisations, y compris celles déjà soumises à des cadres réglementaires, dans la mesure où NIS2 élargit significativement les périmètres et les niveaux d’exigence. »
Fabrice Bru, président du Cesin.
Pour les directions cybersécurité, cette absence de cap complique la préparation des feuilles de route à horizon 2027. Elle fragilise aussi la justification des investissements auprès des directions générales. Pour les acheteurs, la rédaction des cahiers des charges et des clauses contractuelles devient plus complexe.
Concernant les prestataires, la demande manque de lisibilité au moment même où l’écosystème doit se mobiliser.
Le Cesin estime nécessaire de sécuriser rapidement trois éléments :
- un calendrier parlementaire et réglementaire lisible ;
- une confirmation des principales exigences afin de permettre aux entreprises de préparer leurs plans d’action ;
- une attention particulière aux conditions de mise en œuvre pour les entités nouvellement régulées, ainsi qu’à la diffusion des exigences dans la chaîne de sous-traitance.
Le Cesin rappelle que NIS2 ne doit pas être abordée comme une simple contrainte réglementaire. La directive constitue un levier de structuration de la commande cyber et de renforcement de la résilience collective, à condition que les entreprises disposent rapidement d’un cadre stabilisé et prévisible.
Nombre d’entreprises sont déjà engagées et n’attendent pas la loi pour agir. Elles attendent désormais la visibilité pour exécuter.
Le Cesin appelle en conséquence à une inscription rapide du texte à l’ordre du jour parlementaire. Le marché est prêt. Le cadre doit suivre.
En savoir plus
Consultez le site internet du Cesin.
Actualités
À l’occasion des 70 ans de CNPP, nous faisons le point sur les activités du groupe spécialisé dans la…
-
Dans un monde professionnel marqué par l’hyperconnexion et la pression constante, certains comportements intrusifs brouillent dangereusement la frontière entre exigence…
-
Le secteur européen de la sécurité incendie se trouve à un tournant. La numérisation, la connectivité à distance et…
Le décret n° 2026-433 du 2 juin 2026 relatif à la police des déchets et à la lutte contre…
-
Le règlement délégué (UE) 2026/557 de la Commission du 16 mars 2026, complétant le règlement (UE) 2024/3110 du Parlement…
-
La Fédération Française des Métiers de l’Incendie (FFMI) annonce la réélection de Régis Cousin à sa présidence. Les adhérents de…
