Guide : NIS2 et DORA, ce qu’il faut savoir en 2026

  1. De quoi parle-t-on ?

Trois textes européens convergent actuellement dans un seul projet de loi français, dit « loi Résilience » :

  • NIS2 (directive 2022/2555) : cybersécurité des entités essentielles et importantes, dans 18 secteurs.
  • REC (directive sur la résilience des entités critiques) : continuité d’activité face aux risques physiques et cyber.
  • DORA (règlement 2022/2554) : résilience numérique du secteur financier et de ses prestataires IT.
  1. Calendrier
  • 17 janvier 2025 : DORA entre en application directe (règlement européen, pas de transposition nécessaire).
  • 2 juillet 2025 : règlement délégué (UE) 2025/532, précisant les obligations de sous-traitance ICT sous DORA.
  • Mars 2025 : première lecture du projet de loi Résilience au Sénat.
  • 10 septembre 2025 : vote en commission spéciale à l’Assemblée nationale.
  • 17 mars 2026 : l’ANSSI publie une version de travail du ReCyF (Référentiel Cyber France).
  • Été 2026 (session extraordinaire de juillet) : adoption définitive attendue de la loi Résilience.
  • T2 2026 : décrets d’application ANSSI attendus.
  1. Qui est concerné par NIS2 ?

Deux catégories d’entités, selon la taille :

  • Entités essentielles : ≥ 250 salariés, ou CA > 50 M€, ou bilan > 43 M€.
  • Entités importantes : 50 à 249 salariés, ou CA entre 10 et 50 M€.

Ces seuils s’appliquent dans 18 secteurs (énergie, transport, santé, numérique, gestion des eaux, espace, industrie, etc.). Résultat : 10 000 à 15 000 entreprises françaises seront concernées, contre environ 500 sous le régime NIS1 actuel. De nombreuses ETI et PME du retail, de l’industrie et de la logistique basculent ainsi dans le périmètre réglementaire pour la première fois.

Pour vérifier votre situation : l’ANSSI met à disposition un outil d’auto-évaluation, MonEspaceNIS2.

  1. Qu’est-ce que ça implique concrètement ?
  • Cartographie à jour des systèmes d’information et des prestataires externes.
  • Plans de continuité et de reprise d’activité testés régulièrement (et non plus seulement documentés).
  • Notification des incidents de sécurité significatifs sous 24 à 72h selon leur gravité.
  • Engagement direct de la direction (et non plus seulement de la DSI) sur la gouvernance cyber.

Le ReCyF, publié en version de travail le 17 mars 2026 par l’ANSSI, détaille les mesures recommandées pour répondre à ces exigences. Il est non obligatoire par défaut, mais une entreprise qui s’y conforme pourra s’en prévaloir en cas de contrôle.

  1. Et DORA, pour le secteur financier ?

DORA s’applique depuis le 17 janvier 2025 aux banques, assurances, sociétés de gestion, et à leurs prestataires IT critiques. Le règlement délégué (UE) 2025/532 du 2 juillet 2025 précise les obligations vis-à-vis de la sous-traitance ICT critique :

  • Registre exhaustif des contrats ICT (nature des services, fonctions supportées, criticité, juridictions de traitement des données, plans de sortie).
  • Identification de tous les sous-traitants en cascade.
  • Clauses de notification préalable pour tout changement matériel.
  • Droits d’audit pour l’entité financière et les régulateurs.
  • Droit de résiliation en cas de non-respect.
  1. Quels impacts pour les freelances et consultants IT ?

La demande progresse déjà sur plusieurs profils :

  • RSSI et consultants en gouvernance de la sécurité.
  • Risk managers et chargés de conformité IT.
  • Architectes / ingénieurs résilience et continuité d’activité.
  • Consultants capables d’accompagner la mise en conformité des prestataires (audits, plans d’action).

Documenter une expérience, même partielle, sur ces sujets devient un vrai atout différenciant sur le marché lillois.

Sources

La directive NIS 2 — ANSSI

ReCyF — ANSSI / DPO Partage

NIS2 : votre PME est-elle concernée ? — AdevWeb

Le règlement DORA — AMF

DORA et la sous-traitance — Mathias Avocats

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *