Actualité NIS2 2026 : directive cybersécurité européenne

8 mai 2026 — Pologne : 5 stations de traitement d'eau compromises, alerte NIS2

L'Agence de securite interieure polonaise (Agencja Bezpieczenstwa Wewnetrznego, ABW) a documente, dans son rapport public relaye par The Record et SecurityWeek les 7 et 8 mai 2026, cinq intrusions dans les systemes industriels (ICS) de stations de traitement d'eau polonaises. Selon l'agence, les attaquants ont obtenu la capacite de modifier les parametres de fonctionnement des equipements, ce qui presente un risque direct pour la salubrite de l'eau distribuee a la population. L'ABW n'attribue pas publiquement les incidents mais souligne une intensification des activites cyber hostiles en 2024 et 2025, 'avec un accent particulier sur les services speciaux de la Federation de Russie'. Sur le plan reglementaire, l'eau potable releve du secteur 'eaux destinees a la consommation humaine' inscrit a l'annexe I de la directive NIS2 comme secteur hautement critique : a ce titre, les exploitants essentiels sont tenus d'adopter des mesures techniques, operationnelles et organisationnelles appropriees et proportionnees au sens de l'article 21, et de notifier sans retard injustifie les incidents significatifs dans les delais prevus a l'article 23 (alerte precoce sous 24 h, notification sous 72 h, rapport final sous un mois). Cette obligation sectorielle NIS2 rejoint l'article 32 du RGPD lorsque les systemes vises hebergent des donnees personnelles d'usagers.

Ce que ca change pour vous : si vous etes exploitant OIV ou regie d'eau, verifiez la segmentation IT/OT, l'integrite des automates et la procedure de notification ANSSI (alerte 24 h / notification 72 h / rapport final 1 mois) au titre de l'article 23 de la directive NIS2. NIS2 : entites essentielles vs entites importantes — Directive NIS2 : guide complet des nouvelles obligations — Conformite NIS2 : checklist des 10 mesures de securite

7 mai 2026 — ANSSI : rapport d'activite 2025 -- lanceurs d'alerte, menaces etatiques, 5G

L'ANSSI a publie son rapport d'activite 2025, repris par next.ink le 6 mai 2026. Le document detaille la mise en oeuvre des dispositifs reglementaires confies a l'agence : reception des signalements de lanceurs d'alerte, mecanisme de detection et de blocage des menaces etatiques sur les reseaux, et encadrement du deploiement des reseaux 5G via la procedure d'autorisation prealable issue de la loi du 1er aout 2019. L'agence revient egalement sur les chiffres cles des incidents traites et sur la preparation operationnelle a la transposition de la directive NIS2 portee par le projet de loi Resilience. Cette publication intervient deux mois apres le Panorama de la cybermenace 2025 (mars 2026), qui faisait etat de 3 586 evenements de securite traites en 2025 et d'une concentration des cibles sur l'education, les ministeres et les collectivites territoriales et la sante. Pour les responsables de traitement, le rapport eclaire les obligations decoulant de l'article 32 du RGPD et de l'article 21 de la directive NIS2 lorsque l'organisation entre dans le perimetre essentiel ou important.

Verifiez si votre entite est concernee par la transposition NIS2 a partir des criteres exposes dans le rapport ANSSI et alignez votre politique de gestion des incidents sur les seuils de notification combines de l'article 23 NIS2 et de l'article 33 du RGPD. Directive NIS2 : guide complet — NIS2 : entites essentielles vs entites importantes — Guide ANSSI pour les TPE/PME : 13 mesures essentielles

5 mai 2026 — Loi Resilience : article 16 bis sur le chiffrement inquiete le renseignement

Selon ZDNet du 5 mai 2026, les services de renseignement francais expriment leur inquietude face au projet de loi Resilience, qui assure la transposition de la directive NIS2 en droit interne. Les parlementaires opposes au texte ciblent en particulier l'article 16 bis, introduit en cours de navette, qui sanctuariserait le recours au chiffrement par les entites essentielles et importantes au sens de NIS2. Les services de renseignement estiment que cette disposition irait au-dela des obligations de cybersecurite imposees par l'article 21 de NIS2 et limiterait les capacites d'interception legale prevues par le code de la securite interieure. Operationnellement, l'adoption de l'article 16 bis renforcerait la position des RSSI vis-a-vis des demandes d'acces non chiffre et alignerait la pratique francaise sur les recommandations recurrentes de l'ANSSI et de l'ENISA. Le calendrier parlementaire reste incertain, mais le vote est attendu avant l'echeance d'octobre 2026 fixee par la directive pour la pleine application en France.

Surveillez l'avancement parlementaire du projet de loi Resilience : les obligations de chiffrement appliquees a vos systemes critiques pourraient se durcir avant la fin 2026. Directive NIS2 : guide complet — Chiffrement des donnees : obligations RGPD

30 avril 2026 — Linux : faille noyau « Copy Fail » CVE-2026-31431, root accessible

Une vulnerabilite critique du noyau Linux, baptisee « Copy Fail » et reperee par l'editeur Xint.io, permet a un utilisateur local non privilegie d'obtenir les droits root sur la quasi-totalite des distributions. Reference CVE-2026-31431, score CVSS 7,8/10, la faille reside dans le module cryptographique authencesn et est presente dans le code depuis 2017, soit huit annees d'exposition non detectee. Le mecanisme permet d'ecrire quatre octets controles dans le page cache de n'importe quel fichier accessible en lecture, puis de pivoter jusqu'au shell root. Le vecteur est local (AV:L) : un compte utilisateur valide suffit, sans dependance reseau ni interaction. Les principales distributions deploient deja les correctifs. Pour les responsables de traitement, le risque touche directement l'integrite et la confidentialite des donnees stockees sur les serveurs Linux : la vulnerabilite engage donc l'obligation de mesures techniques appropriees de l'article 32 du RGPD, et, pour les entites essentielles ou importantes au titre de NIS2, l'obligation de gestion des vulnerabilites prevue a l'article 21 NIS2.

Ce que ca change pour vous : recensez les serveurs et postes Linux multi-utilisateurs, deployez le patch noyau diffuse par votre distribution, et tracez l'application du correctif dans votre journal de gestion des vulnerabilites. Securite des donnees personnelles : obligations de l'article 32 RGPD — Article 32 RGPD : securite du traitement decryptee — Conformite NIS2 : checklist des 10 mesures de securite obligatoires

30 avril 2026 — GitHub : RCE critique CVE-2026-3854, 88 % des Enterprise non patches

GitHub a corrige, en quelques heures apres signalement par les chercheurs de Wiz, une vulnerabilite d'execution de code a distance (RCE) reperee dans la chaine de traitement serveur des operations git push. Reference CVE-2026-3854, la faille permettait a un utilisateur authentifie d'injecter une entree malveillante traitee par un composant interne (X-STAT) puis incorporee a l'execution de commandes serveur. Le correctif est deja deploye sur GitHub.com et diffuse pour toutes les versions supportees de GitHub Enterprise Server, mais Wiz indique qu'au moment de la divulgation publique, 88 % des instances Enterprise exposees sur Internet n'avaient pas encore applique la mise a jour. Pour les entreprises europeennes, le risque porte sur l'integrite et la confidentialite du code source, des secrets et des donnees stockees dans les depots prives, avec impact direct sur l'article 32 du RGPD (securite des traitements) et sur les obligations de gestion de la chaine d'approvisionnement logicielle prevues par NIS2 (article 21).

Ce que ca change pour vous : si vous exploitez GitHub Enterprise Server, appliquez sans delai la mise a jour de securite, faites tourner les secrets et tokens stockes dans les depots et auditez les journaux pour detecter d'eventuels appels git push suspects. Securite des donnees personnelles : obligations de l'article 32 RGPD — Sous-traitance securite : exigences NIS2 et RGPD — Audit de securite informatique : methodologie et outils

30 avril 2026 — Windows : CISA alerte sur un zero-day expose en exploitation active

Microsoft et la Cybersecurity and Infrastructure Security Agency (CISA) americaine ont lance, le 29 avril 2026, une alerte sur l'exploitation active d'une faille zero-clic de Windows susceptible d'exposer des informations sensibles sur les systemes vulnerables. Cette nouvelle alerte intervient apres que le correctif diffuse pour une precedente vulnerabilite exploitee par des operateurs lies au renseignement russe s'est revele incomplet : un nouveau vecteur permet de contourner la mise a jour initiale sans interaction de l'utilisateur. L'editeur a publie une mise a jour complementaire et invite tous les exploitants a appliquer immediatement les correctifs, tandis que la CISA a inscrit la vulnerabilite a son catalogue Known Exploited Vulnerabilities. Pour les DPO et RSSI europeens, l'incident rappelle l'obligation de mettre en oeuvre des mesures techniques appropriees au sens de l'article 32 du RGPD, et, pour les entites essentielles ou importantes au titre de la directive NIS2, l'obligation de gerer les vulnerabilites comme element de l'analyse des risques (article 21 NIS2).

Ce que ca change pour vous : verifiez que la derniere version cumulative Windows est deployee sur l'ensemble de votre parc, documentez la fenetre d'exposition dans votre registre des risques et tracez la mise a jour dans le journal de gestion des vulnerabilites. Securite des donnees personnelles : obligations de l'article 32 RGPD — RGPD et securite : mesures techniques exigees par la CNIL — Sous-traitance securite : exigences NIS2 et RGPD

28 avril 2026 — Locked Shields 2026 : la France 4e à l'exercice cyber de l'OTAN

L'ANSSI annonce que l'équipe France a terminé 4e sur 17 nations à Locked Shields 2026, le plus grand exercice de cyberdéfense au monde organisé par le Centre d'excellence de cyberdéfense coopérative de l'OTAN (CCDCOE) du 13 au 24 avril 2026. Plus de 4 000 participants ont simulé la défense d'un pays fictif soumis à une attaque massive sur ses infrastructures critiques. L'édition 2026 a mis l'accent sur la coordination civile-militaire, la gestion de crise multi-secteurs et la communication stratégique. Pour les opérateurs visés par NIS2 et les entités essentielles, le retour d'expérience nourrit les schémas de gestion de crise cyber et les attendus en matière d'exercices internes.

Ce que ça change pour vous : intégrer les enseignements Locked Shields dans votre exercice annuel de gestion de crise cyber, exigence opérationnelle attendue par l'article 21 NIS2. Exercice de crise cyber : méthode de préparation et de conduite

27 avril 2026 — Allemagne : enquête fédérale sur le phishing Signal visant la classe politique

Le parquet fédéral allemand (Generalbundesanwalt) a annoncé, le 24 avril 2026, qu'il menait depuis février 2026 une enquête pour « suspicion d'espionnage » à la suite d'une campagne de hameçonnage visant les utilisateurs de Signal en Allemagne. Selon une porte-parole du ministère fédéral de l'Intérieur citée par INCYBER News le 27 avril 2026, la campagne — « probablement menée par un acteur étatique » — vise « des responsables politiques, l'armée, la diplomatie ainsi que des journalistes d'investigation » et se poursuit. Les déclarations font suite aux révélations de l'hebdomadaire Der Spiegel du 22 avril 2026 sur une attaque par hameçonnage visant la présidente du Bundestag, Julia Klöckner. Konstantin von Notz, élu Vert au Bundestag, a publiquement averti que « personne ne peut assurer que l'intégrité des communications des députés est encore garantie » ; le président de la commission de contrôle parlementaire, Marc Henrichmann, a explicitement attribué la campagne à Moscou, sans accusation officielle du gouvernement allemand. Pour les responsables de traitement et les entités essentielles ou importantes au sens de la directive NIS2, ce dossier illustre que le chiffrement de bout en bout d'une messagerie n'exonère pas des mesures techniques et organisationnelles obligatoires sur les terminaux et l'authentification (article 32 du RGPD), ni des obligations de gestion de la sécurité prévues à l'article 21 de la directive NIS2.

Ce que ça change pour vous : vérifiez que vos collaborateurs exposés (dirigeants, juridique, R&D) disposent d'une procédure documentée d'enrôlement Signal (vérification de l'empreinte de sécurité, durcissement MFA, sensibilisation au phishing ciblé) et inscrivez explicitement les messageries à chiffrement de bout en bout dans votre cartographie d'authentification au titre de l'article 21 NIS2. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

26 avril 2026 — FIRESTARTER : alerte CISA/NCSC sur un backdoor persistant des pare-feux Cisco

Le 23 avril 2026, la Cybersecurity and Infrastructure Security Agency (CISA) americaine et le National Cyber Security Centre britannique (NCSC-UK) ont publie un rapport conjoint d'analyse de malware (AR26-113A) sur FIRESTARTER, une porte derobee Linux ELF deployee sur des appareils Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) et Secure Firewall, par exploitation des vulnerabilites CVE-2025-20333 et CVE-2025-20362. La particularite de FIRESTARTER tient a son mecanisme de persistance : le malware se relance automatiquement lorsqu'il detecte un signal de terminaison et reside en memoire, ce qui lui permet de survivre aux mises a jour de firmware, aux redemarrages logiciels et a l'application des correctifs. Seul un redemarrage physique par debranchement complet de l'appareil supprime le module residuel. Cisco recommande un reimagement complet des appareils concernes, et la CISA a actualise le 24 avril sa directive d'urgence ED 25-03 imposant aux agences federales americaines la verification immediate de leur parc Cisco. Au moins une agence federale a deja ete compromise via cette chaine d'attaque, l'acces ayant persiste jusqu'en mars 2026. Pour les responsables de traitement et entites essentielles ou importantes au sens de la directive NIS2, cette alerte rejoint l'article 21 NIS2 (mesures de gestion des risques) et l'article 32 du RGPD : les appareils perimetriques compromis peuvent permettre l'acces a des donnees personnelles transitant par les reseaux internes, ce qui qualifie potentiellement l'incident comme une violation au sens de l'article 33 du RGPD.

Ce que ca change pour vous : verifiez sans delai votre parc Cisco ASA / Firepower / Secure Firewall, programmez un reimagement des appareils potentiellement compromis et documentez l'incident dans votre registre de violations en cas d'exposition de donnees personnelles. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires — Sécurité des données personnelles : les obligations de l'article 32 du RGPD

24 avril 2026 — ANSSI : Panorama cybermenace 2025, IA offensive et sous-traitance ciblees

L'Agence nationale de la securite des systemes d'information (ANSSI) a publie son Panorama de la cybermenace 2025, relaye le 24 avril 2026 par le cabinet Lexing. L'Agence indique avoir traite 3 586 evenements de securite sur l'annee, en baisse de 18 % par rapport a 2024, dont 2 209 signalements et 1 366 incidents. Le nombre de compromissions par rancongiciel portees a sa connaissance s'etablit a 128. L'ANSSI observe une diversification des strategies d'extorsion, avec recours accru a l'exfiltration de donnees sans chiffrement systematique, ce qui place mecaniquement une part plus large de ces incidents dans le champ des violations de donnees personnelles au sens de l'article 33 du RGPD. Les etablissements de sante restent tres cibles (8 % des attaques rancongiciel), et le secteur education-recherche concentre 34 % des incidents traites. L'Agence pointe aussi la montee en puissance de l'ingenierie sociale (SIM swapping, bombardement de demandes MFA, technique Clickfix), l'usage croissant de l'IA generative a des fins offensives, ainsi que la persistance du ciblage des sous-traitants comme vecteur d'acces. Le rapport rappelle que le Cyber Resilience Act imposera des le 11 septembre 2026 aux fabricants de produits numeriques commercialises dans l'UE de signaler toute vulnerabilite activement exploitee, et que de nouvelles obligations s'ajouteront au 11 decembre 2027. Ces signalements recoupent les obligations de gestion des vulnerabilites de l'article 21 de la directive NIS2 et les exigences de securite de l'article 32 du RGPD.

Ce que ca change pour vous : rejouez votre cartographie rancongiciel + sous-traitants a la lumiere du Panorama, verifiez vos procedures de signalement NIS2/CRA et mettez a jour votre procedure de notification des violations RGPD. Actualité cybersécurité 2026 : NIS2, CRA, ANSSI — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement

23 avril 2026 — ENISA publie NCAF 2.0 pour evaluer la maturite cyber des Etats membres

L'Agence de l'Union europeenne pour la cybersecurite (ENISA) a publie une mise a jour de son National Cybersecurity Assessment Framework (NCAF 2.0), relayee le 22-23 avril 2026 par Industrial Cyber et CIO.com. Le referentiel vise a aider les Etats membres et les autorites competentes a mesurer et a combler les ecarts de maturite cyber. Il s'inscrit dans le prolongement de la directive NIS2, dont l'article 7 impose aux Etats membres d'adopter une strategie nationale de cybersecurite, et dont l'article 21 definit les mesures techniques et organisationnelles attendues des entites essentielles et importantes. Meme si NCAF 2.0 vise en premier lieu les autorites nationales, les criteres retenus (gouvernance, gestion des risques, chaine d'approvisionnement, gestion de crise, cooperation transfrontaliere) reprennent la meme grille de lecture que celle qui s'appliquera aux controles NIS2 nationaux, dont l'ANSSI prepare le regime en France. Le cadre recoupe egalement les attentes de l'article 32 du RGPD en matiere de mesures de securite proportionnees au risque.

Ce que ca change pour vous : les entites essentielles et importantes peuvent utiliser la grille NCAF 2.0 comme liste de controle interne pour anticiper les futurs audits NIS2 et documenter leur niveau de maturite face aux autorites. Conformite NIS2 : checklist des 10 mesures de securite obligatoires — Directive NIS2 : guide complet des nouvelles obligations de cybersecurite — NIS2 : entites essentielles vs entites importantes

20 avril 2026 — Vercel : intrusion via un outil IA tiers (Context.ai) et OAuth Google Workspace

Vercel, éditeur du framework Next.js, a annoncé le 19 avril 2026 avoir été victime d'un incident de sécurité trouvant son origine dans la compromission d'un outil d'IA tiers, Context.ai, utilisé par un de ses employés. Selon Vercel, l'attaquant a exploité cet accès pour prendre le contrôle du compte Google Workspace de l'employé, puis accéder à certains environnements et variables d'environnement Vercel qui n'étaient pas marquées comme sensibles. Context confirme avoir subi une intrusion en mars, ayant permis de compromettre des jetons OAuth de ses clients ; l'application Google Workspace de Context avait reçu des autorisations « Tout autoriser » via OAuth. Un nombre limité de clients Vercel dont les identifiants étaient compromis a été contacté et invité à renouveler immédiatement ses identifiants et variables d'environnement. L'incident illustre les risques introduits par l'intégration non gouvernée d'outils d'IA générative dans les chaînes CI/CD et la nécessité de restreindre les scopes OAuth accordés aux applications tierces. Cette problématique rejoint directement l'article 21 de la directive NIS2 sur la sécurité de la chaîne d'approvisionnement et l'article 32 du RGPD sur la sécurité du traitement.

Ce que ça change pour vous — inventoriez les applications OAuth connectées à vos tenants Microsoft 365 / Google Workspace, restreignez les scopes accordés aux outils d'IA tiers, classifiez comme sensibles toutes les variables d'environnement de production, et documentez ces contrôles dans votre analyse NIS2 de la chaîne d'approvisionnement. Fuite de données : procédure de gestion et notification RGPD — Notification de cyberattaque : qui prévenir, quand et comment — Notification violation données CNIL : procédure 72h

19 avril 2026 — Piratage Europa.eu : leçons IAM, moindre privilège et MFA défaillants

Une analyse technique publiée le 19 avril 2026 revient sur la compromission d'Europa.eu officialisée le 27 mars par la Commission européenne et documentée par le CERT-EU le 2 avril. Les experts identifient un double défaut de contrôle d'accès : l'identité utilisée par les attaquants pouvait récupérer des secrets sur tout ARN du compte AWS, et le principal SSO comportait un wildcard. Combiné à l'absence de MFA au niveau du fournisseur d'identité, ce niveau de privilèges a permis d'énumérer les ressources (s3:ListBucket, iam:ListRoles), d'extraire des clés DKIM stockées en clair dans AWS Secrets Manager et d'exfiltrer 340 Go de données (courriels, annuaire SSO, dumps AWS). Le vecteur initial exploitait une mauvaise configuration d'environnement GitHub Actions du scanner Trivy. Cette exigence technique rejoint directement l'article 32 du RGPD et l'article 21 de NIS2 sur les mesures de sécurité adaptées aux risques.

Ce que ça change pour vous : auditez immédiatement vos politiques IAM (wildcards, secrets accessibles à tous les ARN), imposez la MFA côté IdP et chiffrez les secrets sensibles comme les clés DKIM plutôt que de les stocker en clair. RGPD et sécurité : les mesures techniques et organisationnelles exigées — Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires

13 avril 2026 — NIS2 : J-4 pour les listes d'entités essentielles et importantes

L'article 3(3) de la directive NIS2 fixe au 17 avril 2026 la date limite pour chaque État membre d'établir la liste de ses entités essentielles et importantes. En France, la transposition n'est toujours pas achevée — la loi Résilience est attendue pour juillet 2026. L'ANSSI a néanmoins publié le référentiel ReCyF le 17 mars 2026, qui détaille les mesures de sécurité recommandées pour anticiper la mise en conformité. Les organisations qui s'enregistrent dès maintenant sur MonEspaceNIS2 et appliquent le ReCyF pourront faire valoir ces démarches lors des futurs contrôles ANSSI.

Ce que ça change pour vous — Enregistrez-vous sur MonEspaceNIS2 (monespacenis2.cyber.gouv.fr) et commencez l'auto-évaluation de votre conformité au référentiel ReCyF avant la promulgation de la loi Résilience. NIS2 : entités essentielles vs entités importantes — Directive NIS2 : guide complet

12 avril 2026 — Juniper Networks : faille CVSS 9.8, prise de contrôle totale

Le CERT-FR a publié l'avis CERTFR-2026-AVI-0416 concernant plusieurs vulnérabilités critiques dans les produits Juniper Networks. La plus grave, CVE-2026-33784 (CVSS 9.8), affecte les appliances Support Insights Virtual Lightweight Collector (vLWC) et permet à un attaquant non authentifié d'obtenir un accès administrateur complet via des identifiants par défaut. Une seconde faille, CVE-2026-21902, touche les routeurs PTX Series sous Junos OS Evolved et permet une élévation de privilèges jusqu'à root. D'autres vulnérabilités affectent les pare-feux SRX (crash du processus srxpfe via ICMPv6 malformé) et les FPC des PTX Series. Juniper a publié des correctifs pour l'ensemble de ces failles. Les entités soumises à NIS2 doivent prioriser le déploiement de ces patchs sur leurs équipements réseau critiques.

Ce que ça change pour vous : vérifiez immédiatement si vos équipements Juniper utilisent des identifiants par défaut et appliquez les correctifs CERTFR-2026-AVI-0416 en priorité. Directive NIS2 : guide complet des nouvelles obligations — Conformité NIS2 : checklist des 10 mesures obligatoires — Gestion des vulnérabilités : processus conforme au CRA

7 avril 2026 — Conseil de l'UE : sanctions cyber contre des entités iraniennes et chinoises

Le 16 mars 2026, le Conseil de l'Union européenne a adopté de nouvelles sanctions dans le cadre du régime européen de lutte contre les cyberattaques. Trois entités — Emennet Pasargad (Iran), Integrity Technology Group et Anxun Information Technology (Chine) — ainsi que deux individus sont désormais visés par un gel d'avoirs et une interdiction d'entrée sur le territoire de l'UE.

Emennet Pasargad est impliquée dans des attaques visant Charlie Hebdo en 2023 et des opérations de désinformation lors des JO de Paris 2024. Integrity Technology aurait contribué au piratage de plus de 65 000 appareils dans six États membres entre 2022 et 2023. Anxun a fourni des services de piratage ciblant les infrastructures critiques d’États membres.

Ces sanctions portent le total à 7 entités et 19 individus sous le régime cyber européen. Cette obligation de vigilance sur la chaîne d’approvisionnement IT rejoint les exigences de l’article 21 de la directive NIS 2.

Ce que ça change pour vous : vérifiez que vos fournisseurs IT ne figurent pas sur la liste des entités sanctionnées par l'UE. Actualité cybersécurité 2026 — Actualité NIS2 2026 — CRA et NIS2 : articulation des deux règlements

5 avril 2026 — NIS2 Allemagne : date limite d'enregistrement auprès du BSI en avril

L'Allemagne, qui a transposé la directive NIS2 le 6 décembre 2025, impose aux entités essentielles et importantes de s'enregistrer auprès du BSI (Bundesamt für Sicherheit in der Informationstechnik) dans un délai de trois mois, soit d'ici avril 2026. Ce calendrier contraste avec le retard français, où la transposition législative est repoussée à juillet 2026. L'Allemagne rejoint ainsi la Belgique, la Croatie et la Hongrie parmi les États membres ayant finalisé leur transposition, alors que 15 pays font l'objet de procédures d'infraction pour retard. Pour les entreprises françaises opérant en Allemagne, cette date limite est immédiate et requiert une action concrète.

Ce que ça change pour vous : si votre entreprise opère en Allemagne, vérifiez votre statut NIS2 et procédez à l'enregistrement auprès du BSI sans délai. Actualité NIS2 2026 : directive cybersécurité européenne — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

17 mars 2026 — ANSSI lance le ReCyF : référentiel de conformité NIS 2 en version travail

L'ANSSI a publié le 17 mars 2026 la version document de travail du Référentiel Cyber France (ReCyF), outil d'accompagnement à la mise en conformité avec la directive NIS 2. Le ReCyF liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 et intègre un principe de proportionnalité adapté à la maturité de chaque entité. Son application reste volontaire, mais les entités s'y conformant pourront s'en prévaloir lors des contrôles ANSSI. Un outil de comparaison avec d'autres référentiels (ISO 27001, SecNumCloud, NIST…) est mis à disposition. La transposition du décret NIS 2 définissant les mesures techniques serait repoussée à juillet 2026. Opérationnellement, le ReCyF impose de documenter les mesures de gestion du risque cyber par rapport aux objectifs de sécurité définis — démarche qui rejoint l'Art. 32 du RGPD pour les traitements de données personnelles inclus dans le périmètre des entités concernées.

Téléchargez le ReCyF sur cyber.gouv.fr, comparez-le à vos référentiels et lancez votre auto-évaluation NIS 2. Actualité NIS2 2026 — Actualité cybersécurité 2026

3 avril 2026 — Fortinet FortiClient et F5 BIG-IP : failles critiques exploitées, patch urgent

Deux vulnérabilités critiques font l'objet d'exploitation active. Une faille dans Fortinet FortiClient EMS permet à des attaquants d'accéder aux réseaux d'entreprise sans autorisation. Parallèlement, F5 a reclassifié une vulnérabilité BIG-IP APM en exécution de code à distance (RCE) critique — des webshells sont déjà déployés sur des appareils non corrigés selon les chercheurs. Ces produits sont largement présents dans les infrastructures des entités essentielles et importantes au sens de NIS 2. L'Art. 21 de la directive NIS 2 impose des mesures techniques proportionnées incluant la gestion des correctifs de sécurité. L'obligation de patch rapide s'applique dès lors qu'une vulnérabilité activement exploitée est connue. Voir notre guide de gestion des vulnérabilités et la checklist NIS 2.

Ce que ça change pour vous : les entités NIS 2 utilisant Fortinet FortiClient EMS ou F5 BIG-IP doivent appliquer les correctifs de sécurité immédiatement et analyser leurs journaux d'accès pour détecter une éventuelle compromission. Gestion des vulnérabilités : processus conforme NIS 2 / CRA — Conformité NIS 2 : checklist des 10 mesures obligatoires

18 mars 2026 — EDPB-EDPS : avis conjoint sur le Cybersecurity Act 2 et la révision NIS 2

Le 18 mars 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté l'avis conjoint 4/2026 sur la proposition de règlement Cybersecurity Act 2 (CSA2) et la proposition d'amendements à la directive NIS 2. Les deux autorités soutiennent le renforcement du rôle de l'ENISA et l'introduction d'un point d'entrée unique pour les notifications d'incidents de sécurité, mesure visant à harmoniser les obligations de déclaration fragmentées entre NIS 2, DORA et le RGPD. L'avis demande expressément une plus grande harmonisation entre les régimes de notification d'incidents, soulignant que l'Art. 33 RGPD (notification à l'autorité de contrôle sous 72 h) et l'Art. 23 NIS 2 (notification précoce sous 24 h) imposent des délais distincts pour un même incident. L'avis salue également la désignation des fournisseurs de portefeuilles numériques européens (eIDAS 2) comme entités essentielles au titre de NIS 2. Sur le plan opérationnel, la création d'un guichet unique d'incident réduirait la charge administrative des organisations soumises à plusieurs régimes simultanément (NIS 2 + RGPD + DORA).

Ce que ça change pour vous : anticipez la convergence des obligations de notification d'incidents NIS 2, RGPD et DORA en documentant dès maintenant un processus unifié de gestion des incidents. Directive NIS2 : guide complet — Actualité NIS2 2026

31 mars 2026 — UE : boîte à outils pour la sécurité des chaînes d'approvisionnement TIC

Le groupe de coopération NIS, composé des représentants des États membres, de la Commission européenne et de l'ENISA, a adopté le 13 février 2026 une boîte à outils européenne (EU ICT Supply Chain Security Toolbox) pour la sécurité des chaînes d'approvisionnement TIC. Ce cadre fournit une approche commune pour identifier, évaluer et atténuer les risques de cybersécurité liés aux chaînes d'approvisionnement, en recommandant notamment le recours à des stratégies multi-fournisseurs et la réduction des dépendances vis-à-vis des fournisseurs à haut risque. La boîte à outils est accompagnée de deux évaluations de risques sectorielles : véhicules connectés et autonomes, et équipements de détection. Cette obligation rejoint les exigences de l'article 21 de la directive NIS2 en matière de gestion des risques de la chaîne d'approvisionnement.

Intégrez cette boîte à outils dans votre processus de gestion des risques fournisseurs, en particulier si vous êtes entité essentielle ou importante au sens de NIS2. Sous-traitance sécurité : exigences NIS2 et RGPD

30 mars 2026 — Cybermalveillance 2025 : 504 000 demandes, cyberharcèlement ×3 chez les pros

Cybermalveillance.gouv.fr publie son rapport d'activité 2025 : la plateforme nationale d'assistance a enregistré plus de 504 000 demandes, émanant de particuliers, d'entreprises et de collectivités. Fait marquant : les demandes pour cyberharcèlement triplent chez les publics professionnels, signe d'une évolution des menaces vers des vecteurs socio-numériques. Les ransomwares demeurent la principale menace pesant sur les entreprises et les collectivités, bien que le rapport invite à relativiser les chiffres bruts du fait de recoupements entre catégories d'incidents. La fraude au conseiller bancaire et le piratage de messagerie restent des vecteurs d'attaque majeurs. Ce rapport est un baromètre clé pour apprécier le contexte de menace que NIS 2 cherche à adresser (Art. 21 NIS2 : mesures de gestion des risques cyber), et donne des arguments concrets pour justifier l'investissement en sécurité auprès des directions générales. Ces chiffres viennent compléter le Panorama de la cybermenace 2025 de l'ANSSI publié en mars dernier.

Utilisez les données du rapport Cybermalveillance 2025 pour documenter votre analyse de risque NIS 2 et sensibiliser vos équipes aux menaces réelles en France. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité cybersécurité 2026

19 mars 2026 — NIS2 : l'ANSSI déploie ReCyF et impose le tempo de la conformité

L'ANSSI a déployé sa plateforme ReCyF (Référentiel de Cybersécurité Française) qui structure et cadence la mise en conformité NIS2 pour les entités essentielles et importantes. Selon Solutions-Numeriques (19 mars 2026), ReCyF impose un calendrier de conformité avec des jalons et des niveaux de maturité attendus. Les obligations NIS2 couvrent la gouvernance de la cybersécurité, la gestion des risques, la notification des incidents (Art. 21 et 23 NIS2), et la sécurité de la chaîne d'approvisionnement. L'intersection avec le RGPD est explicite : une violation de sécurité notifiable au titre de NIS2 peut simultanément constituer une violation de données à notifier à la CNIL sous 72 heures (Art. 33 RGPD). Cette obligation NIS2 rejoint ainsi l'article 32 du RGPD sur la sécurité des systèmes d'information. Les entités des secteurs hautement critiques doivent prioriser leur enrôlement sur ReCyF.

Vérifier votre éligibilité et vous enrôler sur la plateforme ReCyF de l'ANSSI pour structurer votre calendrier de conformité NIS2. Actualité NIS2 2026

5 mars 2026 — Transposition NIS 2 en France : report probable à juillet 2026

Selon la Banque des Territoires, la transposition de la directive NIS 2 en droit français sera probablement repoussée à juillet 2026. La France accusait déjà un retard par rapport à l'échéance initiale du 17 octobre 2024. Plusieurs facteurs expliquent ce délai supplémentaire : la complexité du texte, le débat sur les backdoors (portes dérobées) qui bloque les discussions parlementaires selon ZDNet, et la nécessité d'articuler la loi avec le cadre existant. L'ANSSI a toutefois publié son référentiel ReCyF pour permettre aux organisations de ne pas attendre la loi pour agir. Les entités essentielles et importantes au sens de NIS 2 ont intérêt à se préparer dès maintenant en s'appuyant sur ce référentiel.

N'attendez pas la transposition : commencez votre mise en conformité NIS 2 avec le référentiel ReCyF de l'ANSSI. Directive NIS2 : guide complet des nouvelles obligations

19 mars 2026 — L'ANSSI publie le référentiel ReCyF pour anticiper NIS 2

L'ANSSI a publié son référentiel ReCyF (Référentiel Cyber Fondamental), un cadre de bonnes pratiques destiné aux organisations qui seront soumises à la directive NIS 2. Ce référentiel permet aux entreprises de commencer leur mise en conformité sans attendre la transposition définitive de la directive en droit français. Le ReCyF définit des mesures de cybersécurité fondamentales couvrant la gouvernance, la protection, la détection et la réponse aux incidents. L'ANSSI a publié ce référentiel alors que la CSNP (Commission supérieure du numérique et des postes) s'impatiente publiquement du retard pris par la transposition française. Ce document constitue la première pierre opérationnelle de l'écosystème NIS 2 français et permet aux organisations d'évaluer leur niveau de maturité cyber.

Utilisez le référentiel ReCyF de l'ANSSI pour initier votre mise en conformité NIS 2 dès maintenant. Directive NIS2 : guide complet des nouvelles obligations

18 mars 2026 — NIS2 : l’ANSSI renforce sa dynamique d’accompagnement des entités régulées

L’ANSSI annonce le renforcement de son dispositif d’accompagnement pour la mise en conformité NIS2. De nouveaux guides sectoriels, un portail d’auto-évaluation et des permanences régionales sont déployés. L’agence rappelle que les entités essentielles et importantes doivent s’enregistrer et commencer leur mise en conformité. Le lien avec le RGPD est souligné : les mesures de sécurité NIS2 (art. 21) contribuent directement à la conformité de l’article 32 du RGPD.

Ce que ça change pour vous : vérifiez si votre organisation est concernée par NIS2 et consultez les nouveaux guides de l’ANSSI pour structurer votre démarche. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — RGPD et securite : les mesures techniques et organisationnelles exigees par la CNIL

11 mars 2026 — Panorama de la cybermenace 2025 : l’ANSSI confirme l’intensification des attaques

L’ANSSI publie son Panorama de la cybermenace 2025, qui confirme l’intensification des attaques par rançongiciel et l’émergence de menaces liées à l’IA générative. Les secteurs les plus ciblés restent la santé, les collectivités territoriales et les PME. Le rapport souligne que NIS2 arrive à point nommé pour structurer la réponse des entités essentielles et importantes. L’impact RGPD est direct : chaque cyberattaque réussie peut constituer une violation de données à notifier (art. 33-34 RGPD).

Ce que ça change pour vous : intégrez les indicateurs de menace du panorama ANSSI dans votre analyse de risques et vérifiez votre procédure de notification de violation. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — Notification de cyberattaque : qui prevenir, quand et comment

8 janvier 2026 — L’ANSSI renforce le dispositif national de cybersécurité avec les CSIRT régionaux

L’ANSSI annonce le renforcement du dispositif national de cybersécurité, avec la montée en puissance des CSIRT régionaux. Ces centres de réponse aux incidents cyber couvrent désormais l’ensemble du territoire et offrent un accompagnement de proximité aux collectivités et PME. Le dispositif s’inscrit dans la transposition de NIS2 : les entités essentielles et importantes pourront s’appuyer sur ces structures pour la gestion de leurs incidents.

Ce que ça change pour vous : les PME et collectivités disposent désormais d’un point de contact cyber de proximité. Vérifiez quel CSIRT couvre votre région. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — Gestion des incidents de securite : plan de reponse et procedure