Actualité NIS2 2026 : directive cybersécurité européenne

13 avril 2026 — NIS2 : J-4 pour les listes d'entités essentielles et importantes

L'article 3(3) de la directive NIS2 fixe au 17 avril 2026 la date limite pour chaque État membre d'établir la liste de ses entités essentielles et importantes. En France, la transposition n'est toujours pas achevée — la loi Résilience est attendue pour juillet 2026. L'ANSSI a néanmoins publié le référentiel ReCyF le 17 mars 2026, qui détaille les mesures de sécurité recommandées pour anticiper la mise en conformité. Les organisations qui s'enregistrent dès maintenant sur MonEspaceNIS2 et appliquent le ReCyF pourront faire valoir ces démarches lors des futurs contrôles ANSSI.

Ce que ça change pour vous — Enregistrez-vous sur MonEspaceNIS2 (monespacenis2.cyber.gouv.fr) et commencez l'auto-évaluation de votre conformité au référentiel ReCyF avant la promulgation de la loi Résilience. NIS2 : entités essentielles vs entités importantes — Directive NIS2 : guide complet

12 avril 2026 — Juniper Networks : faille CVSS 9.8, prise de contrôle totale

Le CERT-FR a publié l'avis CERTFR-2026-AVI-0416 concernant plusieurs vulnérabilités critiques dans les produits Juniper Networks. La plus grave, CVE-2026-33784 (CVSS 9.8), affecte les appliances Support Insights Virtual Lightweight Collector (vLWC) et permet à un attaquant non authentifié d'obtenir un accès administrateur complet via des identifiants par défaut. Une seconde faille, CVE-2026-21902, touche les routeurs PTX Series sous Junos OS Evolved et permet une élévation de privilèges jusqu'à root. D'autres vulnérabilités affectent les pare-feux SRX (crash du processus srxpfe via ICMPv6 malformé) et les FPC des PTX Series. Juniper a publié des correctifs pour l'ensemble de ces failles. Les entités soumises à NIS2 doivent prioriser le déploiement de ces patchs sur leurs équipements réseau critiques.

Ce que ça change pour vous : vérifiez immédiatement si vos équipements Juniper utilisent des identifiants par défaut et appliquez les correctifs CERTFR-2026-AVI-0416 en priorité. Directive NIS2 : guide complet des nouvelles obligations — Conformité NIS2 : checklist des 10 mesures obligatoires — Gestion des vulnérabilités : processus conforme au CRA

7 avril 2026 — Conseil de l'UE : sanctions cyber contre des entités iraniennes et chinoises

Le 16 mars 2026, le Conseil de l'Union européenne a adopté de nouvelles sanctions dans le cadre du régime européen de lutte contre les cyberattaques. Trois entités — Emennet Pasargad (Iran), Integrity Technology Group et Anxun Information Technology (Chine) — ainsi que deux individus sont désormais visés par un gel d'avoirs et une interdiction d'entrée sur le territoire de l'UE.

Emennet Pasargad est impliquée dans des attaques visant Charlie Hebdo en 2023 et des opérations de désinformation lors des JO de Paris 2024. Integrity Technology aurait contribué au piratage de plus de 65 000 appareils dans six États membres entre 2022 et 2023. Anxun a fourni des services de piratage ciblant les infrastructures critiques d’États membres.

Ces sanctions portent le total à 7 entités et 19 individus sous le régime cyber européen. Cette obligation de vigilance sur la chaîne d’approvisionnement IT rejoint les exigences de l’article 21 de la directive NIS 2.

Ce que ça change pour vous : vérifiez que vos fournisseurs IT ne figurent pas sur la liste des entités sanctionnées par l'UE. Actualité cybersécurité 2026 — Actualité NIS2 2026 — CRA et NIS2 : articulation des deux règlements

5 avril 2026 — NIS2 Allemagne : date limite d'enregistrement auprès du BSI en avril

L'Allemagne, qui a transposé la directive NIS2 le 6 décembre 2025, impose aux entités essentielles et importantes de s'enregistrer auprès du BSI (Bundesamt für Sicherheit in der Informationstechnik) dans un délai de trois mois, soit d'ici avril 2026. Ce calendrier contraste avec le retard français, où la transposition législative est repoussée à juillet 2026. L'Allemagne rejoint ainsi la Belgique, la Croatie et la Hongrie parmi les États membres ayant finalisé leur transposition, alors que 15 pays font l'objet de procédures d'infraction pour retard. Pour les entreprises françaises opérant en Allemagne, cette date limite est immédiate et requiert une action concrète.

Ce que ça change pour vous : si votre entreprise opère en Allemagne, vérifiez votre statut NIS2 et procédez à l'enregistrement auprès du BSI sans délai. Actualité NIS2 2026 : directive cybersécurité européenne — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

17 mars 2026 — ANSSI lance le ReCyF : référentiel de conformité NIS 2 en version travail

L'ANSSI a publié le 17 mars 2026 la version document de travail du Référentiel Cyber France (ReCyF), outil d'accompagnement à la mise en conformité avec la directive NIS 2. Le ReCyF liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 et intègre un principe de proportionnalité adapté à la maturité de chaque entité. Son application reste volontaire, mais les entités s'y conformant pourront s'en prévaloir lors des contrôles ANSSI. Un outil de comparaison avec d'autres référentiels (ISO 27001, SecNumCloud, NIST…) est mis à disposition. La transposition du décret NIS 2 définissant les mesures techniques serait repoussée à juillet 2026. Opérationnellement, le ReCyF impose de documenter les mesures de gestion du risque cyber par rapport aux objectifs de sécurité définis — démarche qui rejoint l'Art. 32 du RGPD pour les traitements de données personnelles inclus dans le périmètre des entités concernées.

Téléchargez le ReCyF sur cyber.gouv.fr, comparez-le à vos référentiels et lancez votre auto-évaluation NIS 2. Actualité NIS2 2026 — Actualité cybersécurité 2026

3 avril 2026 — Fortinet FortiClient et F5 BIG-IP : failles critiques exploitées, patch urgent

Deux vulnérabilités critiques font l'objet d'exploitation active. Une faille dans Fortinet FortiClient EMS permet à des attaquants d'accéder aux réseaux d'entreprise sans autorisation. Parallèlement, F5 a reclassifié une vulnérabilité BIG-IP APM en exécution de code à distance (RCE) critique — des webshells sont déjà déployés sur des appareils non corrigés selon les chercheurs. Ces produits sont largement présents dans les infrastructures des entités essentielles et importantes au sens de NIS 2. L'Art. 21 de la directive NIS 2 impose des mesures techniques proportionnées incluant la gestion des correctifs de sécurité. L'obligation de patch rapide s'applique dès lors qu'une vulnérabilité activement exploitée est connue. Voir notre guide de gestion des vulnérabilités et la checklist NIS 2.

Ce que ça change pour vous : les entités NIS 2 utilisant Fortinet FortiClient EMS ou F5 BIG-IP doivent appliquer les correctifs de sécurité immédiatement et analyser leurs journaux d'accès pour détecter une éventuelle compromission. Gestion des vulnérabilités : processus conforme NIS 2 / CRA — Conformité NIS 2 : checklist des 10 mesures obligatoires

18 mars 2026 — EDPB-EDPS : avis conjoint sur le Cybersecurity Act 2 et la révision NIS 2

Le 18 mars 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté l'avis conjoint 4/2026 sur la proposition de règlement Cybersecurity Act 2 (CSA2) et la proposition d'amendements à la directive NIS 2. Les deux autorités soutiennent le renforcement du rôle de l'ENISA et l'introduction d'un point d'entrée unique pour les notifications d'incidents de sécurité, mesure visant à harmoniser les obligations de déclaration fragmentées entre NIS 2, DORA et le RGPD. L'avis demande expressément une plus grande harmonisation entre les régimes de notification d'incidents, soulignant que l'Art. 33 RGPD (notification à l'autorité de contrôle sous 72 h) et l'Art. 23 NIS 2 (notification précoce sous 24 h) imposent des délais distincts pour un même incident. L'avis salue également la désignation des fournisseurs de portefeuilles numériques européens (eIDAS 2) comme entités essentielles au titre de NIS 2. Sur le plan opérationnel, la création d'un guichet unique d'incident réduirait la charge administrative des organisations soumises à plusieurs régimes simultanément (NIS 2 + RGPD + DORA).

Ce que ça change pour vous : anticipez la convergence des obligations de notification d'incidents NIS 2, RGPD et DORA en documentant dès maintenant un processus unifié de gestion des incidents. Directive NIS2 : guide complet — Actualité NIS2 2026

31 mars 2026 — UE : boîte à outils pour la sécurité des chaînes d'approvisionnement TIC

Le groupe de coopération NIS, composé des représentants des États membres, de la Commission européenne et de l'ENISA, a adopté le 13 février 2026 une boîte à outils européenne (EU ICT Supply Chain Security Toolbox) pour la sécurité des chaînes d'approvisionnement TIC. Ce cadre fournit une approche commune pour identifier, évaluer et atténuer les risques de cybersécurité liés aux chaînes d'approvisionnement, en recommandant notamment le recours à des stratégies multi-fournisseurs et la réduction des dépendances vis-à-vis des fournisseurs à haut risque. La boîte à outils est accompagnée de deux évaluations de risques sectorielles : véhicules connectés et autonomes, et équipements de détection. Cette obligation rejoint les exigences de l'article 21 de la directive NIS2 en matière de gestion des risques de la chaîne d'approvisionnement.

Intégrez cette boîte à outils dans votre processus de gestion des risques fournisseurs, en particulier si vous êtes entité essentielle ou importante au sens de NIS2. Sous-traitance sécurité : exigences NIS2 et RGPD

30 mars 2026 — Cybermalveillance 2025 : 504 000 demandes, cyberharcèlement ×3 chez les pros

Cybermalveillance.gouv.fr publie son rapport d'activité 2025 : la plateforme nationale d'assistance a enregistré plus de 504 000 demandes, émanant de particuliers, d'entreprises et de collectivités. Fait marquant : les demandes pour cyberharcèlement triplent chez les publics professionnels, signe d'une évolution des menaces vers des vecteurs socio-numériques. Les ransomwares demeurent la principale menace pesant sur les entreprises et les collectivités, bien que le rapport invite à relativiser les chiffres bruts du fait de recoupements entre catégories d'incidents. La fraude au conseiller bancaire et le piratage de messagerie restent des vecteurs d'attaque majeurs. Ce rapport est un baromètre clé pour apprécier le contexte de menace que NIS 2 cherche à adresser (Art. 21 NIS2 : mesures de gestion des risques cyber), et donne des arguments concrets pour justifier l'investissement en sécurité auprès des directions générales. Ces chiffres viennent compléter le Panorama de la cybermenace 2025 de l'ANSSI publié en mars dernier.

Utilisez les données du rapport Cybermalveillance 2025 pour documenter votre analyse de risque NIS 2 et sensibiliser vos équipes aux menaces réelles en France. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité cybersécurité 2026

19 mars 2026 — NIS2 : l'ANSSI déploie ReCyF et impose le tempo de la conformité

L'ANSSI a déployé sa plateforme ReCyF (Référentiel de Cybersécurité Française) qui structure et cadence la mise en conformité NIS2 pour les entités essentielles et importantes. Selon Solutions-Numeriques (19 mars 2026), ReCyF impose un calendrier de conformité avec des jalons et des niveaux de maturité attendus. Les obligations NIS2 couvrent la gouvernance de la cybersécurité, la gestion des risques, la notification des incidents (Art. 21 et 23 NIS2), et la sécurité de la chaîne d'approvisionnement. L'intersection avec le RGPD est explicite : une violation de sécurité notifiable au titre de NIS2 peut simultanément constituer une violation de données à notifier à la CNIL sous 72 heures (Art. 33 RGPD). Cette obligation NIS2 rejoint ainsi l'article 32 du RGPD sur la sécurité des systèmes d'information. Les entités des secteurs hautement critiques doivent prioriser leur enrôlement sur ReCyF.

Vérifier votre éligibilité et vous enrôler sur la plateforme ReCyF de l'ANSSI pour structurer votre calendrier de conformité NIS2. Actualité NIS2 2026

5 mars 2026 — Transposition NIS 2 en France : report probable à juillet 2026

Selon la Banque des Territoires, la transposition de la directive NIS 2 en droit français sera probablement repoussée à juillet 2026. La France accusait déjà un retard par rapport à l'échéance initiale du 17 octobre 2024. Plusieurs facteurs expliquent ce délai supplémentaire : la complexité du texte, le débat sur les backdoors (portes dérobées) qui bloque les discussions parlementaires selon ZDNet, et la nécessité d'articuler la loi avec le cadre existant. L'ANSSI a toutefois publié son référentiel ReCyF pour permettre aux organisations de ne pas attendre la loi pour agir. Les entités essentielles et importantes au sens de NIS 2 ont intérêt à se préparer dès maintenant en s'appuyant sur ce référentiel.

N'attendez pas la transposition : commencez votre mise en conformité NIS 2 avec le référentiel ReCyF de l'ANSSI. Directive NIS2 : guide complet des nouvelles obligations

19 mars 2026 — L'ANSSI publie le référentiel ReCyF pour anticiper NIS 2

L'ANSSI a publié son référentiel ReCyF (Référentiel Cyber Fondamental), un cadre de bonnes pratiques destiné aux organisations qui seront soumises à la directive NIS 2. Ce référentiel permet aux entreprises de commencer leur mise en conformité sans attendre la transposition définitive de la directive en droit français. Le ReCyF définit des mesures de cybersécurité fondamentales couvrant la gouvernance, la protection, la détection et la réponse aux incidents. L'ANSSI a publié ce référentiel alors que la CSNP (Commission supérieure du numérique et des postes) s'impatiente publiquement du retard pris par la transposition française. Ce document constitue la première pierre opérationnelle de l'écosystème NIS 2 français et permet aux organisations d'évaluer leur niveau de maturité cyber.

Utilisez le référentiel ReCyF de l'ANSSI pour initier votre mise en conformité NIS 2 dès maintenant. Directive NIS2 : guide complet des nouvelles obligations

18 mars 2026 — NIS2 : l’ANSSI renforce sa dynamique d’accompagnement des entités régulées

L’ANSSI annonce le renforcement de son dispositif d’accompagnement pour la mise en conformité NIS2. De nouveaux guides sectoriels, un portail d’auto-évaluation et des permanences régionales sont déployés. L’agence rappelle que les entités essentielles et importantes doivent s’enregistrer et commencer leur mise en conformité. Le lien avec le RGPD est souligné : les mesures de sécurité NIS2 (art. 21) contribuent directement à la conformité de l’article 32 du RGPD.

Ce que ça change pour vous : vérifiez si votre organisation est concernée par NIS2 et consultez les nouveaux guides de l’ANSSI pour structurer votre démarche. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — RGPD et securite : les mesures techniques et organisationnelles exigees par la CNIL

11 mars 2026 — Panorama de la cybermenace 2025 : l’ANSSI confirme l’intensification des attaques

L’ANSSI publie son Panorama de la cybermenace 2025, qui confirme l’intensification des attaques par rançongiciel et l’émergence de menaces liées à l’IA générative. Les secteurs les plus ciblés restent la santé, les collectivités territoriales et les PME. Le rapport souligne que NIS2 arrive à point nommé pour structurer la réponse des entités essentielles et importantes. L’impact RGPD est direct : chaque cyberattaque réussie peut constituer une violation de données à notifier (art. 33-34 RGPD).

Ce que ça change pour vous : intégrez les indicateurs de menace du panorama ANSSI dans votre analyse de risques et vérifiez votre procédure de notification de violation. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — Notification de cyberattaque : qui prevenir, quand et comment

8 janvier 2026 — L’ANSSI renforce le dispositif national de cybersécurité avec les CSIRT régionaux

L’ANSSI annonce le renforcement du dispositif national de cybersécurité, avec la montée en puissance des CSIRT régionaux. Ces centres de réponse aux incidents cyber couvrent désormais l’ensemble du territoire et offrent un accompagnement de proximité aux collectivités et PME. Le dispositif s’inscrit dans la transposition de NIS2 : les entités essentielles et importantes pourront s’appuyer sur ces structures pour la gestion de leurs incidents.

Ce que ça change pour vous : les PME et collectivités disposent désormais d’un point de contact cyber de proximité. Vérifiez quel CSIRT couvre votre région. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — Gestion des incidents de securite : plan de reponse et procedure