NIS2 et cyberassurance : pourquoi votre éligibilité change en 2026

La directive européenne NIS2 (Network and Information Security 2) bouleverse le paysage de la cybersécurité en France. La loi de transposition, dite « loi de résilience », doit être adoptée définitivement au premier semestre 2026 après son passage au Sénat et la publication de ses décrets d'application. Conséquence directe : entre 15 000 et 18 000 entités françaises seront concernées, contre seulement 500 sous l'ancienne directive NIS1.

Qui est concerné par NIS2 ?

Toute entreprise opérant dans l'un des 18 secteurs critiques identifiés (énergie, transport, santé, banque, infrastructures numériques, eau et déchets, agroalimentaire, fabrication critique, services postaux, administration publique, recherche, fournisseurs numériques, etc.) et dépassant l'un des seuils suivants : plus de 50 salariés ou plus de 10 millions d'euros de CA annuel.

La directive distingue deux catégories d'assujettis :

• Entités essentielles : grandes entreprises de secteurs hautement critiques.
• Entités importantes : autres entités au-dessus des seuils.

Les obligations de fond sont identiques, seul le régime de contrôle et de sanction diffère.

Les quatre piliers d'obligation

1. Gouvernance cyber

Les dirigeants engagent désormais leur responsabilité personnelle sur la conformité cyber et doivent suivre une formation spécifique, opposable aux assureurs et aux autorités.

2. Mesures techniques et organisationnelles

Analyse de risques, politique de sécurité, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, chiffrement, contrôle d'accès.

3. Notification d'incident

L'entreprise doit notifier l'ANSSI dans un délai maximal de 24 heures suivant la détection (alerte précoce), avec rapport intermédiaire sous 72 heures et rapport final sous un mois.

4. Sécurité des fournisseurs

La sécurité des sous-traitants doit être contractualisée et auditée régulièrement.

Pourquoi votre éligibilité à la cyberassurance change

À partir de 2026, les assureurs intègrent la conformité NIS2 comme critère d'éligibilité à la souscription. Trois exigences nouvelles font leur apparition dans les questionnaires :

• Preuve d'une formation cyber suivie par les dirigeants.
• Audit annuel de la sécurité des fournisseurs critiques (ERP, CRM, paie, hébergeurs cloud, éditeurs SaaS).
• Plan de continuité d'activité testé.

L'absence de ces éléments peut entraîner un refus de couverture, une majoration significative de la prime ou une exclusion contractuelle des sinistres liés à un fournisseur non audité.

Sanctions prévues

Le montant le plus élevé est retenu. La responsabilité personnelle des dirigeants peut également être engagée, avec interdiction temporaire de fonction de direction en cas de manquement réitéré.

Plan d'action en 5 étapes

• Vérifier son statut (entité essentielle ou importante).
• Cartographier les risques cyber et identifier les écarts par rapport à NIS2.
• Programmer la formation cyber des dirigeants (opposable aux assureurs).
• Intégrer des clauses cybersécurité dans les contrats fournisseurs critiques.
• Formaliser un plan de notification respectant le délai de 24 heures.

Ineos Courtage accompagne les dirigeants de PME dans l'audit de leur exposition NIS2 et la sélection d'un contrat de cyberassurance adapté à leur niveau de maturité. Notre rôle de courtier indépendant nous permet de mettre en concurrence les assureurs spécialisés (AIG, Hiscox, Beazley, Chubb, Allianz, Axa) et de négocier les meilleures conditions de garantie au regard de la conformité réelle de votre entreprise.