Statistiques de conformite NIS2 en 2026 : 50+ chiffres sur le perimetre, les amendes et l'etat de preparation
La directive NIS2 constitue la refonte la plus importante de la reglementation en matiere de cybersecurite dans l'histoire de l'Union europeenne. Elle remplace la directive NIS originale de 2016, elargissant son perimetre de quelques centaines d'operateurs de services essentiels par Etat membre a environ 160 000 entites a travers l'UE.
Cette page reunit des statistiques verifiees sur le perimetre de NIS2, l'etat de transposition, le cadre de sanctions, l'etat de preparation a la conformite, les couts et le paysage plus large de la cybersecurite auquel elle vise a repondre. Chaque chiffre est issu d'agences officielles de l'UE, d'organismes de regulation et de rapports sectoriels verifies.
Perimetre et envergure de NIS2
NIS2 a considerablement elargi le nombre d'organisations soumises aux exigences de cybersecurite de l'UE. La directive NIS originale couvrait un nombre restreint d'operateurs de services essentiels. NIS2 s'applique a toute entreprise moyenne ou grande operant dans 18 secteurs designes.
| Statistique | Source |
|---|---|
| ~160 000 entites a travers l'UE entrent dans le perimetre de NIS2 | European Commission Impact Assessment |
| 18 secteurs couverts (11 essentiels + 7 importants) | Directive NIS2, Annexes I et II |
| S'applique aux entreprises de taille moyenne (50+ employes ou EUR 10M+ de chiffre d'affaires) et aux grandes entreprises (250+ employes ou EUR 50M+ de chiffre d'affaires) | European Commission NIS2 FAQ |
| Allemagne seule : ~29 500+ entreprises concernees | BSI estimate, via DLA Piper |
| Finlande : perimetre elargi de ~1 100 entites sous NIS1 a ~5 500 sous NIS2 (multiplication par 5) | Secomea NIS2 country tracker |
11 secteurs de haute criticite (Annexe I - Entites essentielles)
- Energie (electricite, petrole, gaz, hydrogene, chauffage urbain)
- Transports (aerien, ferroviaire, maritime, routier)
- Banques
- Infrastructures des marches financiers
- Sante (hopitaux, laboratoires, industrie pharmaceutique, dispositifs medicaux)
- Eau potable
- Eaux usees
- Infrastructures numeriques (IXPs, DNS, registres TLD, cloud, centres de donnees, CDN)
- Gestion des services TIC (B2B - fournisseurs de services geres, fournisseurs de services de securite geres)
- Administration publique (gouvernement central)
- Espace
7 autres secteurs critiques (Annexe II - Entites importantes)
- Services postaux et de messagerie
- Gestion des dechets
- Produits chimiques (fabrication, production, distribution)
- Alimentation (production, transformation, distribution)
- Fabrication (dispositifs medicaux, ordinateurs, electronique, machines, vehicules a moteur)
- Fournisseurs numeriques (places de marche en ligne, moteurs de recherche, reseaux sociaux)
- Organismes de recherche
Etat de transposition de NIS2
La date limite pour les Etats membres de l'UE pour transposer NIS2 en droit national etait le 17 octobre 2024. La majorite des Etats membres n'ont pas respecte cette echeance.
| Statistique | Source |
|---|---|
| 20 des 27 Etats membres de l'UE ont acheve la transposition au 1er janvier 2026 | Wavestone NIS2 Transposition Tracker |
| Le 7 mai 2025, la Commission europeenne a adresse des avis motives a 19 Etats membres pour defaut de notification de transposition complete | Skadden; Goodwin Law |
| Date limite de transposition : 17 octobre 2024 | Directive NIS2, Article 41 |
Pays ayant pleinement transpose NIS2
| Pays | Date de transposition |
|---|---|
| Croatia | 15 fevrier 2024 (le plus tot) |
| Latvia | 1er septembre 2024 |
| Belgium | 18 octobre 2024 |
| Italy | 16 octobre 2024 |
| Lithuania | 17 octobre 2024 |
| Greece | 27 novembre 2024 |
| Slovakia | 1er janvier 2025 |
| Hungary | Janvier 2025 |
| Slovenia | 19 juin 2025 |
| Czech Republic | 1er novembre 2025 |
| Germany | 6 decembre 2025 |
Source : Wavestone NIS2 Transposition Tracker (en date de janvier 2026)
Pays dont la legislation est approuvee mais le cadre reste en attente
Sweden, Denmark, Austria, Portugal, Malta, Finland, Estonia, Romania, Cyprus (9 pays)
Pays encore au stade de projet
Luxembourg, France, Spain, Netherlands, Poland, Bulgaria (6 pays)
Source : Wavestone NIS2 Transposition Tracker
Sanctions et amendes NIS2
NIS2 introduit un cadre de sanctions a deux niveaux base sur la classification des entites. Contrairement au RGPD, qui prevoit un maximum unique, NIS2 distingue les entites essentielles des entites importantes.
| Type d'entite | Amende maximale | Source |
|---|---|---|
| Entites essentielles | EUR 10 000 000 ou 2 % du chiffre d'affaires annuel mondial (le montant le plus eleve etant retenu) | Directive NIS2, Article 34 |
| Entites importantes | EUR 7 000 000 ou 1,4 % du chiffre d'affaires annuel mondial (le montant le plus eleve etant retenu) | Directive NIS2, Article 34 |
| Les Etats membres peuvent fixer des amendes au-dessus de ces seuils mais pas en dessous | Directive NIS2, Article 34 |
Comparaison des sanctions NIS2 et RGPD
| Reglementation | Amende maximale | Seuil de chiffre d'affaires |
|---|---|---|
| RGPD | EUR 20 000 000 | 4 % du chiffre d'affaires mondial |
| NIS2 (entites essentielles) | EUR 10 000 000 | 2 % du chiffre d'affaires mondial |
| NIS2 (entites importantes) | EUR 7 000 000 | 1,4 % du chiffre d'affaires mondial |
Responsabilite personnelle des dirigeants
NIS2 introduit une responsabilite directe pour les organes de direction. Les membres du conseil d'administration et les cadres superieurs peuvent etre tenus personnellement responsables en cas de non-conformite. En cas de negligence grave, les autorites competentes peuvent imposer une interdiction temporaire d'exercer des fonctions de direction.
Source : DLA Piper NIS2 Directors' Personal Liability Analysis
Etat de preparation a la conformite NIS2
Les donnees sur l'etat de preparation dressent un tableau preoccupant. Une part significative des organisations concernees ignore l'existence de NIS2 ou n'est pas preparee a ses exigences.
| Statistique | Source |
|---|---|
| 38 % des entites du secteur manufacturier ne connaissent pas NIS2 | ENISA NIS Investments 2024 |
| 40 % des entites de gestion des eaux usees ne connaissent pas NIS2 | ENISA NIS Investments 2024 |
| 89 % des organisations declarent avoir besoin de personnel supplementaire pour la conformite NIS2 | ENISA NIS Investments 2024 |
| 30 % des organisations n'ont effectue aucune evaluation de securite au cours des 12 derniers mois | ENISA NIS Investments 2025 |
| 63 % des PME n'ont effectue aucune evaluation de securite | ENISA NIS Investments 2025 |
| 28 % des organisations mettent plus de 3 mois a corriger les vulnerabilites critiques | ENISA NIS Investments 2025 |
| Plus de 50 % des PME mettent plus de 3 mois a corriger les systemes critiques | ENISA NIS Investments 2025 |
| 43 % des entites de gestion des services TIC n'ont aucun programme de tests de securite | ENISA NIS Investments 2025 |
| 82 % des organisations ont signale un impact positif de la conformite NIS1 sur la cybersecurite | WALLIX, citant une etude ENISA |
Couts de conformite NIS2
Le cout de mise en oeuvre de NIS2 varie considerablement en fonction de la taille de l'entite, de son niveau de maturite existant et de son secteur. L'analyse d'impact de la Commission europeenne et les analyses independantes fournissent les estimations suivantes.
| Statistique | Source |
|---|---|
| Cout total de mise en oeuvre a l'echelle de l'UE : EUR 31,2 milliards par an (0,31 % du chiffre d'affaires des secteurs concernes) | Frontier Economics |
| Entites essentielles deja conformes a NIS1 : cout moyen d'adaptation d'environ EUR 107 000 | Tarlogic |
| Entites importantes partant de zero : cout moyen d'environ EUR 180 000 | Tarlogic |
| Entites importantes avec 27 % de mise en oeuvre existante : cout moyen d'environ EUR 131 000 | Tarlogic |
| Les entreprises devraient augmenter leurs depenses de cybersecurite jusqu'a 22 % au cours des premieres annees | ENISA impact assessment, via WALLIX |
| Budget median de cybersecurite dans l'UE (2025) : EUR 1,5 million | ENISA NIS Investments 2025 |
| Part du budget informatique allouee a la cybersecurite : 9 % en 2023, contre 7,1 % en 2022 | ENISA NIS Investments 2024 |
| Le budget median de securite de l'information a double, passant de EUR 0,7M a EUR 1,4M entre 2022 et 2023 | ENISA NIS Investments 2024 |
| 70 % des organisations citent la conformite reglementaire comme principal moteur d'investissement | ENISA NIS Investments 2025 |
| 34 % des PME sont dans l'incapacite de demander un budget supplementaire pour la conformite NIS2 | ENISA NIS Investments 2025 |
Exigences de notification des incidents NIS2
NIS2 introduit un cadre de notification des incidents en trois etapes avec des delais stricts, renforçant considerablement les exigences de la directive NIS originale.
| Etape de notification | Delai | Objectif |
|---|---|---|
| Alerte precoce | Dans les 24 heures suivant la prise de connaissance | Premiere alerte a l'autorite competente |
| Notification complete | Dans les 72 heures | Evaluation detaillee de la gravite et de l'impact |
| Rapport final | Dans un delai d'un mois | Cause profonde, mesures d'attenuation, impact transfrontalier |
Source : Directive NIS2, Article 23
Statistiques des incidents sous NIS1
| Statistique | Source |
|---|---|
| 188 incidents signales par les autorites nationales de 26 Etats membres de l'UE et 2 pays de l'AELE (bilan annuel 2024) | ENISA CIRAS |
| 55 % des entites d'infrastructure numerique soumises a la notification nationale n'avaient aucun incident a signaler | ENISA NIS Investments 2024 |
Maturite sectorielle sous NIS2
L'evaluation NIS360 d'ENISA cartographie les secteurs en fonction de leur maturite en matiere de cybersecurite par rapport a leur criticite. Cela revele quels secteurs sont les plus exposes au risque de non-conformite.
Secteurs les plus matures (maturite correspondant a la criticite)
- Electricite
- Telecommunications
- Banques
Secteurs dans la "zone de risque" (criticite superieure a la maturite)
- Gestion des services TIC
- Espace
- Administrations publiques
- Transport maritime
- Sante
- Gaz
Source : ENISA NIS360 2024
Modele de supervision
| Type d'entite | Approche de supervision |
|---|---|
| Entites essentielles | Supervision proactive (ex-ante) et reactive (ex-post) |
| Entites importantes | Supervision reactive uniquement (ex-post - uniquement apres un incident ou une preuve de non-conformite) |
Source : European Commission NIS2 FAQ
Paysage des cybermenaces dans l'UE
Les statistiques suivantes, issues du rapport ENISA Threat Landscape, contextualisent la necessite de NIS2.
| Statistique | Source |
|---|---|
| 4 875 incidents de cybersecurite analyses entre juillet 2024 et juin 2025 | ENISA Threat Landscape 2025 |
| Les attaques DDoS et l'hacktivisme representent environ 80 % de tous les incidents enregistres | ENISA Threat Landscape 2025 |
| Seuls 2 % des attaques DDoS hacktivistes ont entraine une reelle interruption de service | ENISA Threat Landscape 2025 |
| Le phishing represente environ 60 % de toutes les tentatives d'intrusion | ENISA Threat Landscape 2025 |
| Plus de 80 % des campagnes de phishing utilisent desormais du contenu genere ou ameliore par l'IA | ENISA Threat Landscape 2025 |
| 53,7 % des incidents visaient des entites essentielles telles que definies par NIS2 | ENISA Threat Landscape 2025 |
| 42 595 nouvelles vulnerabilites divulguees - une augmentation de 27 % en glissement annuel | ENISA Threat Landscape 2025 |
| 82 variantes de ransomware deployees contre des organisations de l'UE | ENISA Threat Landscape 2025 |
| Top 3 des variantes de ransomware : Akira (11,6 %), SafePay (10,1 %), Qilin (7,5 %) | ENISA Threat Landscape 2025 |
| 90 % des organisations anticipaient une augmentation des cyberattaques en 2024 | ENISA NIS Investments 2024 |
Secteurs les plus cibles
| Secteur | Part des incidents |
|---|---|
| Administration publique | 19 % |
| Transports | 11 % |
| Finance | 9 % |
| Infrastructure numerique | 8 % |
Source : ENISA Threat Landscape 2025
Securite de la chaine d'approvisionnement sous NIS2
NIS2 impose la securite de la chaine d'approvisionnement comme l'une des 10 mesures de gestion des risques requises au titre de l'Article 21. Cela reflete la menace croissante des attaques basees sur la chaine d'approvisionnement a travers l'Europe.
| Statistique | Source |
|---|---|
| 90 % des organisations declarent avoir mis en place des pratiques de gestion des risques lies a la chaine d'approvisionnement | ENISA NIS Investments 2025 |
| 47 % des organisations craignent les compromissions par des tiers comme principale menace future | ENISA NIS Investments 2025 |
| L'exploitation de vulnerabilites represente 21 % des incidents, dont beaucoup via des composants de la chaine d'approvisionnement | ENISA Threat Landscape 2025 |
Main-d'oeuvre en cybersecurite dans l'UE
La conformite NIS2 necessite des professionnels qualifies en cybersecurite. La penurie actuelle de talents a travers l'Europe en fait l'un des aspects les plus difficiles de la mise en conformite.
| Statistique | Source |
|---|---|
| Deficit de competences en cybersecurite dans l'UE : 299 000 professionnels | ENISA NIS Investments 2025 |
| L'Europe compte environ 1,4 million de professionnels de la cybersecurite mais en a besoin d'environ 1,8 million (deficit d'environ 424 000) | Source Group International |
| 75 % des organisations peinent a attirer des talents en cybersecurite | ENISA NIS Investments 2025 |
| 71 % des organisations peinent a retenir leur personnel de cybersecurite | ENISA NIS Investments 2025 |
| 76 % du personnel de cybersecurite n'a pas de qualifications formelles ni de formation certifiee | ENISA NIS Investments 2024 |
| 59 % des PME peinent a recruter des talents en cybersecurite | ENISA NIS Investments 2024 |
| Ratio personnel de cybersecurite/personnel informatique : 10,6 % | ENISA NIS Investments 2025 |
| ETP informatiques dedies a la cybersecurite : 11,1 % (4e annee consecutive de baisse) | ENISA NIS Investments 2024 |
| Deficit projete de main-d'oeuvre en cybersecurite en Allemagne : jusqu'a 106 000 postes | Net Group |
| Deficit mondial de main-d'oeuvre en cybersecurite : 4,8 millions de postes non pourvus (2024), soit une augmentation de 19 % en glissement annuel | ISC2 |
| 52 % des organisations declarent que la principale preoccupation est de "ne pas avoir le bon personnel" contre 48 % qui disent "ne pas avoir assez de personnel" | ISC2 |
10 mesures de securite minimales NIS2
L'Article 21 de la directive NIS2 exige que les entites mettent en oeuvre au minimum ces 10 categories de mesures de securite :
- Politiques d'analyse des risques et de securite des systemes d'information
- Procedures de gestion des incidents
- Continuite des activites et gestion de crise (y compris la gestion des sauvegardes et la reprise apres sinistre)
- Securite de la chaine d'approvisionnement (y compris les aspects lies a la securite des relations entre les entites et leurs fournisseurs ou prestataires directs)
- Securite dans l'acquisition, le developpement et la maintenance des reseaux et systemes d'information (y compris le traitement et la divulgation des vulnerabilites)
- Politiques et procedures pour evaluer l'efficacite des mesures de gestion des risques de cybersecurite
- Pratiques de base en matiere de cyber-hygiene et formation a la cybersecurite
- Politiques et procedures relatives a l'utilisation de la cryptographie et, le cas echeant, du chiffrement
- Securite des ressources humaines, politiques de controle d'acces et gestion des actifs
- Utilisation de solutions d'authentification multi-facteur ou d'authentification continue, de communications vocales, video et textuelles securisees, et de systemes de communications d'urgence securises
Source : Directive NIS2, Article 21(2)
Dates cles et chronologie de NIS2
| Date | Evenement |
|---|---|
| 27 decembre 2022 | Publication de NIS2 au Journal officiel de l'Union europeenne |
| 16 janvier 2023 | Entree en vigueur de NIS2 |
| 17 octobre 2024 | Date limite pour les Etats membres pour transposer NIS2 en droit national |
| 18 octobre 2024 | NIS2 devient applicable dans les Etats membres ayant transpose dans les delais |
| 7 mai 2025 | La Commission europeenne a adresse des avis motives a 19 Etats membres non conformes |
| 17 avril 2025 | Date limite pour les Etats membres pour etablir une liste des entites essentielles et importantes |
Questions frequentes
Q : Combien d'entreprises sont concernees par NIS2 ?
R : La Commission europeenne estime qu'environ 160 000 entites a travers l'UE entrent dans le perimetre de NIS2. Cela inclut les entreprises de taille moyenne comptant 50 employes ou plus ou ayant un chiffre d'affaires de EUR 10M+ et les grandes entreprises comptant 250 employes ou plus ou ayant un chiffre d'affaires de EUR 50M+ operant dans l'un des 18 secteurs designes.
Q : Quelles sont les amendes maximales prevues par NIS2 ?
R : Les entites essentielles s'exposent a des amendes pouvant atteindre EUR 10 000 000 ou 2 % du chiffre d'affaires annuel mondial, le montant le plus eleve etant retenu. Les entites importantes s'exposent a des amendes pouvant atteindre EUR 7 000 000 ou 1,4 % du chiffre d'affaires annuel mondial. Les Etats membres peuvent fixer des amendes maximales plus elevees dans leur transposition nationale.
Q : Quels pays de l'UE ont transpose NIS2 ?
R : En janvier 2026, 20 des 27 Etats membres de l'UE ont acheve la transposition de NIS2. Croatia a ete le premier (fevrier 2024), suivi de Latvia, Belgium, Italy, Lithuania, Greece, Slovakia, Hungary, Slovenia, Czech Republic et Germany. Six pays restent au stade de projet, dont France, Spain et Netherlands.
Q : Combien coute la conformite NIS2 ?
R : Les couts varient considerablement en fonction de la taille de l'entite et de sa maturite existante. Les entites deja conformes a NIS1 peuvent depenser environ EUR 107 000 pour s'adapter. Les entites importantes partant de zero font face a un cout moyen d'environ EUR 180 000. Le cout total de mise en oeuvre a l'echelle de l'UE est estime a EUR 31,2 milliards par an.
Q : Quels sont les delais de notification des incidents NIS2 ?
R : NIS2 impose une approche en trois etapes : une alerte precoce dans les 24 heures suivant la prise de connaissance d'un incident significatif, une notification complete dans les 72 heures avec une evaluation de la gravite et de l'impact, et un rapport final dans un delai d'un mois detaillant l'analyse des causes profondes et les mesures d'attenuation.
Q : Les membres du conseil d'administration peuvent-ils etre tenus personnellement responsables en vertu de NIS2 ?
R : Oui. NIS2 introduit une responsabilite directe pour les organes de direction. Les membres du conseil d'administration et les cadres superieurs peuvent etre tenus personnellement responsables en cas de non-respect des obligations de gestion des risques de cybersecurite. En cas de negligence grave, les autorites peuvent imposer une interdiction temporaire d'exercer des fonctions de direction.
Toutes les statistiques de cette page proviennent d'agences officielles de l'UE, d'organismes de regulation et de rapports sectoriels verifies. Les sources principales incluent les rapports ENISA NIS Investments (2024, 2025), ENISA Threat Landscape 2025, ENISA NIS360 2024, la FAQ NIS2 de la Commission europeenne, Wavestone NIS2 Transposition Tracker, Frontier Economics, ISC2 et le texte de la directive NIS2. Cette page est regulierement mise a jour a mesure que de nouvelles donnees sont disponibles.
Derniere mise a jour : mars 2026