Le CESIN alerte sur les risques pour la commande cyber et l’investissement
Faute de calendrier clair, les organisations peinent à engager leurs budgets et à structurer leurs projets cyber

Paris, le 18 juin 2026 – Le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, appelle à une clarification rapide du calendrier de transposition de la directive NIS2 en droit français. À ce stade, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité ne figure toujours pas à l’ordre du jour de la session extraordinaire ouverte le 1er juillet 2026.

Au-delà de l’enjeu juridique, le retard accumulé crée une difficulté très concrète pour les entreprises, car elles doivent préparer de nouvelles obligations. Or elles ne disposent pas encore d’un cadre pleinement stabilisé pour sécuriser leurs arbitrages budgétaires, structurer leurs appels d’offres et contractualiser avec leurs prestataires.

Cette incertitude pèse directement sur le marché de la cybersécurité. Les organisations concernées, ainsi que leurs fournisseurs et sous-traitants, doivent déjà anticiper un renforcement global des exigences en matière de gouvernance. Faute de visibilité, certains projets sont ralentis, ou reportés, alors même que les démarches de mise en conformité s’inscrivent dans des cycles pluriannuels.

À l’échelle européenne, certaines entreprises s’alignent déjà sur les cadres des pays les plus avancés, ce qui contribue à creuser l’écart avec la France.

Fabrice Bru, Président du CESIN, déclare : « L’incertitude réglementaire perturbe la commande cyber et ralentit les décisions d’investissement. Elle impacte l’ensemble des organisations, y compris celles déjà soumises à des cadres réglementaires, dans la mesure où NIS2 élargit significativement les périmètres et les niveaux d’exigence. »
Pour les directions cybersécurité, cette absence de cap complique la préparation des feuilles de route à horizon 2027. Elle fragilise aussi la justification des investissements auprès des directions générales. Pour les acheteurs, la rédaction des cahiers des charges et des clauses contractuelles devient plus complexe.
Concernant les prestataires, la demande manque de lisibilité au moment même où l’écosystème doit se mobiliser.

Le CESIN estime nécessaire de sécuriser rapidement trois éléments :

• un calendrier parlementaire et réglementaire lisible
• une confirmation des principales exigences afin de permettre aux entreprises de préparer leurs plans d’action
• une attention particulière aux conditions de mise en oeuvre pour les entités nouvellement régulées, ainsi qu’à la diffusion des exigences dans la chaîne de sous-traitance.

Le CESIN rappelle que NIS2 ne doit pas être abordée comme une simple contrainte réglementaire. La directive constitue un levier de structuration de la commande cyber et de renforcement de la résilience collective, à condition que les entreprises disposent rapidement d’un cadre stabilisé et prévisible.

Nombre d’entreprises sont déjà engagées et n’attendent pas la loi pour agir. Elles attendent désormais la visibilité pour exécuter.

Le CESIN appelle en conséquence à une inscription rapide du texte à l’ordre du jour parlementaire. Le marché est prêt. Le cadre doit suivre.