Le rapport annuel ENISA NIS360 2026 confirme une amélioration générale de la maturité cybersécurité dans les secteurs couverts par la directive NIS2, sans pour autant effacer les déséquilibres persistants entre criticité et préparation réelle.
La zone de risque se redessine, pas toujours dans le bon sens
L’édition 2026 du NIS360 cartographie, secteur par secteur, l’écart entre le niveau de criticité, c’est-à-dire l’impact potentiel d’une perturbation, et la maturité cybersécurité effective des acteurs concernés. C’est de cet écart que naît la zone de risque, définie comme l’espace où la criticité dépasse la maturité. Cette année, elle englobe la santé, le ferroviaire, le maritime, les services ICT managés, le spatial, les administrations publiques, ainsi que les secteurs de l’eau potable et des eaux usées.
Trois de ces secteurs, ferroviaire, eau potable, eaux usées, basculent dans la zone de risque non pas parce que leur situation s’est dégradée, mais parce que la maturité moyenne générale s’est relevée, repoussant mécaniquement la frontière. À l’inverse, le secteur du gaz amorce une sortie de cette zone, portée par une meilleure circulation de l’information, une coopération renforcée et une mise en œuvre plus solide des mesures de gestion des risques.
Trois secteurs accèdent au niveau de haute maturité
Du côté des signaux positifs, trois secteurs franchissent cette année le seuil de haute maturité : les services de confiance, l’aviation et les infrastructures de marchés financiers. Quatre autres, gaz, route, maritime, santé, consolident leur progression dans la bande intermédiaire. ENISA attribue ces avancées à la conjonction de plusieurs facteurs : évolutions législatives, attention politique accrue et, de manière significative, l’effet d’entraînement de la réglementation sur l’investissement cybersécurité, que confirme par ailleurs l’étude ENISA NIS Investments 2025.
La criticité, elle, évolue plus lentement par nature. Banque, électricité, aviation, spatial et services numériques de base, télécommunications, cloud, centres de données, restent en tête. Le secteur spatial y fait son entrée cette année, reflet de son rôle croissant comme infrastructure transversale dont dépendent désormais de nombreux autres secteurs. Le ferroviaire voit également sa criticité progresser, sous l’effet de son implication croissante dans la logistique militaire et d’une exposition cyber en hausse.
Des progrès réels, une homogénéité encore lointaine
La trajectoire globale est encourageante. “Les conclusions de ce rapport NIS360 donnent des raisons d’être optimistes. La mise en oeuvre du cadre réglementaire européen de cybersécurité, et en particulier NIS2, a apporté des améliorations significatives”, souligne Juhan Lepassaar, directeur exécutif de l’ENISA. La progression reste néanmoins inégale, entre secteurs comme au sein d’un même secteur. Les pénuries de compétences, les spécificités sectorielles et les écarts de taille entre organisations continuent d’expliquer des niveaux de maturité très disparates.
