NIS360 2026 : l'ENISA classe le spatial en haute criticité, mais sa maturité cyber stagne

12/6/26
👈 les autres actualités

Le 28 mai 2026, l'ENISA a publié la troisième édition de son rapport NIS360, l'outil de référence qui mesure chaque année la maturité cybersécurité des secteurs critiques européens. Le verdict de cette édition est sans appel : le secteur spatial accède pour la première fois au rang de secteur hautement critique, mais sa maturité cyber n'a pas progressé d'un pouce en un an. Un paradoxe qui en dit long sur la manière dont les autorités européennes mesurent désormais l'écart entre l'importance d'un secteur et sa capacité réelle à se défendre.

Ce qui s'est passé

Le NIS360 est un exercice de benchmarking annuel qui évalue les entités des secteurs listés à l'annexe I de la directive NIS 2 : énergie, transport, santé, infrastructures numériques, et désormais l'espace en haute criticité. L'objectif est d'aider les autorités nationales et les décideurs politiques à identifier les secteurs qui nécessitent davantage de soutien — ou davantage de surveillance.

L'édition 2026 place le secteur spatial dans la « zone de risque » du rapport, c'est-à-dire parmi les secteurs dont la maturité cybersécurité reste inférieure au niveau que leur criticité exigerait. Il y rejoint la santé, le ferroviaire, le transport maritime, la gestion des services TIC, les administrations publiques et le secteur de l'eau potable et des eaux usées. Plus préoccupant encore : selon l'ENISA, le spatial n'a réalisé aucun progrès de maturité cyber au cours de l'année écoulée.

Parmi les facteurs identifiés, l'agence pointe le recours croissant aux composants commerciaux sur étagère (COTS), qui élargit la surface d'attaque via la chaîne d'approvisionnement, ainsi qu'un manque d'harmonisation des pratiques entre les acteurs du secteur. Ses recommandations : une approche cohérente de la cybersécurité dans le spatial, un effort de sensibilisation des autorités publiques, une gestion uniforme des risques de chaîne d'approvisionnement et des mécanismes plus clairs de partage de renseignement sur les menaces.

Pourquoi c'est important

Au-delà du cas spatial, le NIS360 est en train de devenir l'instrument par lequel l'Europe objective la pression réglementaire. Quand un secteur stagne dans la « zone de risque » trois éditions de suite, c'est un signal envoyé aux régulateurs nationaux : il faut durcir les contrôles. Pour comprendre le cadre dans lequel s'inscrit cet exercice, notre guide NIS 2 : définition et impact sur votre entreprise détaille les obligations qui pèsent sur les 18 secteurs concernés.

Le contexte français rend ce rapport d'autant plus sensible que Bruxelles s'apprête à saisir la CJUE contre la France pour non-transposition de NIS 2. Les benchmarks de l'ENISA nourriront mécaniquement la doctrine de l'ANSSI une fois la loi Résilience adoptée : les secteurs en zone de risque seront les premiers servis en matière de contrôles.

Enfin, le rapport confirme une tendance de fond : la chaîne d'approvisionnement est le maillon faible. Le sujet des composants sur étagère dans le spatial fait écho à ce que le RGPD impose déjà à tous les responsables de traitement via l'article 28 : on ne peut pas externaliser un traitement sans encadrer contractuellement et auditer son prestataire.

Ce que ça change pour les organisations

Pour les DPO et RSSI, trois actions concrètes se dégagent. D'abord, vérifier si votre organisation — ou vos fournisseurs critiques — relève d'un des secteurs placés en zone de risque par le NIS360 : santé, administrations, eau, maritime, ferroviaire, gestion des services TIC, spatial. Cette cartographie conditionne votre exposition aux futurs contrôles.

Ensuite, documenter votre gestion des risques fournisseurs. L'insistance de l'ENISA sur les composants COTS vaut pour tous les secteurs : inventoriez vos dépendances logicielles et matérielles, et auditez vos prestataires en suivant une méthodologie structurée, comme celle décrite dans notre guide sur l'audit des sous-traitants RGPD.

Enfin, ne pas attendre la transposition française pour aligner vos mesures de sécurité sur l'état de l'art. L'article 32 du RGPD impose déjà des mesures techniques et organisationnelles appropriées au risque — chiffrement, tests réguliers, résilience. Le socle NIS 2 et le socle RGPD se recouvrent largement : chaque effort consenti aujourd'hui sera réutilisable demain.

Ce que Leto pense de cette décision

Classer un secteur en haute criticité sans constater le moindre progrès de maturité, c'est admettre que la méthode incitative a atteint ses limites. Le NIS360 n'est plus un simple thermomètre : c'est la feuille de route des contrôles à venir. Les organisations qui figurent dans la zone de risque — ou qui en dépendent via leurs fournisseurs — ont une fenêtre courte pour se mettre à niveau avant que les autorités ne le fassent à leur place, sanctions à l'appui.

Sources : Inside Privacy (Covington) — ENISA's NIS360 2026 report

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026