En 2026, l'assurance cyber n'est pas une obligation légale universelle en France. Mais plusieurs textes — NIS2, RGPD, DORA pour la finance — imposent des obligations de cybersécurité si strictes que leur non-respect ouvre une exposition financière et personnelle que l'assurance est la seule à pouvoir couvrir.
L'état du droit en 2026
À ce jour, aucun texte français n'impose explicitement la souscription d'une assurance cyber. Ce n'est pas la même situation que l'assurance responsabilité civile professionnelle, obligatoire pour certaines professions réglementées (médecins, avocats, agents immobiliers). Cependant, plusieurs textes créent des obligations cyber dont le coût du non-respect rend l'assurance incontournable.
La situation évolue : en 2025, le gouvernement français a mentionné dans son Plan national de cybersécurité l'hypothèse d'une obligation d'assurance cyber pour certains secteurs d'ici 2028. Aucun décret n'a été publié à date, mais la tendance réglementaire est clairement orientée vers plus d'obligation.
NIS2 : les obligations qui s'imposent dès maintenant
La directive NIS2, transposée en droit français par l'ordonnance n°2024-1248 du 30 décembre 2024, concerne entre 10 000 et 15 000 entités françaises selon l'ANSSI. Elle s'applique aux entreprises d'au moins 50 salariés ou 10 M€ de CA dans 18 secteurs divisés en deux catégories.
Entités essentielles : énergie (électricité, gaz, pétrole, hydrogène), transports (aérien, ferroviaire, maritime, routier), secteur bancaire, infrastructures de marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (IXP, DNS, TLD, cloud, datacenters, réseaux, services de confiance), services managés IT, gestion des services ICT B2B, administration publique, espace.
Entités importantes : services postaux et d'expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution des denrées alimentaires, fabrication d'équipements médicaux, de dispositifs médicaux de diagnostic in vitro, de produits informatiques, électroniques et optiques, d'équipements électriques, de machines et équipements, de véhicules, d'autres équipements de transport, fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), organismes de recherche.
Les 10 obligations techniques NIS2
NIS2 impose concrètement : 1. politique de gestion des risques cyber, 2. procédures de gestion des incidents, 3. plan de continuité d'activité et sauvegardes testées, 4. sécurité de la chaîne d'approvisionnement, 5. sécurité des achats et développement de logiciels, 6. évaluation régulière de l'efficacité des mesures, 7. formation en cybersécurité et hygiène numérique, 8. politiques de chiffrement et cryptographie, 9. sécurité des ressources humaines et contrôle d'accès, 10. MFA et communications sécurisées.
En cas d'incident significatif, la notification à l'ANSSI est obligatoire : alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous 1 mois. Le non-respect de ce calendrier constitue en lui-même une infraction séparée.
Les sanctions : amendes et responsabilité personnelle
Pour les entités essentielles : amendes jusqu'à 10 M€ ou 2 % du CA mondial. Pour les entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial. L'ANSSI dispose également d'un pouvoir de suspension temporaire du mandat des dirigeants d'entités essentielles en cas de manquement grave et répété. C'est la première fois qu'une réglementation cyber française attaque directement la responsabilité personnelle d'un dirigeant.
Rappel : les amendes administratives ne sont pas assurables en France (article 1133 du Code civil). L'assurance cyber couvre tout le reste — gestion de crise, notification, RC cyber, pertes d'exploitation — mais pas la sanction ANSSI elle-même.
RGPD : l'obligation de sécurité déjà en vigueur
Le RGPD impose depuis 2018 à toute entreprise traitant des données personnelles de mettre en place des "mesures techniques et organisationnelles appropriées" pour protéger ces données (article 32). En cas de violation, la notification à la CNIL est obligatoire sous 72h. Les sanctions CNIL peuvent atteindre 20 M€ ou 4 % du CA mondial. La CNIL a prononcé 43 sanctions en 2024, pour un total de 101 M€.
Les secteurs où l'assurance cyber est quasi-imposée
Dans certains secteurs, l'assurance cyber est exigée contractuellement par des donneurs d'ordre ou des acheteurs publics. Les marchés publics du secteur Défense imposent souvent une attestation d'assurance cyber. De grandes entreprises (CAC 40) exigent dans leurs contrats fournisseurs une couverture cyber minimale. Dans les secteurs financiers, DORA impose aux établissements une gestion des risques IT avec justification de la couverture assurantielle des risques résiduels.
FAQ — Obligation légale d'assurance cyber
L'assurance cyber est-elle obligatoire en France en 2026 ?
Non, pas en tant qu'obligation légale universelle. Mais NIS2 impose des obligations de sécurité cyber très strictes dans 18 secteurs critiques. Dans ce contexte, l'assurance cyber devient une protection indispensable contre les risques résiduels et les coûts de sinistre non couverts par les obligations de conformité.
Mon entreprise est-elle concernée par NIS2 ?
NIS2 concerne les entités de 50 salariés ou plus (ou 10 M€ de CA) dans 18 secteurs. Vérifiez votre éligibilité sur le portail MonEspaceNIS2 de l'ANSSI. Même si votre entreprise n'est pas directement soumise, vos clients NIS2 peuvent vous imposer contractuellement leurs standards de sécurité.
Quelles sanctions risque un dirigeant en cas de non-conformité NIS2 ?
Amendes jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles, plus la possibilité de suspension temporaire du mandat du dirigeant. C'est inédit dans l'histoire de la réglementation cyber française.
L'assurance cyber couvre-t-elle les amendes NIS2 ?
Non. Les amendes administratives ne sont pas assurables en France. L'assurance cyber couvre les frais de gestion de crise, la notification des autorités, les pertes d'exploitation et la RC cyber — pas les sanctions administratives elles-mêmes.