Le 30 juin 2026, des milliers d’entreprises européennes devaient avoir réalisé leur premier audit de conformité NIS2. En France, ce délai arrive alors que la transposition législative n’est toujours pas achevée, plaçant le pays dans une position inconfortable : renvoyée devant la Cour de justice de l’Union européenne pour retard, la France demande à 10 000 entités de se conformer à une loi qui n’existe pas encore formellement dans le droit national. Cette contradiction est au coeur d’une crise réglementaire qui touche l’ensemble du tissu économique français.
La directive NIS2 (Network and Information Security 2) est entrée en vigueur au niveau européen en janvier 2023. Les États membres avaient jusqu’au 17 octobre 2024 pour la transposer. Résultat en juin 2026 : 20 des 27 États membres ont achevé leur transposition. La France fait partie des retardataires renvoyés devant la CJUE, aux côtés de l’Espagne, des Pays-Bas, de la Pologne et de la Bulgarie.
Un retard qui coûte cher : la France devant la CJUE
Le 28 novembre 2024, la Commission européenne ouvrait des procédures d’infraction contre 23 États membres pour défaut de transposition de NIS2. Le 7 mai 2025, 19 d’entre eux recevaient des avis motivés, dernière étape avant le renvoi judiciaire. En 2026, la Commission a franchi ce pas pour les cas les plus lents, dont la France et l’Espagne, qui rejoignent ainsi la liste des États poursuivis devant la Cour de justice de l’UE.
Cette situation place les entreprises françaises dans un vide juridique paradoxal. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) pousse les entités concernées à s’enregistrer via son portail “Mon Espace NIS2”, mais sans cadre légal national finalisé, les obligations formelles restent floues. Vincent Strubel, directeur général de l’ANSSI, l’a formulé sans ambiguïté lors du Forum InCyber en mars 2026 : “La transposition prend du temps, mais les cybermenaces, elles, n’attendent pas. Les entités qui anticipent aujourd’hui seront celles qui résisteront demain.”
Pendant ce temps, le Luxembourg a adopté sa loi NIS2 le 5 mai 2026, avec une entrée en vigueur le 10 mai 2026 et une obligation d’auto-enregistrement fixée au 10 juillet 2026. La Belgique, l’Italie, la Grèce, la Hongrie, Malte et la Slovaquie avaient déjà finalisé leur transposition dès 2024. L’Allemagne, après plusieurs mois de délai, a elle aussi adopté sa loi nationale en 2025. La France reste donc parmi les quelques pays qui n’ont toujours pas traduit NIS2 en droit positif national.
NIS2 en chiffres : l’ampleur de la directive
La directive NIS2 représente la révision la plus ambitieuse du droit européen de la cybersécurité depuis la directive NIS1 de 2016. Elle fixe un cadre commun pour 160 000 organisations à travers l’Union européenne, couvrant désormais 18 secteurs critiques contre seulement 6 sous NIS1. En France, ce changement de périmètre fait passer le nombre d’entités régulées d’environ 500 sous NIS1 à entre 10 000 et 15 000 sous NIS2.
Le texte introduit deux catégories d’entités. Les entités essentielles (EE) regroupent les organisations dont l’effectif dépasse 250 équivalents temps plein ou dont le chiffre d’affaires excède 50 millions d’euros, opérant dans les secteurs les plus critiques : énergie, transports, santé, eau, infrastructures numériques. Les entités importantes (EI) couvrent les structures d’au moins 50 salariés ou 10 millions d’euros de revenu, dans des secteurs dits “hautement critiques” élargis comme les services postaux, la gestion des déchets ou la fabrication de produits critiques.
Le 20 janvier 2026, la Commission européenne a proposé des amendements ciblés à NIS2 pour clarifier certaines obligations et simplifier la mise en conformité. Ces modifications visent à alléger la charge pour 28 700 entreprises, dont 6 200 micro et petites entreprises qui avaient exprimé des difficultés à interpréter certaines exigences techniques.
La “Loi Résilience” : trois directives européennes en un seul texte
La France a choisi une approche législative originale : plutôt que de transposer NIS2 seule, elle a regroupé trois textes européens dans un projet de loi unique, le “Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité”, communément appelé “Loi Résilience”. Ce texte transpose simultanément la directive NIS2, la directive CER (Critical Entities Resilience, relative aux entités critiques) et DORA (Digital Operational Resilience Act, pour le secteur financier).
Le projet de loi a été soumis au Sénat en octobre 2024, dans le cadre d’une procédure accélérée. Après son examen sénatorial, le texte a été renvoyé à l’Assemblée nationale. Une session plénière était attendue en janvier 2026, mais les délais ont glissé. Au 22 juin 2026, la loi n’est toujours pas adoptée. Une adoption finale est désormais visée pour l’été 2026, mais sans date officielle arrêtée par le gouvernement.
Henna Virkkunen, vice-présidente exécutive de la Commission européenne en charge de la souveraineté technologique, l’a rappelé sans détour en janvier 2026 : “Les États membres qui tardent à transposer NIS2 ne fragilisent pas seulement leur propre économie. Ils affaiblissent l’ensemble du marché intérieur numérique, car la cybersécurité européenne est aussi solide que son maillon le plus faible.”
Qui est concerné par NIS2 en France
Le périmètre français dépasse celui de la directive européenne minimale sur plusieurs points. L’extension aux collectivités locales constitue l’un des ajouts les plus structurants : tous les départements, les communes de plus de 30 000 habitants et les collectivités d’outre-mer entrent dans le champ d’application. Les établissements d’enseignement supérieur qui conduisent des activités de recherche sont également inclus, une spécificité française absente du texte européen d’origine.
Pour les entreprises, la classification repose sur deux critères : la taille (effectif et chiffre d’affaires) et le secteur d’activité. Certains secteurs sont qualifiés “sans seuil de taille”, ce qui signifie que même les petites entités y opérant sont soumises à NIS2 : c’est le cas des fournisseurs de réseaux de communications électroniques, des registres de noms de domaine de premier niveau (TLD) et des prestataires de services DNS.
L’ANSSI a mis en place un portail de pré-enregistrement accessible sur cyber.gouv.fr, qui permet aux entités concernées d’identifier leur statut et d’amorcer leur démarche de conformité bien avant que la loi nationale ne soit adoptée. L’agence a également publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), un document opérationnel qui traduit les exigences de NIS2 en mesures concrètes et auditables.
Les 10 mesures de cybersécurité imposées par l’article 21
L’article 21 de NIS2 constitue le coeur des obligations opérationnelles. Il impose aux entités régulées de mettre en oeuvre au minimum dix mesures de gestion des risques selon une approche “tous risques” (all-hazards), proportionnées à la taille de l’organisation et à son exposition aux menaces.
- Politique d’analyse des risques et de sécurité des systèmes d’information
- Gestion des incidents de sécurité
- Continuité des activités et gestion des crises (PCA/PRA)
- Sécurité de la chaîne d’approvisionnement numérique
- Sécurité dans l’acquisition, le développement et la maintenance des systèmes
- Politiques et procédures d’évaluation de l’efficacité des mesures
- Pratiques de cyberhygiène de base et formation des équipes
- Politiques relatives à la cryptographie et au chiffrement
- Sécurité des ressources humaines et contrôle d’accès
- Authentification multifacteur (MFA) ou authentification continue
La mise en conformité avec ces dix points représente un chantier d’envergure pour la majorité des entités nouvellement régulées. Des prestataires de services de sécurité gérés (MSSP) français ont enregistré une hausse de 40 à 60% des demandes d’accompagnement NIS2 depuis le début de l’année 2026, selon les données sectorielles disponibles.
Notification des incidents : 24 heures, 72 heures, un mois
L’article 23 de NIS2 impose un régime de notification des incidents significatifs en trois étapes, avec des délais stricts non négociables. Un incident est qualifié de “significatif” s’il provoque une interruption de service importante, s’il implique une violation de données à caractère personnel, ou s’il entraîne une perte financière directe supérieure à 500 000 euros pour les fournisseurs de services numériques, selon le règlement d’exécution NIS2 du 17 octobre 2024.
Le séquencement est le suivant. Une alerte précoce doit parvenir à l’ANSSI ou au CSIRT national dans les 24 heures suivant la prise de conscience de l’incident. Cette notification initiale peut être sommaire mais doit mentionner la nature présumée de l’incident et son impact transfrontalier éventuel. Dans les 72 heures, une notification détaillée est attendue avec une évaluation de la gravité, des indicateurs de compromission et une estimation de l’impact. Le rapport final, comprenant une analyse des causes racines et les mesures correctives adoptées, doit être transmis dans un délai d’un mois.
Pour les prestataires de cloud et les MSP, le règlement d’exécution du 17 octobre 2024 précise des seuils automatiques : une indisponibilité complète de service supérieure à 30 minutes constitue systématiquement un incident significatif à notifier. Le non-respect de ces délais peut déclencher des sanctions dès la première infraction, indépendamment de toute autre manquement aux obligations de sécurité.
Les sanctions NIS2 : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial
NIS2 introduit un régime de sanctions comparable au RGPD en termes d’amplitude. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est fixé à 7 millions d’euros ou 1,4% du chiffre d’affaires mondial.
Ces plafonds représentent un saut considérable par rapport à l’ancien régime français. Sous le cadre des Opérateurs d’importance vitale (OIV), l’ANSSI ne pouvait infliger que des sanctions financières limitées à 125 000 euros pour les infractions aux règles de sécurité ou les obstacles aux contrôles de supervision. NIS2 multiplie donc par 80 ce plafond pour les entités essentielles.
Au-delà des amendes, NIS2 innove en matière de responsabilité personnelle. Les organes de direction (conseils d’administration, directeurs généraux) peuvent être personnellement tenus responsables des manquements à la cybersécurité. Dans les cas les plus graves, une interdiction temporaire d’exercer des fonctions dirigeantes est prévue. Cette disposition vise à ancrer la cybersécurité au niveau des instances de gouvernance, et non plus seulement dans les directions informatiques.
Pour les entités publiques (collectivités, établissements publics), les amendes pécuniaires ne s’appliquent pas, mais les mesures contraignantes comme les injonctions de mise en conformité et les astreintes journalières restent pleinement mobilisables par l’ANSSI.
NIS1 vs NIS2 : une transformation radicale du cadre réglementaire
La comparaison entre les deux générations de la directive illustre l’ampleur du changement réglementaire que les entreprises françaises doivent intégrer. NIS1, adoptée en 2016, posait des bases minimalistes ciblant un périmètre très restreint. NIS2, entrée en vigueur en janvier 2023, représente une refonte complète du modèle de gouvernance cyber européen.
| Critère | NIS1 (2016) | NIS2 (2023/2026) |
|---|---|---|
| Secteurs couverts | 6 secteurs | 18 secteurs |
| Entités régulées en France | ~500 | 10 000 à 15 000 |
| Entités régulées dans l’UE | ~5 000 | 160 000+ |
| Amende maximale (entités essentielles) | Variable, faible | 10 M€ ou 2% CA mondial |
| Amende maximale (entités importantes) | Non applicable | 7 M€ ou 1,4% CA mondial |
| Délai de notification des incidents | Non standardisé | 24h / 72h / 1 mois |
| Responsabilité personnelle des dirigeants | Absente | Oui, interdiction d’exercice possible |
| Collectivités locales incluses | Non | Oui (communes 30 000 hab.+) |
| Audits de conformité | Peu formalisés | Obligatoires, premier au 30 juin 2026 |
| Autorité nationale (France) | ANSSI, rôle limité | ANSSI, pouvoirs étendus et sanctions |
État de la transposition en Europe : qui est en avance
La carte de la transposition NIS2 en Europe au 22 juin 2026 révèle des écarts significatifs entre États membres. Si 20 des 27 ont achevé le processus, les trajectoires nationales reflètent des différences profondes en matière de maturité cybersécurité et de capacité législative. Selon Milan Puvaca, expert cybersécurité ayant publié une analyse approfondie sur l’état d’avancement NIS2 en avril 2026 : “L’Europe est clairement divisée. Les États qui ont transposé rapidement ont une longueur d’avance : leurs entreprises savent exactement ce qu’on attend d’elles et peuvent investir en conséquence. Dans les pays retardataires, les entreprises naviguent à vue, ce qui ralentit les investissements en sécurité au moment précis où ils sont le plus nécessaires.”
| Pays | Statut (juin 2026) | Particularité nationale |
|---|---|---|
| Belgique | Transposée (oct. 2024) | Cadre Cyfun® pour les audits, enregistrement CCB mars 2025 |
| Italie | Transposée (2024) | Enregistrement ACN obligatoire jan-fév 2026 |
| Grèce | Transposée (2024) | Autorité nationale cybersécurité renforcée |
| Allemagne | Transposée (2025) | BSI autorité chef de file, délais d’audit prolongés |
| Luxembourg | Transposée (mai 2026) | Loi du 5 mai 2026, entrée en vigueur 10 mai 2026 |
| France | Loi Résilience en cours | Renvoyée devant la CJUE, adoption été 2026 visée |
| Espagne | Projet en cours | Renvoyée devant la CJUE |
| Pays-Bas | Projet de loi déposé | Adoption attendue fin 2026 |
| Pologne | Projet de loi déposé | Délai national repoussé, complexité fédérale |
| Bulgarie | Procédure d’infraction | Transposition toujours incomplète |
Coûts de mise en conformité : entre 50 000 et 300 000 euros par entité
L’évaluation du coût de mise en conformité NIS2 constitue un enjeu stratégique pour les entités nouvellement régulées. Les estimations disponibles dessinent un spectre large, selon la taille de l’organisation et son niveau de maturité cybersécurité initial.
Pour les entités importantes, les premières études de terrain estiment les coûts de première année entre 50 000 et 150 000 euros. Ce montant couvre : la mise en place ou la mise à niveau de l’authentification multifacteur (10 000 à 50 000 euros), l’infrastructure de notification des incidents (20 000 à 100 000 euros), les audits et certifications comme ISO 27001 ou le label NIS2 (15 000 à 75 000 euros), et la formation du personnel et des dirigeants (5 000 à 25 000 euros).
Pour les entités essentielles, les budgets de première mise en conformité oscillent entre 100 000 et 300 000 euros, avec des coûts récurrents annuels de 60 000 à 120 000 euros pour maintenir le niveau exigé. À l’échelle nationale, l’ANSSI projette un investissement cumulé de 1 à 2 milliards d’euros sur les trois premières années pour l’ensemble des entités françaises soumises à NIS2.
Ce chiffre doit être mis en perspective : le coût moyen d’un incident cyber majeur pour une PME française est estimé entre 200 000 et 500 000 euros par les assureurs spécialisés, sans compter les dommages réputationnels. Selon les analystes de Wavestone, qui ont accompagné plus de 200 entreprises dans leur démarche NIS2 en 2025-2026 : “Les entreprises qui traitent NIS2, DORA et le Cyber Resilience Act comme trois projets séparés perdent un temps et un budget considérables. Les synergies entre ces réglementations sont réelles : une politique de gestion des risques bien construite couvre 70% des exigences communes à NIS2 et DORA.”
30 juin 2026 : l’échéance critique des premiers audits
Le 30 juin 2026 représente une date charnière pour les entreprises des États membres ayant achevé leur transposition NIS2. L’ECSO (European Cyber Security Organisation) a confirmé que la date limite pour la réalisation du premier audit de conformité NIS2 a été repoussée du 31 décembre 2025 au 30 juin 2026, offrant un sursis de six mois aux entités en retard dans leur démarche.
Pour les entités belges, italiennes ou allemandes, ce 30 juin signifie la nécessité de produire un rapport d’audit signé par un prestataire certifié. La Belgique a ouvert ce marché aux organismes agréés selon son cadre Cyfun, tandis que l’Italie a opté pour une approche centralisée via l’ACN. En Belgique, les entités disposaient d’un délai de 18 à 30 mois à compter de leur notification par le CCB pour adopter les standards Cyfun ou ISO/IEC 27001.
En France, l’ANSSI a clairement indiqué que les audits formels seront exigés dès l’entrée en vigueur de la Loi Résilience. Les entités qui ont anticipé et réalisé un audit NIS2 volontaire seront considérées favorablement lors des premières vérifications de conformité. L’agence signale qu’aucune tolérance particulière ne sera accordée aux entités qui n’auront pas démontré une démarche proactive, même pendant la période transitoire.
NIS2, DORA et le Cyber Resilience Act : l’architecture réglementaire européenne
NIS2 n’est pas le seul texte qui redessine le paysage réglementaire cybersécurité européen en 2026. DORA (Digital Operational Resilience Act), entré en vigueur en janvier 2025, impose ses propres exigences de résilience opérationnelle aux entités financières : banques, assureurs, prestataires de services d’investissement, plateformes de négociation. Le Cyber Resilience Act (CRA), adopté fin 2024, cible les fabricants et distributeurs de produits comportant des éléments numériques, avec des amendes pouvant atteindre 15 millions d’euros ou 2,5% du chiffre d’affaires mondial.
La “Loi Résilience” française propose de transposer ces trois régimes dans un seul texte, ce qui constitue une simplification administrative pour les entités concernées par plusieurs réglementations simultanément. Un établissement bancaire de taille significative peut être soumis à la fois à NIS2 (pour ses systèmes d’information) et à DORA (pour sa résilience opérationnelle numérique). Cette approche croisée est saluée par les grandes fédérations professionnelles, mais critiquée par certains juristes qui y voient une source potentielle de conflits d’interprétation entre les trois régimes.
Le 8 janvier 2026, l’ANSSI a annoncé la montée en puissance de son réseau de CSIRT régionaux, qui couvrent désormais l’ensemble du territoire français. Ces centres de réponse aux incidents cyber offrent un accompagnement de proximité aux collectivités et aux PME qui ne disposent pas de ressources cybersécurité internes. Ils s’inscrivent directement dans la logique de transposition de NIS2 : les entités essentielles et importantes peuvent s’appuyer sur ces structures pour la gestion initiale de leurs incidents.
4 prédictions pour NIS2 en France d’ici fin 2026
L’analyse de la trajectoire réglementaire et des tensions actuelles permet d’identifier quatre scénarios probables pour les mois à venir.
1. Adoption de la Loi Résilience avant septembre 2026. La pression conjointe de la CJUE et des entreprises qui attendent une clarification des obligations devrait accélérer l’adoption parlementaire. Un vote à l’Assemblée nationale d’ici la fin de l’été 2026 reste l’hypothèse centrale, même si les aléas du calendrier parlementaire ne peuvent être exclus.
2. Premières procédures formelles de l’ANSSI avant la fin de l’année. Les experts s’accordent à prévoir que l’ANSSI initiera ses premières mises en demeure contre des entités manifestement non conformes dès le second semestre 2026. Ces procédures débuteront par des avertissements et des injonctions, avant de potentiellement déboucher sur des amendes en 2027.
3. Explosion du marché des MSSP et des auditeurs NIS2 certifiés. La demande d’accompagnement va continuer à croître de façon exponentielle. Les prestataires de services de sécurité gérés capables de proposer une offre NIS2 clé en main, intégrant audit, mise en oeuvre des mesures et reporting réglementaire, seront en position de force sur un marché estimé à plusieurs centaines de millions d’euros pour la France seule.
4. Harmonisation progressive des approches nationales sous pression de la Commission. Les amendements NIS2 proposés par la Commission en janvier 2026 visent à réduire les divergences entre transpositions nationales. D’ici 2027, les différences de traitement entre un fournisseur cloud soumis à la réglementation belge et son concurrent français devraient se réduire, grâce à l’action conjointe de la Commission et de l’ENISA qui assure le suivi coordonné des implémentations.
Couverture connexe
Pour approfondir votre compréhension du cadre réglementaire européen en matière de cybersécurité :
- Cyber Resilience Act : 3 Échéances, 15 M€ d’Amende [2026]
- Yango Condamné à 100 M€ : RGPD et Données vers la Russie [2026]
- ShinyHunters Pirate Europa.eu : 350 Go Volés [2026]
- Wazuh vs Splunk vs Elastic : SIEM Gratuit ou 1,5 M$/an ? [2026]
- Agentic AI Security : 4,7 M$ de Brèches, 92% Alertés [2026]
- Centre de ressources sécurité : guides, analyses et actualités
FAQ : Directive NIS2 et mise en conformité en France
NIS2 s’applique-t-elle déjà en France même sans loi nationale adoptée ?
La directive NIS2 est contraignante pour les États membres depuis octobre 2024, mais son effectivité pour les entreprises françaises dépend de la transposition nationale. Sans loi française adoptée, les obligations formelles ne sont pas encore opposables devant les tribunaux nationaux. L’ANSSI encourage néanmoins une démarche proactive via son portail Mon Espace NIS2. Les entreprises qui anticipent seront favorisées lors des premières vérifications de conformité post-adoption de la Loi Résilience.
Quelle est la différence entre entité essentielle et entité importante ?
Les entités essentielles (EE) opèrent dans les secteurs “hautement critiques” de l’annexe I de NIS2 (énergie, transports, santé, eau, infrastructures numériques) et répondent aux seuils de taille (250+ FTE ou 50 M€+ de CA). Les entités importantes (EI) opèrent dans les secteurs “critiques” de l’annexe II avec des seuils plus bas (50+ FTE ou 10 M€+ de CA). Les EE sont soumises à une supervision proactive de l’ANSSI (audits réguliers), tandis que les EI font l’objet d’une supervision réactive, déclenchée par un incident ou une plainte.
Quelles sont les amendes prévues pour non-conformité à NIS2 ?
Pour les entités essentielles, l’amende maximale est de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial (le plus élevé des deux). Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4% du CA mondial. Ces montants s’appliquent aux violations des obligations de cybersécurité ou de notification des incidents. Les entités publiques (collectivités, établissements publics) sont exemptées des amendes pécuniaires mais restent soumises aux injonctions de mise en conformité et aux astreintes journalières.
Comment savoir si mon entreprise est concernée par NIS2 ?
L’ANSSI propose un outil d’auto-évaluation via le portail Mon Espace NIS2 sur cyber.gouv.fr. La démarche consiste à vérifier si l’activité principale correspond à l’un des 18 secteurs couverts par NIS2, puis à confirmer que l’organisation dépasse les seuils de taille applicables à ce secteur. Certains secteurs sont “sans seuil de taille” (DNS, TLD, réseaux de communications électroniques), ce qui signifie que toutes les entités y opérant sont régulées quelle que soit leur taille.
Dans quel délai faut-il notifier un incident à l’ANSSI ?
NIS2 impose un régime en trois temps : alerte précoce dans les 24 heures (information sommaire, nature de l’incident, impact transfrontalier éventuel), notification détaillée dans les 72 heures (évaluation de gravité, indicateurs de compromission), et rapport final dans un délai d’un mois (analyse des causes, mesures correctives). Le non-respect de ces délais peut entraîner des sanctions dès le premier incident. La notification se fait via le portail Mon Espace NIS2 ou directement auprès du CSIRT national compétent.
Qu’est-ce que le Référentiel ReCyF publié par l’ANSSI ?
Le Référentiel Cyber France (ReCyF), publié le 17 mars 2026 par l’ANSSI, est un document de référence opérationnel qui traduit les exigences abstraites de l’article 21 de NIS2 en mesures concrètes, auditables et mesurables. Il sert de guide pratique pour structurer la démarche de mise en conformité. Le ReCyF n’est pas un label certifiant, mais son adoption est recommandée par l’ANSSI comme base de travail pour préparer les audits NIS2 à venir et démontrer une démarche proactive aux inspecteurs.
La Loi Résilience française a-t-elle été adoptée ?
Non. Au 22 juin 2026, la Loi Résilience n’a pas encore été adoptée par le Parlement français. Le projet de loi, qui transpose simultanément NIS2, la directive CER et DORA, a été soumis au Sénat en octobre 2024 puis transmis à l’Assemblée nationale. Une adoption est visée pour l’été 2026, sans date officielle fixée. Cette situation a conduit la Commission européenne à renvoyer la France devant la Cour de justice de l’UE pour retard de transposition.
Sources : ANSSI, directive NIS2 ; Commission européenne, législation cybersécurité ; ECSO, tableau de suivi transposition NIS2 ; Wavestone, comparatif transpositions européennes ; Orbiq, guide NIS2 2026 ; ENISA, paysage des menaces 2025
