Le 9 juin 2026, la Commission européenne a renvoyé la France devant la Cour de justice de l’Union européenne (CJUE) pour ne pas avoir transposé à temps la directive NIS2. Près de vingt mois après l’échéance du 17 octobre 2024, Paris reste sans loi définitive, alors que la directive doit faire passer le périmètre de la cybersécurité réglementée d’environ 500 opérateurs critiques à près de 15 000 entités. La France n’est pas seule sur le banc des accusés, mais le dossier illustre un grand écart : celui d’un pays qui se présente comme une puissance cyber en Europe et qui figure pourtant parmi les retardataires du chantier réglementaire le plus structurant de la décennie.

Voici une analyse détaillée de la procédure, du contenu de la directive NIS2 France, des sanctions encourues, de l’état du projet de loi Résilience, et de ce que ce retard signifie concrètement pour des dizaines de milliers d’entreprises et de collectivités françaises.

NIS2 France : pourquoi la Commission européenne a saisi la CJUE

La saisine de la Cour de justice est l’étape ultime d’une procédure d’infraction qui couvait depuis plus d’un an. La directive NIS2 (directive (UE) 2022/2555) fixait au 17 octobre 2024 la date limite à laquelle chaque État membre devait avoir intégré ses règles dans son droit national. À cette date, une large majorité des Vingt-Sept n’avait pas terminé le travail. La Commission a ouvert dès novembre 2024 des procédures de mise en demeure, puis adressé en mai 2025 des avis motivés à 19 États membres, parmi lesquels la France.

En juin 2026, faute de transposition complète, la Commission est passée à la vitesse supérieure en renvoyant une vingtaine d’États membres devant la CJUE, dont la France, l’Espagne et l’Italie. Le message de Bruxelles est politique autant que juridique : la cybersécurité du marché intérieur ne peut pas reposer sur un patchwork de règles nationales appliquées à des rythmes différents. Chaque mois de retard laisse des secteurs entiers (énergie, santé, transports, administrations) sous le régime ancien, moins exigeant en matière de gestion des risques et de notification des incidents.

Pour la France, la saisine intervient à un moment paradoxal. Le pays a publié fin janvier 2026 sa Stratégie nationale de cybersécurité 2026-2030, dont le premier pilier est le développement des talents et qui revendique « l’autonomie de jugement et la liberté d’action dans le cyberespace ». Difficile, dans ce contexte, d’expliquer pourquoi la brique réglementaire européenne, elle, accuse un tel retard.

Ce que dit la directive NIS2 (directive 2022/2555)

La directive NIS2 remplace la première directive NIS de 2016. Son ambition tient en une phrase : élever et harmoniser le niveau de cybersécurité dans toute l’Union, en passant d’une logique de protection de quelques infrastructures critiques à une logique de résilience appliquée à un tissu beaucoup plus large d’organisations. Le texte couvre 18 secteurs jugés sensibles, contre 7 secteurs essentiels et quelques services numériques sous NIS1.

Parmi les nouveaux secteurs entrant dans le champ figurent les communications électroniques publiques, les réseaux sociaux, la gestion des eaux usées et des déchets, la fabrication de produits critiques, les services postaux et de messagerie, l’administration publique et le spatial. La directive distingue deux statuts, les « entités essentielles » et les « entités importantes », avec des obligations de supervision et de notification plus strictes pour les premières.

Le cœur des obligations repose sur quelques principes : adopter des mesures de gestion des risques proportionnées (sauvegardes, chiffrement, gestion des accès, continuité d’activité), notifier les incidents significatifs aux autorités dans des délais courts, et tenir la direction de l’entreprise responsable de la conformité. NIS2 introduit en effet une responsabilité directe des dirigeants, qui peuvent être tenus pour comptables des manquements. C’est une rupture culturelle pour beaucoup d’organisations habituées à reléguer la sécurité au seul service informatique.

15 000 entités concernées en France, contre 500 sous NIS1

Le changement d’échelle est vertigineux. Sous le régime issu de NIS1 et de la loi de programmation militaire, environ 500 opérateurs d’importance vitale et opérateurs de services essentiels étaient réellement encadrés en France. Avec NIS2, le Sénat évalue à environ 15 000 le nombre d’entités qui basculeront dans le champ de la régulation, qu’elles soient classées « essentielles » ou « importantes ».

Cette multiplication par trente du périmètre touche des acteurs qui n’avaient jamais eu affaire à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). On y trouve des collectivités territoriales, des établissements de santé, des PME industrielles, des fournisseurs de services numériques, des sociétés de transport ou de distribution d’eau. Beaucoup découvrent qu’elles devront s’enregistrer auprès de l’ANSSI, se déclarer dans la bonne catégorie, et se mettre en conformité dans des délais contraints.

Le rapporteur général du texte à l’Assemblée nationale, Éric Bothorel, résumait l’enjeu en commission spéciale en reconnaissant l’ampleur du chantier et le risque de glissement de calendrier : « Alors que la directive aurait dû être transposée avant le 17 octobre 2024, nous ne sommes pas à l’abri de prendre encore un peu plus de temps que prévu. » Cette franchise, près de deux ans après l’échéance européenne, en dit long sur la complexité d’absorber 15 000 nouveaux assujettis dans un cadre cohérent.

Le calendrier du retard : du 17 octobre 2024 à la CJUE

Pour comprendre la saisine, il faut suivre la chronologie d’un dossier qui s’est étiré sur près de quatre ans, depuis la publication de la directive au Journal officiel de l’Union européenne jusqu’au renvoi devant la juridiction de Luxembourg.

DateÉtapePortée
14 décembre 2022Publication de NIS2 au JOUEDirective (UE) 2022/2555 adoptée
16 janvier 2023Entrée en vigueurDébut du délai de transposition de 21 mois
17 octobre 2024Échéance de transpositionDate limite manquée par une majorité d’États
Novembre 2024Mises en demeureLettres de la Commission aux retardataires
Mars 2025Vote du Sénat (France)Adoption en première lecture du projet de loi Résilience
Mai 2025Avis motivés19 États membres mis en demeure d’accélérer
Septembre 2025Commission spéciale AssembléeExamen du texte côté français
9 juin 2026Saisine de la CJUEUne vingtaine d’États renvoyés, dont la France

Ce calendrier montre que le retard n’est pas une négligence ponctuelle mais un enlisement structurel. Entre le vote du Sénat au printemps 2025 et l’été 2026, le texte français n’a pas franchi l’ensemble des étapes parlementaires nécessaires à une promulgation. La navette s’est ralentie au moment précis où Bruxelles haussait le ton.

Quelles sanctions la France risque-t-elle devant la justice européenne ?

La saisine de la CJUE n’entraîne pas de sanction automatique. La Cour examine d’abord si le manquement est avéré. Si elle conclut à un défaut de transposition et que l’État ne se met toujours pas en conformité, la Commission peut, sur le fondement de l’article 260 du traité sur le fonctionnement de l’Union européenne, demander des sanctions financières : une somme forfaitaire, des astreintes journalières, ou les deux.

Dans la pratique européenne, ces montants se chiffrent en millions d’euros et en dizaines de milliers d’euros par jour de retard, calculés selon la gravité, la durée du manquement et la capacité financière de l’État. La France n’en est pas encore là : la transposition de la loi avant l’arrêt de la Cour suffirait à éteindre une grande partie du risque. Mais l’épée de Damoclès budgétaire pèse désormais sur l’agenda parlementaire.

Il faut distinguer deux niveaux de sanction. D’un côté, les pénalités que l’État français peut payer pour son retard de transposition. De l’autre, les amendes que NIS2 prévoit pour les entreprises non conformes une fois la loi en vigueur : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, le montant le plus élevé étant retenu. Ces plafonds rapprochent NIS2 de la logique du RGPD et expliquent l’attention que les directions générales commencent à porter au sujet.

Le projet de loi Résilience bloqué dans la navette parlementaire

En France, la transposition passe par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, souvent appelé projet de loi Résilience. Ce texte transpose en réalité plusieurs directives en même temps, dont NIS2 et la directive REC sur la résilience des entités critiques. Cette ambition de regrouper plusieurs chantiers a sans doute alourdi le parcours législatif.

Le Sénat a adopté le texte en première lecture en mars 2025. L’Assemblée nationale l’a examiné en commission spéciale en septembre 2025. Mais au 11 juin 2026, aucune promulgation définitive n’est intervenue. Entre instabilité politique, encombrement de l’ordre du jour et complexité technique des décrets d’application, le calendrier a glissé bien au-delà des prévisions initiales.

Ce blocage a des conséquences concrètes. Tant que la loi n’est pas promulguée et que ses décrets ne sont pas publiés, les 15 000 entités visées vivent dans une zone grise : elles savent qu’elles seront concernées, sans connaître précisément leur catégorie, leurs délais d’enregistrement, ni le détail des mesures exigées. Cette incertitude pénalise surtout les PME et les collectivités, qui ne disposent pas d’équipes juridiques pour anticiper.

Entités essentielles ou importantes : ce qui change pour chacune

La distinction entre entités essentielles et entités importantes est le pivot opérationnel de NIS2. Elle détermine le niveau de surveillance, les délais et le plafond des sanctions. Le tableau ci-dessous résume les principales différences attendues dans le cadre français.

CritèreEntités essentiellesEntités importantes
Secteurs typesÉnergie, santé, transports, eau, finance, infrastructures numériquesPostes, déchets, agroalimentaire, fabrication, fournisseurs numériques
Taille indicativeGrandes entreprises (250 salariés et plus)Moyennes entreprises (50 salariés et plus)
SupervisionContrôle proactif (audits, inspections)Contrôle réactif (a posteriori)
Plafond des sanctions10 M€ ou 2 % du CA mondial7 M€ ou 1,4 % du CA mondial
Notification d’incidentAlerte précoce sous 24 hAlerte précoce sous 24 h

La règle des 24 heures et 72 heures

NIS2 impose un calendrier de notification en cascade pour les incidents significatifs : une alerte précoce dans les 24 heures, une notification détaillée dans les 72 heures, puis un rapport final dans un délai d’un mois. Ce rythme oblige les organisations à disposer d’une chaîne de détection et de remontée déjà rodée. Pour beaucoup de PME, cela suppose de construire de zéro une capacité de réponse aux incidents.

La responsabilité des dirigeants

NIS2 prévoit que les organes de direction approuvent les mesures de gestion des risques et suivent une formation. En cas de manquement grave, leur responsabilité peut être engagée, jusqu’à une éventuelle interdiction temporaire d’exercer des fonctions dirigeantes pour les entités essentielles. C’est l’un des leviers les plus dissuasifs du texte.

Le ReCyF, nouveau référentiel de l’ANSSI pour préparer NIS2

Sans attendre la promulgation de la loi, l’ANSSI a mis à disposition depuis le 17 mars 2026 le Référentiel Cyber France (ReCyF). Présenté comme un « document de travail », il liste les mesures recommandées pour atteindre les objectifs de sécurité de NIS2 et correspond au référentiel visé par l’article 14 du projet de loi Résilience. C’est une manière, pour l’agence, de donner un cap aux futurs assujettis malgré le flou législatif.

Le ReCyF a une vertu pédagogique : il traduit les exigences abstraites de la directive en mesures concrètes (gouvernance, protection, défense, résilience), articulées par niveau de maturité. Les entreprises qui s’en saisissent dès maintenant prendront de l’avance, même si le texte de loi évolue encore. L’ANSSI joue ici son rôle classique d’autorité technique qui accompagne plutôt qu’elle ne sanctionne, du moins dans la phase de montée en charge.

Le directeur général de l’ANSSI, Vincent Strubel, inscrit explicitement cette démarche dans la continuité de l’effort réglementaire en cours, en rappelant que le relèvement du niveau de sécurité de l’écosystème français et européen passe d’abord « par la voie réglementaire avec la transposition de la directive NIS 2 ». L’agence assume donc le rôle de cheville ouvrière d’une réforme dont le véhicule législatif lui échappe en partie.

La cybermenace en France en 2025 : ce que révèle l’ANSSI

Le retard de transposition se mesure à l’aune d’une menace qui, elle, n’attend pas. Le Panorama de la cybermenace 2025 de l’ANSSI, publié début 2026, dresse un état des lieux précis du paysage français. L’agence a traité 3 586 événements de sécurité en 2025, soit 2 209 signalements et 1 366 incidents avérés.

Indicateur ANSSI 2025ValeurÉvolution ou précision
Événements de sécurité traités3 5862 209 signalements et 1 366 incidents
Compromissions par rançongiciel128contre 141 en 2024 (-9,2 %)
Secteur le plus viséÉducation et recherche34 % des incidents
Administrations et collectivités24 %2e secteur le plus touché
Santé10 %3e secteur le plus touché
Télécommunications9 %4e secteur le plus touché
Victimes de rançongiciels : TPE, PME, ETI48 %cible principale des extorsions

Deux enseignements ressortent. D’abord, le rançongiciel recule légèrement en nombre (128 compromissions contre 141 en 2024), mais reste concentré sur les acteurs les moins armés : les TPE, PME et ETI représentent 48 % des victimes, les collectivités 11 %, les établissements de santé 8 %. Ensuite, les quatre secteurs les plus touchés (éducation-recherche, administrations, santé, télécoms) concentrent 76 % des incidents. Or ce sont précisément les catégories que NIS2 entend mieux protéger. Le retard de transposition laisse donc exposés les maillons les plus fragiles.

Impact pour les entreprises françaises : un choc de conformité

Pour les dizaines de milliers d’organisations qui entrent dans le champ, NIS2 représente un choc de conformité comparable à celui du RGPD en 2018. Les grands groupes, déjà dotés de responsables de la sécurité des systèmes d’information (RSSI) et de programmes de gestion des risques, absorberont la marche plus facilement. Le défi se concentre sur les PME industrielles, les collectivités et les établissements de santé, souvent sous-dotés en ressources cyber.

Concrètement, une entité concernée devra cartographier son système d’information, déployer des mesures de base (authentification multifacteur, sauvegardes hors ligne, chiffrement, gestion des correctifs), formaliser un plan de réponse aux incidents, et désigner un référent. Beaucoup de ces fondamentaux relèvent de l’hygiène numérique élémentaire, mais leur mise en œuvre coûte du temps et de l’argent. Les cabinets de conseil et les prestataires qualifiés par l’ANSSI anticipent une forte demande d’accompagnement dès la promulgation.

Le paradoxe du retard est ici à double tranchant. D’un côté, il offre du répit aux entreprises qui n’ont pas commencé. De l’autre, il crée une incertitude paralysante : faut-il investir maintenant sur la base d’un texte non promulgué, ou attendre les décrets au risque de devoir tout faire dans l’urgence ? Les organisations les plus avisées s’appuient sur le ReCyF et sur les bonnes pratiques européennes pour avancer sans attendre le couperet juridique.

Comparaison européenne : la France n’est pas seule

La France partage le banc des retardataires avec une vingtaine d’États membres renvoyés devant la CJUE en juin 2026, dont l’Espagne et l’Italie. Quelques pays ont en revanche transposé NIS2 rapidement, à l’image de la Belgique, qui a fait figure de bon élève en publiant sa loi dès 2024 et en ouvrant tôt l’enregistrement des entités. L’Allemagne, comme la France, a connu des allers-retours parlementaires qui ont retardé son propre texte.

Cette hétérogénéité crée un problème de fond pour le marché unique numérique. Une entreprise opérant dans plusieurs pays se retrouve face à des obligations qui entrent en vigueur à des dates différentes, avec des autorités nationales aux pratiques distinctes. C’est exactement ce que NIS2 voulait éviter en harmonisant les règles. Pour réduire ce désordre, la Commission a proposé en janvier 2026 un paquet de simplification visant à alléger les obligations de quelque 28 700 entreprises, dont 6 200 micro et petites entreprises, tout en maintenant la pression sur les retardataires.

Le contraste avec d’autres dossiers européens est frappant. Sur la cryptographie post-quantique, par exemple, l’Union avance de façon plus coordonnée, portée par les standards du NIST et de l’ENISA. Sur NIS2, la dynamique reste pilotée par 27 calendriers nationaux, ce qui transforme une directive d’harmonisation en mosaïque de mises en œuvre.

Ce que disent les experts et les autorités

Côté français, les voix officielles assument à la fois l’ambition et le retard. Vincent Strubel, directeur général de l’ANSSI, replace la transposition de NIS2 au centre de la stratégie de relèvement du niveau de sécurité, rappelant qu’elle constitue le premier levier réglementaire de l’écosystème français et européen. L’agence se positionne en accompagnatrice, comme en témoigne la publication anticipée du ReCyF.

Au Parlement, Éric Bothorel, rapporteur général du texte en commission spéciale, n’a pas masqué la difficulté du calendrier : « Alors que la directive aurait dû être transposée avant le 17 octobre 2024, nous ne sommes pas à l’abri de prendre encore un peu plus de temps que prévu. » Une lucidité rare qui souligne la tension entre l’urgence européenne et la réalité de la procédure législative française.

Du côté de Bruxelles, la position de la Commission est constante : une directive non transposée prive les citoyens et les entreprises des protections prévues par le législateur européen, et l’égalité des conditions de concurrence dans le marché intérieur en pâtit. C’est cette logique qui a justifié le passage à l’étape contentieuse. Les juristes spécialisés en droit du numérique rappellent pour leur part qu’un renvoi devant la CJUE accélère presque toujours, en pratique, l’adoption du texte national, l’État cherchant à éviter une condamnation pécuniaire.

Contexte historique : de NIS1 à NIS2

La première directive NIS, adoptée en 2016, fut le premier cadre paneuropéen de cybersécurité. Elle imposait des obligations à un nombre limité d’opérateurs de services essentiels désignés par chaque État, et à quelques fournisseurs de services numériques. Son principal défaut était son hétérogénéité : les États disposaient d’une large marge pour définir qui était concerné, ce qui a produit des périmètres très inégaux d’un pays à l’autre.

NIS2 corrige ce travers par une approche plus mécanique : un critère de taille combiné au secteur d’activité détermine automatiquement l’assujettissement, réduisant le pouvoir d’appréciation national. Le texte renforce aussi les exigences de gestion des risques, harmonise les délais de notification, et muscle les pouvoirs de supervision et de sanction. C’est une montée en gamme à la fois en largeur (plus de secteurs, plus d’entités) et en profondeur (obligations plus précises, sanctions plus lourdes).

Cette trajectoire s’inscrit dans une vague réglementaire européenne plus vaste, aux côtés du règlement DORA pour la finance, de la directive REC sur les entités critiques, et du Cyber Resilience Act pour les produits numériques. Ensemble, ces textes dessinent un écosystème où la cybersécurité devient une obligation légale opposable, et non plus une simple bonne pratique. Pour bien situer ces enjeux, il est utile de revenir sur la manière dont les violations de données surviennent et sur le rôle des protocoles HTTPS et TLS dans la protection des échanges.

Cinq prédictions pour la cybersécurité réglementaire européenne

À partir de l’état actuel du dossier, cinq évolutions paraissent probables dans les douze à vingt-quatre prochains mois.

  • Promulgation accélérée du texte français. La saisine de la CJUE devrait pousser le gouvernement à inscrire le projet de loi Résilience en priorité, avec une adoption attendue avant la fin 2026 pour éviter toute astreinte financière.
  • Vague d’enregistrements auprès de l’ANSSI. Dès la publication des décrets, des milliers d’entités devront se déclarer, créant un goulet d’étranglement administratif que l’agence devra absorber en quelques mois.
  • Explosion du marché de la conformité. Audit, conseil, formation des dirigeants et solutions de notification d’incidents connaîtront une forte demande, sur le modèle du marché né du RGPD.
  • Premiers contentieux entreprises d’ici 2027. Les premières mises en demeure et sanctions contre des entités non conformes apparaîtront une fois les délais de mise en œuvre écoulés, probablement sur des cas emblématiques.
  • Pression continue de Bruxelles. La Commission maintiendra sa stratégie d’infraction sur les autres directives cyber (REC, Cyber Resilience Act), faisant de la conformité réglementaire un sujet permanent pour les directions générales.

NIS2 France : ce qu’il faut retenir

Le renvoi de la France devant la CJUE le 9 juin 2026 n’est pas qu’une péripétie procédurale. Il met en lumière un décalage entre l’ambition affichée par Paris en matière de cybersécurité et la lenteur de sa traduction législative. La directive NIS2 fera passer le périmètre régulé de 500 à 15 000 entités, avec des obligations contraignantes et des sanctions pouvant atteindre 10 millions d’euros. Pour les entreprises et les collectivités françaises, l’incertitude actuelle ne doit pas servir d’excuse à l’inaction : la menace, elle, n’attend pas, comme le rappellent les 1 366 incidents traités par l’ANSSI en 2025. S’appuyer dès aujourd’hui sur le ReCyF et sur les fondamentaux de l’hygiène numérique reste la meilleure façon de transformer une contrainte réglementaire en avantage de résilience.

Questions fréquentes sur NIS2 en France

Qu’est-ce que la directive NIS2 ?

NIS2 est la directive européenne (UE) 2022/2555 sur la sécurité des réseaux et des systèmes d’information. Elle remplace la première directive NIS de 2016, couvre 18 secteurs et impose aux entités concernées des mesures de gestion des risques cyber, des notifications d’incidents et une responsabilisation des dirigeants.

Pourquoi la France a-t-elle été renvoyée devant la CJUE ?

Parce qu’elle n’a pas transposé NIS2 dans son droit national avant la date limite du 17 octobre 2024. Après une mise en demeure et un avis motivé en mai 2025, la Commission européenne a saisi la Cour de justice de l’Union européenne le 9 juin 2026, aux côtés d’une vingtaine d’autres États membres.

Combien d’entités sont concernées par NIS2 en France ?

Le Sénat évalue à environ 15 000 le nombre d’entités qui basculeront dans le champ de NIS2, contre environ 500 opérateurs sous le régime issu de NIS1 et de la loi de programmation militaire. Cela inclut des collectivités, des PME, des établissements de santé et de nombreux fournisseurs de services.

Quelles sanctions risquent les entreprises non conformes ?

Pour les entités essentielles, NIS2 prévoit des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est plus bas. Les dirigeants peuvent aussi voir leur responsabilité engagée.

Quand la loi française de transposition entrera-t-elle en vigueur ?

Au 11 juin 2026, le projet de loi Résilience a été adopté en première lecture au Sénat en mars 2025 et examiné en commission spéciale à l’Assemblée nationale en septembre 2025, mais il n’est pas encore promulgué. La saisine de la CJUE devrait accélérer son adoption, attendue d’ici la fin 2026.

Comment se préparer à NIS2 dès maintenant ?

Les organisations peuvent s’appuyer sur le Référentiel Cyber France (ReCyF) publié par l’ANSSI depuis le 17 mars 2026. Les premières étapes consistent à cartographier son système d’information, déployer l’authentification multifacteur et des sauvegardes, formaliser un plan de réponse aux incidents et sensibiliser la direction.

Quelle différence entre NIS1 et NIS2 ?

NIS1 ciblait un nombre limité d’opérateurs désignés par chaque État, avec de fortes disparités. NIS2 élargit le champ à 18 secteurs, applique un critère automatique de taille et de secteur, renforce les obligations de gestion des risques, harmonise les délais de notification et alourdit les sanctions.

NIS2 protège-t-elle aussi contre les rançongiciels ?

Indirectement, oui. En imposant des mesures de base comme les sauvegardes, le chiffrement et la gestion des accès, NIS2 réduit la surface d’attaque exploitée par les rançongiciels. En 2025, l’ANSSI a recensé 128 compromissions par rançongiciel, dont 48 % visaient des TPE, PME et ETI, précisément les acteurs que NIS2 entend mieux armer.

Sources et références