Le 30 juin 2026, des milliers d’entreprises europ\u00e9ennes devaient avoir r\u00e9alis\u00e9 leur premier audit de conformit\u00e9 NIS2. En France, ce d\u00e9lai arrive alors que la transposition l\u00e9gislative n’est toujours pas achev\u00e9e, pla\u00e7ant le pays dans une position inconfortable : renvoy\u00e9e devant la Cour de justice de l’Union europ\u00e9enne pour retard, la France demande \u00e0 10 000 entit\u00e9s de se conformer \u00e0 une loi qui n’existe pas encore formellement dans le droit national. Cette contradiction est au coeur d’une crise r\u00e9glementaire qui touche l’ensemble du tissu \u00e9conomique fran\u00e7ais.<\/p>\n\n\n\n
La directive NIS2 (Network and Information Security 2) est entr\u00e9e en vigueur au niveau europ\u00e9en en janvier 2023. Les \u00c9tats membres avaient jusqu’au 17 octobre 2024 pour la transposer. R\u00e9sultat en juin 2026 : 20 des 27 \u00c9tats membres ont achev\u00e9 leur transposition. La France fait partie des retardataires renvoy\u00e9s devant la CJUE, aux c\u00f4t\u00e9s de l’Espagne, des Pays-Bas, de la Pologne et de la Bulgarie.<\/p>\n\n\n\n
Le 28 novembre 2024, la Commission europ\u00e9enne ouvrait des proc\u00e9dures d’infraction contre 23 \u00c9tats membres pour d\u00e9faut de transposition de NIS2. Le 7 mai 2025, 19 d’entre eux recevaient des avis motiv\u00e9s, derni\u00e8re \u00e9tape avant le renvoi judiciaire. En 2026, la Commission a franchi ce pas pour les cas les plus lents, dont la France et l’Espagne, qui rejoignent ainsi la liste des \u00c9tats poursuivis devant la Cour de justice de l’UE.<\/p>\n\n\n\n
Cette situation place les entreprises fran\u00e7aises dans un vide juridique paradoxal. L’ANSSI (Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information) pousse les entit\u00e9s concern\u00e9es \u00e0 s’enregistrer via son portail “Mon Espace NIS2”, mais sans cadre l\u00e9gal national finalis\u00e9, les obligations formelles restent floues. Vincent Strubel, directeur g\u00e9n\u00e9ral de l’ANSSI, l’a formul\u00e9 sans ambigu\u00eft\u00e9 lors du Forum InCyber en mars 2026 : “La transposition prend du temps, mais les cybermenaces, elles, n’attendent pas. Les entit\u00e9s qui anticipent aujourd’hui seront celles qui r\u00e9sisteront demain.”<\/strong><\/p>\n\n\n\n Pendant ce temps, le Luxembourg a adopt\u00e9 sa loi NIS2 le 5 mai 2026, avec une entr\u00e9e en vigueur le 10 mai 2026 et une obligation d’auto-enregistrement fix\u00e9e au 10 juillet 2026. La Belgique, l’Italie, la Gr\u00e8ce, la Hongrie, Malte et la Slovaquie avaient d\u00e9j\u00e0 finalis\u00e9 leur transposition d\u00e8s 2024. L’Allemagne, apr\u00e8s plusieurs mois de d\u00e9lai, a elle aussi adopt\u00e9 sa loi nationale en 2025. La France reste donc parmi les quelques pays qui n’ont toujours pas traduit NIS2 en droit positif national.<\/p>\n\n\n\n La directive NIS2 repr\u00e9sente la r\u00e9vision la plus ambitieuse du droit europ\u00e9en de la cybers\u00e9curit\u00e9 depuis la directive NIS1 de 2016. Elle fixe un cadre commun pour 160 000 organisations \u00e0 travers l’Union europ\u00e9enne, couvrant d\u00e9sormais 18 secteurs critiques contre seulement 6 sous NIS1. En France, ce changement de p\u00e9rim\u00e8tre fait passer le nombre d’entit\u00e9s r\u00e9gul\u00e9es d’environ 500 sous NIS1 \u00e0 entre 10 000 et 15 000 sous NIS2.<\/p>\n\n\n\n Le texte introduit deux cat\u00e9gories d’entit\u00e9s. Les entit\u00e9s essentielles (EE) regroupent les organisations dont l’effectif d\u00e9passe 250 \u00e9quivalents temps plein ou dont le chiffre d’affaires exc\u00e8de 50 millions d’euros, op\u00e9rant dans les secteurs les plus critiques : \u00e9nergie, transports, sant\u00e9, eau, infrastructures num\u00e9riques. Les entit\u00e9s importantes (EI) couvrent les structures d’au moins 50 salari\u00e9s ou 10 millions d’euros de revenu, dans des secteurs dits “hautement critiques” \u00e9largis comme les services postaux, la gestion des d\u00e9chets ou la fabrication de produits critiques.<\/p>\n\n\n\n Le 20 janvier 2026, la Commission europ\u00e9enne a propos\u00e9 des amendements cibl\u00e9s \u00e0 NIS2 pour clarifier certaines obligations et simplifier la mise en conformit\u00e9. Ces modifications visent \u00e0 all\u00e9ger la charge pour 28 700 entreprises, dont 6 200 micro et petites entreprises qui avaient exprim\u00e9 des difficult\u00e9s \u00e0 interpr\u00e9ter certaines exigences techniques.<\/p>\n\n\n\n La France a choisi une approche l\u00e9gislative originale : plut\u00f4t que de transposer NIS2 seule, elle a regroup\u00e9 trois textes europ\u00e9ens dans un projet de loi unique, le “Projet de loi R\u00e9silience des infrastructures critiques et renforcement de la cybers\u00e9curit\u00e9”, commun\u00e9ment appel\u00e9 “Loi R\u00e9silience”. Ce texte transpose simultan\u00e9ment la directive NIS2, la directive CER (Critical Entities Resilience, relative aux entit\u00e9s critiques) et DORA (Digital Operational Resilience Act, pour le secteur financier).<\/p>\n\n\n\n Le projet de loi a \u00e9t\u00e9 soumis au S\u00e9nat en octobre 2024, dans le cadre d’une proc\u00e9dure acc\u00e9l\u00e9r\u00e9e. Apr\u00e8s son examen s\u00e9natorial, le texte a \u00e9t\u00e9 renvoy\u00e9 \u00e0 l’Assembl\u00e9e nationale. Une session pl\u00e9ni\u00e8re \u00e9tait attendue en janvier 2026, mais les d\u00e9lais ont gliss\u00e9. Au 22 juin 2026, la loi n’est toujours pas adopt\u00e9e. Une adoption finale est d\u00e9sormais vis\u00e9e pour l’\u00e9t\u00e9 2026, mais sans date officielle arr\u00eat\u00e9e par le gouvernement.<\/p>\n\n\n\n Henna Virkkunen, vice-pr\u00e9sidente ex\u00e9cutive de la Commission europ\u00e9enne en charge de la souverainet\u00e9 technologique, l’a rappel\u00e9 sans d\u00e9tour en janvier 2026 : “Les \u00c9tats membres qui tardent \u00e0 transposer NIS2 ne fragilisent pas seulement leur propre \u00e9conomie. Ils affaiblissent l’ensemble du march\u00e9 int\u00e9rieur num\u00e9rique, car la cybers\u00e9curit\u00e9 europ\u00e9enne est aussi solide que son maillon le plus faible.”<\/strong><\/p>\n\n\n\n Le p\u00e9rim\u00e8tre fran\u00e7ais d\u00e9passe celui de la directive europ\u00e9enne minimale sur plusieurs points. L’extension aux collectivit\u00e9s locales constitue l’un des ajouts les plus structurants : tous les d\u00e9partements, les communes de plus de 30 000 habitants et les collectivit\u00e9s d’outre-mer entrent dans le champ d’application. Les \u00e9tablissements d’enseignement sup\u00e9rieur qui conduisent des activit\u00e9s de recherche sont \u00e9galement inclus, une sp\u00e9cificit\u00e9 fran\u00e7aise absente du texte europ\u00e9en d’origine.<\/p>\n\n\n\n Pour les entreprises, la classification repose sur deux crit\u00e8res : la taille (effectif et chiffre d’affaires) et le secteur d’activit\u00e9. Certains secteurs sont qualifi\u00e9s “sans seuil de taille”, ce qui signifie que m\u00eame les petites entit\u00e9s y op\u00e9rant sont soumises \u00e0 NIS2 : c’est le cas des fournisseurs de r\u00e9seaux de communications \u00e9lectroniques, des registres de noms de domaine de premier niveau (TLD) et des prestataires de services DNS.<\/p>\n\n\n\n L’ANSSI a mis en place un portail de pr\u00e9-enregistrement accessible sur cyber.gouv.fr, qui permet aux entit\u00e9s concern\u00e9es d’identifier leur statut et d’amorcer leur d\u00e9marche de conformit\u00e9 bien avant que la loi nationale ne soit adopt\u00e9e. L’agence a \u00e9galement publi\u00e9 le 17 mars 2026 le R\u00e9f\u00e9rentiel Cyber France (ReCyF), un document op\u00e9rationnel qui traduit les exigences de NIS2 en mesures concr\u00e8tes et auditables.<\/p>\n\n\n\n L’article 21 de NIS2 constitue le coeur des obligations op\u00e9rationnelles. Il impose aux entit\u00e9s r\u00e9gul\u00e9es de mettre en oeuvre au minimum dix mesures de gestion des risques selon une approche “tous risques” (all-hazards), proportionn\u00e9es \u00e0 la taille de l’organisation et \u00e0 son exposition aux menaces.<\/p>\n\n\n\n La mise en conformit\u00e9 avec ces dix points repr\u00e9sente un chantier d’envergure pour la majorit\u00e9 des entit\u00e9s nouvellement r\u00e9gul\u00e9es. Des prestataires de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s (MSSP) fran\u00e7ais ont enregistr\u00e9 une hausse de 40 \u00e0 60% des demandes d’accompagnement NIS2 depuis le d\u00e9but de l’ann\u00e9e 2026, selon les donn\u00e9es sectorielles disponibles.<\/p>\n\n\n\n L’article 23 de NIS2 impose un r\u00e9gime de notification des incidents significatifs en trois \u00e9tapes, avec des d\u00e9lais stricts non n\u00e9gociables. Un incident est qualifi\u00e9 de “significatif” s’il provoque une interruption de service importante, s’il implique une violation de donn\u00e9es \u00e0 caract\u00e8re personnel, ou s’il entra\u00eene une perte financi\u00e8re directe sup\u00e9rieure \u00e0 500 000 euros pour les fournisseurs de services num\u00e9riques, selon le r\u00e8glement d’ex\u00e9cution NIS2 du 17 octobre 2024.<\/p>\n\n\n\n Le s\u00e9quencement est le suivant. Une alerte pr\u00e9coce doit parvenir \u00e0 l’ANSSI ou au CSIRT national dans les 24 heures suivant la prise de conscience de l’incident. Cette notification initiale peut \u00eatre sommaire mais doit mentionner la nature pr\u00e9sum\u00e9e de l’incident et son impact transfrontalier \u00e9ventuel. Dans les 72 heures, une notification d\u00e9taill\u00e9e est attendue avec une \u00e9valuation de la gravit\u00e9, des indicateurs de compromission et une estimation de l’impact. Le rapport final, comprenant une analyse des causes racines et les mesures correctives adopt\u00e9es, doit \u00eatre transmis dans un d\u00e9lai d’un mois.<\/p>\n\n\n\n Pour les prestataires de cloud et les MSP, le r\u00e8glement d’ex\u00e9cution du 17 octobre 2024 pr\u00e9cise des seuils automatiques : une indisponibilit\u00e9 compl\u00e8te de service sup\u00e9rieure \u00e0 30 minutes constitue syst\u00e9matiquement un incident significatif \u00e0 notifier. Le non-respect de ces d\u00e9lais peut d\u00e9clencher des sanctions d\u00e8s la premi\u00e8re infraction, ind\u00e9pendamment de toute autre manquement aux obligations de s\u00e9curit\u00e9.<\/p>\n\n\n\n NIS2 introduit un r\u00e9gime de sanctions comparable au RGPD en termes d’amplitude. Pour les entit\u00e9s essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu. Pour les entit\u00e9s importantes, le plafond est fix\u00e9 \u00e0 7 millions d’euros ou 1,4% du chiffre d’affaires mondial.<\/p>\n\n\n\n Ces plafonds repr\u00e9sentent un saut consid\u00e9rable par rapport \u00e0 l’ancien r\u00e9gime fran\u00e7ais. Sous le cadre des Op\u00e9rateurs d’importance vitale (OIV), l’ANSSI ne pouvait infliger que des sanctions financi\u00e8res limit\u00e9es \u00e0 125 000 euros pour les infractions aux r\u00e8gles de s\u00e9curit\u00e9 ou les obstacles aux contr\u00f4les de supervision. NIS2 multiplie donc par 80 ce plafond pour les entit\u00e9s essentielles.<\/p>\n\n\n\n Au-del\u00e0 des amendes, NIS2 innove en mati\u00e8re de responsabilit\u00e9 personnelle. Les organes de direction (conseils d’administration, directeurs g\u00e9n\u00e9raux) peuvent \u00eatre personnellement tenus responsables des manquements \u00e0 la cybers\u00e9curit\u00e9. Dans les cas les plus graves, une interdiction temporaire d’exercer des fonctions dirigeantes est pr\u00e9vue. Cette disposition vise \u00e0 ancrer la cybers\u00e9curit\u00e9 au niveau des instances de gouvernance, et non plus seulement dans les directions informatiques.<\/p>\n\n\n\n Pour les entit\u00e9s publiques (collectivit\u00e9s, \u00e9tablissements publics), les amendes p\u00e9cuniaires ne s’appliquent pas, mais les mesures contraignantes comme les injonctions de mise en conformit\u00e9 et les astreintes journali\u00e8res restent pleinement mobilisables par l’ANSSI.<\/p>\n\n\n\n La comparaison entre les deux g\u00e9n\u00e9rations de la directive illustre l’ampleur du changement r\u00e9glementaire que les entreprises fran\u00e7aises doivent int\u00e9grer. NIS1, adopt\u00e9e en 2016, posait des bases minimalistes ciblant un p\u00e9rim\u00e8tre tr\u00e8s restreint. NIS2, entr\u00e9e en vigueur en janvier 2023, repr\u00e9sente une refonte compl\u00e8te du mod\u00e8le de gouvernance cyber europ\u00e9en.<\/p>\n\n\n\nNIS2 en chiffres : l’ampleur de la directive<\/h2>\n\n\n\n
La “Loi R\u00e9silience” : trois directives europ\u00e9ennes en un seul texte<\/h2>\n\n\n\n
Qui est concern\u00e9 par NIS2 en France<\/h2>\n\n\n\n
Les 10 mesures de cybers\u00e9curit\u00e9 impos\u00e9es par l’article 21<\/h2>\n\n\n\n
\n
Notification des incidents : 24 heures, 72 heures, un mois<\/h2>\n\n\n\n
Les sanctions NIS2 : jusqu’\u00e0 10 millions d’euros ou 2 % du chiffre d’affaires mondial<\/h2>\n\n\n\n
NIS1 vs NIS2 : une transformation radicale du cadre r\u00e9glementaire<\/h2>\n\n\n\n