{"id":54,"date":"2026-06-11T04:29:25","date_gmt":"2026-06-11T04:29:25","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/11\/nis2-france-cjue-2026\/"},"modified":"2026-06-11T04:29:25","modified_gmt":"2026-06-11T04:29:25","slug":"nis2-france-cjue-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/11\/nis2-france-cjue-2026\/","title":{"rendered":"NIS2 France : 15 000 entit\u00e9s, la CJUE saisie [2026]"},"content":{"rendered":"\n

Le 9 juin 2026, la Commission europ\u00e9enne a renvoy\u00e9 la France devant la Cour de justice de l’Union europ\u00e9enne (CJUE) pour ne pas avoir transpos\u00e9 \u00e0 temps la directive NIS2<\/strong>. Pr\u00e8s de vingt mois apr\u00e8s l’\u00e9ch\u00e9ance du 17 octobre 2024, Paris reste sans loi d\u00e9finitive, alors que la directive doit faire passer le p\u00e9rim\u00e8tre de la cybers\u00e9curit\u00e9 r\u00e9glement\u00e9e d’environ 500 op\u00e9rateurs critiques \u00e0 pr\u00e8s de 15 000 entit\u00e9s. La France n’est pas seule sur le banc des accus\u00e9s, mais le dossier illustre un grand \u00e9cart : celui d’un pays qui se pr\u00e9sente comme une puissance cyber en Europe et qui figure pourtant parmi les retardataires du chantier r\u00e9glementaire le plus structurant de la d\u00e9cennie.<\/p>\n\n\n\n

Voici une analyse d\u00e9taill\u00e9e de la proc\u00e9dure, du contenu de la directive NIS2 France<\/strong>, des sanctions encourues, de l’\u00e9tat du projet de loi R\u00e9silience, et de ce que ce retard signifie concr\u00e8tement pour des dizaines de milliers d’entreprises et de collectivit\u00e9s fran\u00e7aises.<\/p>\n\n\n\n

NIS2 France : pourquoi la Commission europ\u00e9enne a saisi la CJUE<\/h2>\n\n\n\n

La saisine de la Cour de justice est l’\u00e9tape ultime d’une proc\u00e9dure d’infraction qui couvait depuis plus d’un an. La directive NIS2 (directive (UE) 2022\/2555) fixait au 17 octobre 2024 la date limite \u00e0 laquelle chaque \u00c9tat membre devait avoir int\u00e9gr\u00e9 ses r\u00e8gles dans son droit national. \u00c0 cette date, une large majorit\u00e9 des Vingt-Sept n’avait pas termin\u00e9 le travail. La Commission a ouvert d\u00e8s novembre 2024 des proc\u00e9dures de mise en demeure, puis adress\u00e9 en mai 2025 des avis motiv\u00e9s \u00e0 19 \u00c9tats membres, parmi lesquels la France.<\/p>\n\n\n\n

En juin 2026, faute de transposition compl\u00e8te, la Commission est pass\u00e9e \u00e0 la vitesse sup\u00e9rieure en renvoyant une vingtaine d’\u00c9tats membres devant la CJUE, dont la France, l’Espagne et l’Italie. Le message de Bruxelles est politique autant que juridique : la cybers\u00e9curit\u00e9 du march\u00e9 int\u00e9rieur ne peut pas reposer sur un patchwork de r\u00e8gles nationales appliqu\u00e9es \u00e0 des rythmes diff\u00e9rents. Chaque mois de retard laisse des secteurs entiers (\u00e9nergie, sant\u00e9, transports, administrations) sous le r\u00e9gime ancien, moins exigeant en mati\u00e8re de gestion des risques et de notification des incidents.<\/p>\n\n\n\n

Pour la France, la saisine intervient \u00e0 un moment paradoxal. Le pays a publi\u00e9 fin janvier 2026 sa Strat\u00e9gie nationale de cybers\u00e9curit\u00e9 2026-2030, dont le premier pilier est le d\u00e9veloppement des talents et qui revendique \u00ab l’autonomie de jugement et la libert\u00e9 d’action dans le cyberespace \u00bb. Difficile, dans ce contexte, d’expliquer pourquoi la brique r\u00e9glementaire europ\u00e9enne, elle, accuse un tel retard.<\/p>\n\n\n\n

Ce que dit la directive NIS2 (directive 2022\/2555)<\/h2>\n\n\n\n

La directive NIS2<\/strong> remplace la premi\u00e8re directive NIS de 2016. Son ambition tient en une phrase : \u00e9lever et harmoniser le niveau de cybers\u00e9curit\u00e9 dans toute l’Union, en passant d’une logique de protection de quelques infrastructures critiques \u00e0 une logique de r\u00e9silience appliqu\u00e9e \u00e0 un tissu beaucoup plus large d’organisations. Le texte couvre 18 secteurs jug\u00e9s sensibles, contre 7 secteurs essentiels et quelques services num\u00e9riques sous NIS1.<\/p>\n\n\n\n

Parmi les nouveaux secteurs entrant dans le champ figurent les communications \u00e9lectroniques publiques, les r\u00e9seaux sociaux, la gestion des eaux us\u00e9es et des d\u00e9chets, la fabrication de produits critiques, les services postaux et de messagerie, l’administration publique et le spatial. La directive distingue deux statuts, les \u00ab entit\u00e9s essentielles \u00bb et les \u00ab entit\u00e9s importantes \u00bb, avec des obligations de supervision et de notification plus strictes pour les premi\u00e8res.<\/p>\n\n\n\n

Le c\u0153ur des obligations repose sur quelques principes : adopter des mesures de gestion des risques proportionn\u00e9es (sauvegardes, chiffrement, gestion des acc\u00e8s, continuit\u00e9 d’activit\u00e9), notifier les incidents significatifs aux autorit\u00e9s dans des d\u00e9lais courts, et tenir la direction de l’entreprise responsable de la conformit\u00e9. NIS2 introduit en effet une responsabilit\u00e9 directe des dirigeants, qui peuvent \u00eatre tenus pour comptables des manquements. C’est une rupture culturelle pour beaucoup d’organisations habitu\u00e9es \u00e0 rel\u00e9guer la s\u00e9curit\u00e9 au seul service informatique.<\/p>\n\n\n\n

15 000 entit\u00e9s concern\u00e9es en France, contre 500 sous NIS1<\/h2>\n\n\n\n

Le changement d’\u00e9chelle est vertigineux. Sous le r\u00e9gime issu de NIS1 et de la loi de programmation militaire, environ 500 op\u00e9rateurs d’importance vitale et op\u00e9rateurs de services essentiels \u00e9taient r\u00e9ellement encadr\u00e9s en France. Avec NIS2, le S\u00e9nat \u00e9value \u00e0 environ 15 000 le nombre d’entit\u00e9s qui basculeront dans le champ de la r\u00e9gulation, qu’elles soient class\u00e9es \u00ab essentielles \u00bb ou \u00ab importantes \u00bb.<\/p>\n\n\n\n

Cette multiplication par trente du p\u00e9rim\u00e8tre touche des acteurs qui n’avaient jamais eu affaire \u00e0 l’Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (ANSSI). On y trouve des collectivit\u00e9s territoriales, des \u00e9tablissements de sant\u00e9, des PME industrielles, des fournisseurs de services num\u00e9riques, des soci\u00e9t\u00e9s de transport ou de distribution d’eau. Beaucoup d\u00e9couvrent qu’elles devront s’enregistrer aupr\u00e8s de l’ANSSI, se d\u00e9clarer dans la bonne cat\u00e9gorie, et se mettre en conformit\u00e9 dans des d\u00e9lais contraints.<\/p>\n\n\n\n

Le rapporteur g\u00e9n\u00e9ral du texte \u00e0 l’Assembl\u00e9e nationale, \u00c9ric Bothorel, r\u00e9sumait l’enjeu en commission sp\u00e9ciale en reconnaissant l’ampleur du chantier et le risque de glissement de calendrier : \u00ab Alors que la directive aurait d\u00fb \u00eatre transpos\u00e9e avant le 17 octobre 2024, nous ne sommes pas \u00e0 l’abri de prendre encore un peu plus de temps que pr\u00e9vu. \u00bb Cette franchise, pr\u00e8s de deux ans apr\u00e8s l’\u00e9ch\u00e9ance europ\u00e9enne, en dit long sur la complexit\u00e9 d’absorber 15 000 nouveaux assujettis dans un cadre coh\u00e9rent.<\/p>\n\n\n\n

Le calendrier du retard : du 17 octobre 2024 \u00e0 la CJUE<\/h2>\n\n\n\n

Pour comprendre la saisine, il faut suivre la chronologie d’un dossier qui s’est \u00e9tir\u00e9 sur pr\u00e8s de quatre ans, depuis la publication de la directive au Journal officiel de l’Union europ\u00e9enne jusqu’au renvoi devant la juridiction de Luxembourg.<\/p>\n\n\n\n

\n
Date<\/th>\u00c9tape<\/th>Port\u00e9e<\/th><\/tr><\/thead>
14 d\u00e9cembre 2022<\/td>Publication de NIS2 au JOUE<\/td>Directive (UE) 2022\/2555 adopt\u00e9e<\/td><\/tr>\n
16 janvier 2023<\/td>Entr\u00e9e en vigueur<\/td>D\u00e9but du d\u00e9lai de transposition de 21 mois<\/td><\/tr>\n
17 octobre 2024<\/td>\u00c9ch\u00e9ance de transposition<\/td>Date limite manqu\u00e9e par une majorit\u00e9 d’\u00c9tats<\/td><\/tr>\n
Novembre 2024<\/td>Mises en demeure<\/td>Lettres de la Commission aux retardataires<\/td><\/tr>\n
Mars 2025<\/td>Vote du S\u00e9nat (France)<\/td>Adoption en premi\u00e8re lecture du projet de loi R\u00e9silience<\/td><\/tr>\n
Mai 2025<\/td>Avis motiv\u00e9s<\/td>19 \u00c9tats membres mis en demeure d’acc\u00e9l\u00e9rer<\/td><\/tr>\n
Septembre 2025<\/td>Commission sp\u00e9ciale Assembl\u00e9e<\/td>Examen du texte c\u00f4t\u00e9 fran\u00e7ais<\/td><\/tr>\n
9 juin 2026<\/td>Saisine de la CJUE<\/td>Une vingtaine d’\u00c9tats renvoy\u00e9s, dont la France<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Ce calendrier montre que le retard n’est pas une n\u00e9gligence ponctuelle mais un enlisement structurel. Entre le vote du S\u00e9nat au printemps 2025 et l’\u00e9t\u00e9 2026, le texte fran\u00e7ais n’a pas franchi l’ensemble des \u00e9tapes parlementaires n\u00e9cessaires \u00e0 une promulgation. La navette s’est ralentie au moment pr\u00e9cis o\u00f9 Bruxelles haussait le ton.<\/p>\n\n\n\n

Quelles sanctions la France risque-t-elle devant la justice europ\u00e9enne ?<\/h2>\n\n\n\n

La saisine de la CJUE n’entra\u00eene pas de sanction automatique. La Cour examine d’abord si le manquement est av\u00e9r\u00e9. Si elle conclut \u00e0 un d\u00e9faut de transposition et que l’\u00c9tat ne se met toujours pas en conformit\u00e9, la Commission peut, sur le fondement de l’article 260 du trait\u00e9 sur le fonctionnement de l’Union europ\u00e9enne, demander des sanctions financi\u00e8res : une somme forfaitaire, des astreintes journali\u00e8res, ou les deux.<\/p>\n\n\n\n

Dans la pratique europ\u00e9enne, ces montants se chiffrent en millions d’euros et en dizaines de milliers d’euros par jour de retard, calcul\u00e9s selon la gravit\u00e9, la dur\u00e9e du manquement et la capacit\u00e9 financi\u00e8re de l’\u00c9tat. La France n’en est pas encore l\u00e0 : la transposition de la loi avant l’arr\u00eat de la Cour suffirait \u00e0 \u00e9teindre une grande partie du risque. Mais l’\u00e9p\u00e9e de Damocl\u00e8s budg\u00e9taire p\u00e8se d\u00e9sormais sur l’agenda parlementaire.<\/p>\n\n\n\n

Il faut distinguer deux niveaux de sanction. D’un c\u00f4t\u00e9, les p\u00e9nalit\u00e9s que l’\u00c9tat fran\u00e7ais peut payer pour son retard de transposition. De l’autre, les amendes que NIS2 pr\u00e9voit pour les entreprises non conformes une fois la loi en vigueur : jusqu’\u00e0 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entit\u00e9s essentielles, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu. Ces plafonds rapprochent NIS2 de la logique du RGPD et expliquent l’attention que les directions g\u00e9n\u00e9rales commencent \u00e0 porter au sujet.<\/p>\n\n\n\n

Le projet de loi R\u00e9silience bloqu\u00e9 dans la navette parlementaire<\/h2>\n\n\n\n

En France, la transposition passe par le projet de loi relatif \u00e0 la r\u00e9silience des infrastructures critiques et au renforcement de la cybers\u00e9curit\u00e9, souvent appel\u00e9 projet de loi R\u00e9silience. Ce texte transpose en r\u00e9alit\u00e9 plusieurs directives en m\u00eame temps, dont NIS2 et la directive REC sur la r\u00e9silience des entit\u00e9s critiques. Cette ambition de regrouper plusieurs chantiers a sans doute alourdi le parcours l\u00e9gislatif.<\/p>\n\n\n\n

Le S\u00e9nat a adopt\u00e9 le texte en premi\u00e8re lecture en mars 2025. L’Assembl\u00e9e nationale l’a examin\u00e9 en commission sp\u00e9ciale en septembre 2025. Mais au 11 juin 2026, aucune promulgation d\u00e9finitive n’est intervenue. Entre instabilit\u00e9 politique, encombrement de l’ordre du jour et complexit\u00e9 technique des d\u00e9crets d’application, le calendrier a gliss\u00e9 bien au-del\u00e0 des pr\u00e9visions initiales.<\/p>\n\n\n\n

Ce blocage a des cons\u00e9quences concr\u00e8tes. Tant que la loi n’est pas promulgu\u00e9e et que ses d\u00e9crets ne sont pas publi\u00e9s, les 15 000 entit\u00e9s vis\u00e9es vivent dans une zone grise : elles savent qu’elles seront concern\u00e9es, sans conna\u00eetre pr\u00e9cis\u00e9ment leur cat\u00e9gorie, leurs d\u00e9lais d’enregistrement, ni le d\u00e9tail des mesures exig\u00e9es. Cette incertitude p\u00e9nalise surtout les PME et les collectivit\u00e9s, qui ne disposent pas d’\u00e9quipes juridiques pour anticiper.<\/p>\n\n\n\n

Entit\u00e9s essentielles ou importantes : ce qui change pour chacune<\/h2>\n\n\n\n

La distinction entre entit\u00e9s essentielles et entit\u00e9s importantes est le pivot op\u00e9rationnel de NIS2. Elle d\u00e9termine le niveau de surveillance, les d\u00e9lais et le plafond des sanctions. Le tableau ci-dessous r\u00e9sume les principales diff\u00e9rences attendues dans le cadre fran\u00e7ais.<\/p>\n\n\n\n

\n
Crit\u00e8re<\/th>Entit\u00e9s essentielles<\/th>Entit\u00e9s importantes<\/th><\/tr><\/thead>
Secteurs types<\/td>\u00c9nergie, sant\u00e9, transports, eau, finance, infrastructures num\u00e9riques<\/td>Postes, d\u00e9chets, agroalimentaire, fabrication, fournisseurs num\u00e9riques<\/td><\/tr>\n
Taille indicative<\/td>Grandes entreprises (250 salari\u00e9s et plus)<\/td>Moyennes entreprises (50 salari\u00e9s et plus)<\/td><\/tr>\n
Supervision<\/td>Contr\u00f4le proactif (audits, inspections)<\/td>Contr\u00f4le r\u00e9actif (a posteriori)<\/td><\/tr>\n
Plafond des sanctions<\/td>10 M\u20ac ou 2 % du CA mondial<\/td>7 M\u20ac ou 1,4 % du CA mondial<\/td><\/tr>\n
Notification d’incident<\/td>Alerte pr\u00e9coce sous 24 h<\/td>Alerte pr\u00e9coce sous 24 h<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

La r\u00e8gle des 24 heures et 72 heures<\/h3>\n\n\n\n

NIS2 impose un calendrier de notification en cascade pour les incidents significatifs : une alerte pr\u00e9coce dans les 24 heures, une notification d\u00e9taill\u00e9e dans les 72 heures, puis un rapport final dans un d\u00e9lai d’un mois. Ce rythme oblige les organisations \u00e0 disposer d’une cha\u00eene de d\u00e9tection et de remont\u00e9e d\u00e9j\u00e0 rod\u00e9e. Pour beaucoup de PME, cela suppose de construire de z\u00e9ro une capacit\u00e9 de r\u00e9ponse aux incidents.<\/p>\n\n\n\n

La responsabilit\u00e9 des dirigeants<\/h3>\n\n\n\n

NIS2 pr\u00e9voit que les organes de direction approuvent les mesures de gestion des risques et suivent une formation. En cas de manquement grave, leur responsabilit\u00e9 peut \u00eatre engag\u00e9e, jusqu’\u00e0 une \u00e9ventuelle interdiction temporaire d’exercer des fonctions dirigeantes pour les entit\u00e9s essentielles. C’est l’un des leviers les plus dissuasifs du texte.<\/p>\n\n\n\n

Le ReCyF, nouveau r\u00e9f\u00e9rentiel de l’ANSSI pour pr\u00e9parer NIS2<\/h2>\n\n\n\n

Sans attendre la promulgation de la loi, l’ANSSI a mis \u00e0 disposition depuis le 17 mars 2026 le R\u00e9f\u00e9rentiel Cyber France (ReCyF). Pr\u00e9sent\u00e9 comme un \u00ab document de travail \u00bb, il liste les mesures recommand\u00e9es pour atteindre les objectifs de s\u00e9curit\u00e9 de NIS2 et correspond au r\u00e9f\u00e9rentiel vis\u00e9 par l’article 14 du projet de loi R\u00e9silience. C’est une mani\u00e8re, pour l’agence, de donner un cap aux futurs assujettis malgr\u00e9 le flou l\u00e9gislatif.<\/p>\n\n\n\n

Le ReCyF a une vertu p\u00e9dagogique : il traduit les exigences abstraites de la directive en mesures concr\u00e8tes (gouvernance, protection, d\u00e9fense, r\u00e9silience), articul\u00e9es par niveau de maturit\u00e9. Les entreprises qui s’en saisissent d\u00e8s maintenant prendront de l’avance, m\u00eame si le texte de loi \u00e9volue encore. L’ANSSI joue ici son r\u00f4le classique d’autorit\u00e9 technique qui accompagne plut\u00f4t qu’elle ne sanctionne, du moins dans la phase de mont\u00e9e en charge.<\/p>\n\n\n\n

Le directeur g\u00e9n\u00e9ral de l’ANSSI, Vincent Strubel, inscrit explicitement cette d\u00e9marche dans la continuit\u00e9 de l’effort r\u00e9glementaire en cours, en rappelant que le rel\u00e8vement du niveau de s\u00e9curit\u00e9 de l’\u00e9cosyst\u00e8me fran\u00e7ais et europ\u00e9en passe d’abord \u00ab par la voie r\u00e9glementaire avec la transposition de la directive NIS 2 \u00bb. L’agence assume donc le r\u00f4le de cheville ouvri\u00e8re d’une r\u00e9forme dont le v\u00e9hicule l\u00e9gislatif lui \u00e9chappe en partie.<\/p>\n\n\n\n

La cybermenace en France en 2025 : ce que r\u00e9v\u00e8le l’ANSSI<\/h2>\n\n\n\n

Le retard de transposition se mesure \u00e0 l’aune d’une menace qui, elle, n’attend pas. Le Panorama de la cybermenace 2025 de l’ANSSI, publi\u00e9 d\u00e9but 2026, dresse un \u00e9tat des lieux pr\u00e9cis du paysage fran\u00e7ais. L’agence a trait\u00e9 3 586 \u00e9v\u00e9nements de s\u00e9curit\u00e9 en 2025, soit 2 209 signalements et 1 366 incidents av\u00e9r\u00e9s.<\/p>\n\n\n\n

\n
Indicateur ANSSI 2025<\/th>Valeur<\/th>\u00c9volution ou pr\u00e9cision<\/th><\/tr><\/thead>
\u00c9v\u00e9nements de s\u00e9curit\u00e9 trait\u00e9s<\/td>3 586<\/td>2 209 signalements et 1 366 incidents<\/td><\/tr>\n
Compromissions par ran\u00e7ongiciel<\/td>128<\/td>contre 141 en 2024 (-9,2 %)<\/td><\/tr>\n
Secteur le plus vis\u00e9<\/td>\u00c9ducation et recherche<\/td>34 % des incidents<\/td><\/tr>\n
Administrations et collectivit\u00e9s<\/td>24 %<\/td>2e secteur le plus touch\u00e9<\/td><\/tr>\n
Sant\u00e9<\/td>10 %<\/td>3e secteur le plus touch\u00e9<\/td><\/tr>\n
T\u00e9l\u00e9communications<\/td>9 %<\/td>4e secteur le plus touch\u00e9<\/td><\/tr>\n
Victimes de ran\u00e7ongiciels : TPE, PME, ETI<\/td>48 %<\/td>cible principale des extorsions<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Deux enseignements ressortent. D’abord, le ran\u00e7ongiciel recule l\u00e9g\u00e8rement en nombre (128 compromissions contre 141 en 2024), mais reste concentr\u00e9 sur les acteurs les moins arm\u00e9s : les TPE, PME et ETI repr\u00e9sentent 48 % des victimes, les collectivit\u00e9s 11 %, les \u00e9tablissements de sant\u00e9 8 %. Ensuite, les quatre secteurs les plus touch\u00e9s (\u00e9ducation-recherche, administrations, sant\u00e9, t\u00e9l\u00e9coms) concentrent 76 % des incidents. Or ce sont pr\u00e9cis\u00e9ment les cat\u00e9gories que NIS2 entend mieux prot\u00e9ger. Le retard de transposition laisse donc expos\u00e9s les maillons les plus fragiles.<\/p>\n\n\n\n

Impact pour les entreprises fran\u00e7aises : un choc de conformit\u00e9<\/h2>\n\n\n\n

Pour les dizaines de milliers d’organisations qui entrent dans le champ, NIS2 repr\u00e9sente un choc de conformit\u00e9 comparable \u00e0 celui du RGPD en 2018. Les grands groupes, d\u00e9j\u00e0 dot\u00e9s de responsables de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (RSSI) et de programmes de gestion des risques, absorberont la marche plus facilement. Le d\u00e9fi se concentre sur les PME industrielles, les collectivit\u00e9s et les \u00e9tablissements de sant\u00e9, souvent sous-dot\u00e9s en ressources cyber.<\/p>\n\n\n\n

Concr\u00e8tement, une entit\u00e9 concern\u00e9e devra cartographier son syst\u00e8me d’information, d\u00e9ployer des mesures de base (authentification multifacteur, sauvegardes hors ligne, chiffrement, gestion des correctifs), formaliser un plan de r\u00e9ponse aux incidents, et d\u00e9signer un r\u00e9f\u00e9rent. Beaucoup de ces fondamentaux rel\u00e8vent de l’hygi\u00e8ne num\u00e9rique \u00e9l\u00e9mentaire, mais leur mise en \u0153uvre co\u00fbte du temps et de l’argent. Les cabinets de conseil et les prestataires qualifi\u00e9s par l’ANSSI anticipent une forte demande d’accompagnement d\u00e8s la promulgation.<\/p>\n\n\n\n

Le paradoxe du retard est ici \u00e0 double tranchant. D’un c\u00f4t\u00e9, il offre du r\u00e9pit aux entreprises qui n’ont pas commenc\u00e9. De l’autre, il cr\u00e9e une incertitude paralysante : faut-il investir maintenant sur la base d’un texte non promulgu\u00e9, ou attendre les d\u00e9crets au risque de devoir tout faire dans l’urgence ? Les organisations les plus avis\u00e9es s’appuient sur le ReCyF et sur les bonnes pratiques europ\u00e9ennes pour avancer sans attendre le couperet juridique.<\/p>\n\n\n\n

Comparaison europ\u00e9enne : la France n’est pas seule<\/h2>\n\n\n\n

La France partage le banc des retardataires avec une vingtaine d’\u00c9tats membres renvoy\u00e9s devant la CJUE en juin 2026, dont l’Espagne et l’Italie. Quelques pays ont en revanche transpos\u00e9 NIS2 rapidement, \u00e0 l’image de la Belgique, qui a fait figure de bon \u00e9l\u00e8ve en publiant sa loi d\u00e8s 2024 et en ouvrant t\u00f4t l’enregistrement des entit\u00e9s. L’Allemagne, comme la France, a connu des allers-retours parlementaires qui ont retard\u00e9 son propre texte.<\/p>\n\n\n\n

Cette h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 cr\u00e9e un probl\u00e8me de fond pour le march\u00e9 unique num\u00e9rique. Une entreprise op\u00e9rant dans plusieurs pays se retrouve face \u00e0 des obligations qui entrent en vigueur \u00e0 des dates diff\u00e9rentes, avec des autorit\u00e9s nationales aux pratiques distinctes. C’est exactement ce que NIS2 voulait \u00e9viter en harmonisant les r\u00e8gles. Pour r\u00e9duire ce d\u00e9sordre, la Commission a propos\u00e9 en janvier 2026 un paquet de simplification visant \u00e0 all\u00e9ger les obligations de quelque 28 700 entreprises, dont 6 200 micro et petites entreprises, tout en maintenant la pression sur les retardataires.<\/p>\n\n\n\n

Le contraste avec d’autres dossiers europ\u00e9ens est frappant. Sur la cryptographie post-quantique, par exemple, l’Union avance de fa\u00e7on plus coordonn\u00e9e, port\u00e9e par les standards du NIST et de l’ENISA. Sur NIS2, la dynamique reste pilot\u00e9e par 27 calendriers nationaux, ce qui transforme une directive d’harmonisation en mosa\u00efque de mises en \u0153uvre.<\/p>\n\n\n\n

Ce que disent les experts et les autorit\u00e9s<\/h2>\n\n\n\n

C\u00f4t\u00e9 fran\u00e7ais, les voix officielles assument \u00e0 la fois l’ambition et le retard. Vincent Strubel, directeur g\u00e9n\u00e9ral de l’ANSSI, replace la transposition de NIS2 au centre de la strat\u00e9gie de rel\u00e8vement du niveau de s\u00e9curit\u00e9, rappelant qu’elle constitue le premier levier r\u00e9glementaire de l’\u00e9cosyst\u00e8me fran\u00e7ais et europ\u00e9en. L’agence se positionne en accompagnatrice, comme en t\u00e9moigne la publication anticip\u00e9e du ReCyF.<\/p>\n\n\n\n

Au Parlement, \u00c9ric Bothorel, rapporteur g\u00e9n\u00e9ral du texte en commission sp\u00e9ciale, n’a pas masqu\u00e9 la difficult\u00e9 du calendrier : \u00ab Alors que la directive aurait d\u00fb \u00eatre transpos\u00e9e avant le 17 octobre 2024, nous ne sommes pas \u00e0 l’abri de prendre encore un peu plus de temps que pr\u00e9vu. \u00bb Une lucidit\u00e9 rare qui souligne la tension entre l’urgence europ\u00e9enne et la r\u00e9alit\u00e9 de la proc\u00e9dure l\u00e9gislative fran\u00e7aise.<\/p>\n\n\n\n

Du c\u00f4t\u00e9 de Bruxelles, la position de la Commission est constante : une directive non transpos\u00e9e prive les citoyens et les entreprises des protections pr\u00e9vues par le l\u00e9gislateur europ\u00e9en, et l’\u00e9galit\u00e9 des conditions de concurrence dans le march\u00e9 int\u00e9rieur en p\u00e2tit. C’est cette logique qui a justifi\u00e9 le passage \u00e0 l’\u00e9tape contentieuse. Les juristes sp\u00e9cialis\u00e9s en droit du num\u00e9rique rappellent pour leur part qu’un renvoi devant la CJUE acc\u00e9l\u00e8re presque toujours, en pratique, l’adoption du texte national, l’\u00c9tat cherchant \u00e0 \u00e9viter une condamnation p\u00e9cuniaire.<\/p>\n\n\n\n

Contexte historique : de NIS1 \u00e0 NIS2<\/h2>\n\n\n\n

La premi\u00e8re directive NIS, adopt\u00e9e en 2016, fut le premier cadre paneurop\u00e9en de cybers\u00e9curit\u00e9. Elle imposait des obligations \u00e0 un nombre limit\u00e9 d’op\u00e9rateurs de services essentiels d\u00e9sign\u00e9s par chaque \u00c9tat, et \u00e0 quelques fournisseurs de services num\u00e9riques. Son principal d\u00e9faut \u00e9tait son h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 : les \u00c9tats disposaient d’une large marge pour d\u00e9finir qui \u00e9tait concern\u00e9, ce qui a produit des p\u00e9rim\u00e8tres tr\u00e8s in\u00e9gaux d’un pays \u00e0 l’autre.<\/p>\n\n\n\n

NIS2 corrige ce travers par une approche plus m\u00e9canique : un crit\u00e8re de taille combin\u00e9 au secteur d’activit\u00e9 d\u00e9termine automatiquement l’assujettissement, r\u00e9duisant le pouvoir d’appr\u00e9ciation national. Le texte renforce aussi les exigences de gestion des risques, harmonise les d\u00e9lais de notification, et muscle les pouvoirs de supervision et de sanction. C’est une mont\u00e9e en gamme \u00e0 la fois en largeur (plus de secteurs, plus d’entit\u00e9s) et en profondeur (obligations plus pr\u00e9cises, sanctions plus lourdes).<\/p>\n\n\n\n

Cette trajectoire s’inscrit dans une vague r\u00e9glementaire europ\u00e9enne plus vaste, aux c\u00f4t\u00e9s du r\u00e8glement DORA pour la finance, de la directive REC sur les entit\u00e9s critiques, et du Cyber Resilience Act pour les produits num\u00e9riques. Ensemble, ces textes dessinent un \u00e9cosyst\u00e8me o\u00f9 la cybers\u00e9curit\u00e9 devient une obligation l\u00e9gale opposable, et non plus une simple bonne pratique. Pour bien situer ces enjeux, il est utile de revenir sur la mani\u00e8re dont les violations de donn\u00e9es<\/a> surviennent et sur le r\u00f4le des protocoles HTTPS et TLS<\/a> dans la protection des \u00e9changes.<\/p>\n\n\n\n

Cinq pr\u00e9dictions pour la cybers\u00e9curit\u00e9 r\u00e9glementaire europ\u00e9enne<\/h2>\n\n\n\n

\u00c0 partir de l’\u00e9tat actuel du dossier, cinq \u00e9volutions paraissent probables dans les douze \u00e0 vingt-quatre prochains mois.<\/p>\n\n\n\n