Le role de l'ANSSI dans l'application de la directive NIS2 en France
L'ANSSI est designee comme l'autorite nationale unique pour la mise en oeuvre de NIS2 en France. Elle assure la supervision des entites concernees, recoit les notifications d'incidents et dispose de pouvoirs de controle et de sanction.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
L'ANSSI, autorite competente unique
Cree en 2009, l'Agence nationale de la securite des systemes d'information est rattachee au Secretariat general de la defense et de la securite nationale (SGDSN). Elle est, depuis NIS1, l'autorite competente pour les operateurs de services essentiels (OSE) en France. La transposition de NIS2 confirme et etend ce role.
La France a fait le choix d'une autorite unique (a la difference d'autres Etats membres qui ont reparti les missions entre plusieurs agences sectorielles). Ce choix garantit une coherence d'application et evite les conflits de competence entre regulateurs.
Les missions de l'ANSSI sous NIS2
1. Identification et enregistrement des entites
L'ANSSI tient un registre national des entites essentielles et importantes. Les entites concernees doivent s'enregistrer en fournissant leurs coordonnees, secteurs d'activite, Etats membres ou elles operent et adresses IP publiques. L'ANSSI peut egalement designer d'office une entite si elle considere qu'elle releve du perimetre.
2. Supervision et controle
L'ANSSI dispose de pouvoirs de controle gradues selon le statut de l'entite :
- Entites essentielles : supervision ex ante, controles programmes, audits sur site, demandes de documentation, evaluations de la posture cyber.
- Entites importantes : supervision ex post, declenchee a la suite d'un incident ou d'un signalement.
L'agence peut mandater des prestataires qualifies (PASSI, prestataires d'audit en securite des systemes d'information) pour realiser ces controles.
3. Reception et traitement des notifications d'incidents
Le CERT-FR, division de l'ANSSI, joue le role de CSIRT national. Il recoit les notifications d'incidents sous 24h, 72h et 1 mois selon le schema impose par l'article 23 de NIS2. Il coordonne la reponse, partage les indicateurs de compromission et alerte les autres operateurs susceptibles d'etre touches.
4. Pouvoirs d'injonction et de sanction
L'ANSSI peut adresser des injonctions de mise en conformite a une entite defaillante, lui imposer un calendrier d'execution, et en cas de non-respect prononcer des amendes administratives pouvant atteindre 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial. Elle peut egalement, sur decision motivee, suspendre des certifications ou ecarter temporairement un dirigeant. Le bareme complet est detaille sur notre page sanctions NIS2.
5. Cooperation europeenne
L'ANSSI represente la France au sein du groupe de cooperation NIS et du reseau CSIRTs europeen. Elle echange avec ses homologues sur les menaces transfrontalieres, contribue aux exercices europeens, et peut recevoir l'aide d'autres autorites en cas d'incident majeur.
6. Production de guides et d'outils
L'ANSSI publie regulierement des guides, referentiels et outils a destination des entites NIS2. Parmi les ressources phares : le guide d'hygiene informatique, le referentiel de la PSSI, les guides sectoriels, l'outil MonAideCyber pour les TPE-PME. Ces ressources sont gratuites et constituent un point de depart precieux pour batir une feuille de route de mise en conformite.
Comment se preparer a un controle de l'ANSSI ?
Un controle ANSSI peut etre programme ou inopine. Pour s'y preparer, l'entite doit :
- Maintenir a jour la documentation de sa politique de securite, de son analyse des risques et de ses procedures.
- Tenir un registre des incidents et de leur traitement.
- Disposer d'indicateurs de mesure de l'efficacite des mesures (KPI cyber).
- Identifier un interlocuteur unique au sein de l'organisation pour repondre aux demandes de l'ANSSI.
- Realiser des audits internes ou externes reguliers pour identifier les ecarts avant qu'ils ne soient releves par l'autorite.
Anticiper plutot que subir
L'ANSSI a indique a plusieurs reprises qu'elle privilegierait dans un premier temps une demarche d'accompagnement plutot que de sanction. Mais cette periode de tolerance ne durera pas indefiniment. Les entites qui anticipent leur mise en conformite beneficient d'un dialogue plus serein avec l'autorite. Pour engager la demarche, consultez notre guide de mise en conformite NIS2 et notre guide complet.