Réglementation - 10 avril 2026

Transposition NIS2 en France : ou en est-on ?

La France n'a pas tenu l'echeance europeenne du 17 octobre 2024 pour transposer la directive NIS2. Le projet de loi de résilience est en cours d'examen et son adoption est attendue dans les prochains mois. État des lieux et calendrier previsionnel.

Un retard assume

La France figure parmi les États membres en retard sur la transposition de NIS2. La Commission europeenne a engage en novembre 2024 une procédure d'infraction contre 19 pays defaillants, dont la France. Ce retard s'explique par la complexite du projet legislatif français, qui transpose simultanement trois textes europeens majeurs : la directive NIS2, la directive REC sur la résilience des entités critiques, et le reglement DORA pour le secteur financier.

Le choix d'un texte unique permet une coherence reglementaire mais alourdit le travail parlementaire. Les debats ont egalement ete ralentis par les changements de gouvernement et la priorite donnee a d'autres dossiers.

Les dispositions cles du projet de loi

Le projet de loi, baptise loi de résilience, comporte plusieurs dispositions structurantes :

• Désignation de l'ANSSI comme autorite nationale unique pour NIS2 (voir notre page ANSSI et NIS2).
• Définition des seuils et des modalites d'identification des entités concernees.
• Creation d'un registre national tenu par l'ANSSI.
• Bareme des sanctions aligne sur les plafonds europeens (10 millions d'euros / 2 pourcent du CA).
• Pouvoirs de contrôle de l'ANSSI : audits, injonctions, astreintes.
• Procédures de notification d'incidents au CERT-FR selon le schema 24h/72h/1 mois.

Le texte définit egalement les modalites d'articulation entre NIS2 et les regimes sectoriels existants (DORA pour les banques, regulations spécifiques pour la santé).

Calendrier previsionnel

Selon les derniers signaux, l'adoption définitive du texte est attendue au cours du premier semestre 2025. L'application effective demarrerait en milieu d'année, avec une période de tolerance pour permettre aux entités de finaliser leur enregistrement et leur mise en conformité.

Que faire en attendant ?

Le retard de transposition n'exempte pas les entités concernees de leurs obligations. Au contraire, il leur offre un sursis pour préparer serieusement leur conformité. Les actions a engager des maintenant :

1. Vérifier votre éligibilité a NIS2 (voir qui est concerne).
2. Réaliser une analyse d'écart entre votre posture cyber et les exigences NIS2.
3. Construire un plan de remediation prioritise par le risque.
4. Engager le dialogue avec l'ANSSI pour anticiper l'enregistrement.
5. Former vos dirigeants aux enjeux de gouvernance cyber (article 20).

Pour la méthodologie complete, consultez notre guide de mise en conformité NIS2.