NIS2 : la transposition française s’enlise, près de 20 000 entités dans l’attente

La directive européenne NIS2 devait être transposée depuis 2024, mais la loi de résilience reste bloquée au Parlement. Près de 20 000 entités attendent un cadre que la menace, elle, n'attend pas.

Voir les titres Ne plus voir les titres

Une directive européenne peut peser sur la stratégie d’une entreprise avant même d’être inscrite dans le droit national. C’est le paradoxe que vivent aujourd’hui des dizaines de milliers d’organisations françaises avec NIS2, le texte censé rehausser le niveau de cybersécurité de tout le tissu économique. Adoptée à Bruxelles pour remplacer une première directive de 2016 devenue trop étroite, elle élargit massivement le périmètre des acteurs soumis à des obligations de sécurité informatique.

La France devait l’intégrer à son droit avant le 17 octobre 2024. Près de deux ans plus tard, la loi de résilience qui doit assurer cette transposition n’est toujours pas votée, et la Commission européenne a saisi la Cour de justice de l’Union européenne. Ce retard place les directions générales dans une zone grise inconfortable : préparer une conformité dont les contours restent en suspens.

Comment se préparer à une règle qui n’existe pas encore formellement, mais dont chacun sait qu’elle finira par s’imposer ?

Une directive pensée pour muscler la cyberdéfense collective

NIS2 part d’un constat simple : la sécurité numérique d’un pays ne se joue plus seulement chez une poignée d’opérateurs stratégiques. Elle dépend d’un maillage bien plus large de collectivités, de sous-traitants et d’entreprises de taille intermédiaire qui, en cas de faille, exposent toute une chaîne. Le texte fait donc passer la cybersécurité au rang d’enjeu de gouvernance, et non plus de simple sujet technique.

Le changement d’échelle est spectaculaire. L’Agence nationale de la sécurité des systèmes d’information ne régule aujourd’hui qu’environ 300 opérateurs d’importance vitale, encadrés par la loi de programmation militaire de 2013. Avec NIS2, son autorité s’étendrait à près de 20 000 entités, dont quelque 1 500 collectivités classées comme entités essentielles, réparties dans dix-huit secteurs jugés critiques.

Concrètement, une société franchit le seuil dès lors qu’elle emploie au moins 50 personnes ou dépasse 10 millions d’euros de chiffre d’affaires, dans des domaines allant de l’énergie à la santé, de l’eau potable aux services numériques. La distinction entre entités essentielles et entités importantes détermine ensuite l’intensité des contrôles, mais le principe reste le même pour toutes : rendre des comptes sur la maîtrise de ses risques.

Un texte bloqué dans les couloirs du Parlement

Le calendrier législatif, lui, s’est grippé. Le projet de loi de résilience a bien été adopté en première lecture par le Sénat le 12 mars 2025, mais il n’a jamais franchi les étapes suivantes. Au 2 juin 2026, il n’était ni voté définitivement ni promulgué, alors que vingt des vingt-sept États membres avaient déjà transposé le texte.

La cause du blocage tient à un point précis : un amendement sénatorial, l’article 16 bis, interdit d’imposer aux messageries chiffrées la création de portes dérobées. Cette disposition, défendue notamment par le sénateur Olivier Cadic, se heurte aux réserves de la Direction générale de la sécurité intérieure, ce qui explique une partie du retard accumulé. Un désaccord aux allures régaliennes fige ainsi un texte attendu par toute une filière économique.

Le gouvernement cherche désormais une fenêtre pour reprendre l’examen. La ministre chargée du numérique a évoqué un possible passage en septembre, sans pouvoir le garantir, tandis qu’une mission parlementaire doit éclairer l’exécutif sur l’accès des autorités aux contenus chiffrés. Cette incertitude sur le tempo nourrit une comparaison inévitable avec la mise en conformité à un autre règlement européen, où les entreprises ont dû avancer avant d’avoir toutes les réponses.

Ce que la directive imposera aux entités concernées

Au-delà de la mécanique parlementaire, NIS2 dessine déjà un socle d’obligations connu, largement documenté par les référentiels de l’Agence. Les organisations qui anticipent s’appuient sur ce cadre pour structurer leur feuille de route sans attendre le vote. Les grands blocs de conformité se répartissent ainsi :

  • une responsabilité directe des dirigeants, tenus de valider et de suivre les mesures de cybersécurité, sous peine d’engager leur responsabilité juridique et financière ;
  • une gestion des risques formalisée, couvrant la sécurité des systèmes, la chaîne d’approvisionnement et la continuité d’activité ;
  • une obligation de notification rapide des incidents significatifs auprès de l’autorité compétente ;
  • des mesures techniques et organisationnelles alignées sur le référentiel cyber publié par l’Agence en mars 2026 ;
  • un régime de sanctions administratives en cas de manquement, doté de pouvoirs de contrôle élargis.

Cette liste montre que le cœur de NIS2 n’est pas l’achat d’un outil, mais l’installation d’une discipline durable. La cybersécurité y devient une routine de pilotage, au même titre que le suivi financier ou les nouvelles obligations de reporting extra-financier qui s’installent en parallèle.

Le prix du retard pour toute une filière

L’attente a un coût, et il se chiffre. Faute de cadre légal stabilisé, de nombreuses organisations reportent leurs investissements de sécurité, avec un effet immédiat sur les carnets de commandes des prestataires spécialisés. Le directeur général de l’Agence a rappelé devant les sénateurs que ce report pèse sur une filière de plus de 11 milliards d’euros et 50 000 emplois.

Le risque financier direct existe aussi pour l’État, désormais visé par un recours devant la justice européenne qui pourrait déboucher sur des amendes. Mais l’enjeu de fond dépasse la sanction budgétaire : sans transposition, l’Agence reste privée d’un pouvoir de contrôle qu’elle juge indispensable face à la montée des attaques visant administrations et infrastructures. Vincent Strubel décrit une menace qui ne patientera pas le temps d’un vote.

Ça va secouer dans les trois ans à venir.

Vincent Strubel, directeur général de l’ANSSI, audition devant la commission des affaires économiques du Sénat, 8 juillet 2026.

Anticiper sans attendre le feu vert législatif

Les organisations les mieux préparées ne regardent pas le calendrier parlementaire : elles avancent. Cartographier ses systèmes critiques, évaluer ses fournisseurs, désigner un responsable clairement identifié et s’aligner sur le référentiel de l’Agence constituent des chantiers qui garderont leur valeur quel que soit le texte adopté. Cette avance transforme une contrainte réglementaire en travail de fond sur la résilience.

L’Agence invite par ailleurs les entreprises à préparer la transition vers la cryptographie post-quantique : dès 2027, elle cessera de certifier les solutions non résistantes, et à partir de 2030 elle n’acceptera plus rien qui ne le soit. La démarche SecNumCloud, qui compte désormais 17 offres qualifiées, illustre cette montée d’exigence, dans le prolongement des débats sur la souveraineté numérique européenne.

Une échéance qui ne dépend plus du calendrier

Le paradoxe de NIS2 tient dans cette dissociation entre le temps du droit et le temps du risque. La loi peut encore glisser de quelques mois, la menace, elle, suit son propre agenda, amplifiée par une intelligence artificielle que l’Agence décrit comme un multiplicateur de force pour les attaquants. Le vrai danger n’est donc pas tant le retard du texte que l’impréparation des organisations qu’il vise.

Reste une question que chaque comité de direction devra trancher à sa manière : attendre la sécurité juridique d’une loi promulguée, ou considérer que la cyberdéfense relève déjà d’une exigence de gouvernance qui ne se négocie plus. Le sort du texte se joue au Parlement, mais la maturité cyber des entreprises, elle, se construit dès maintenant, dans chaque décision d’investissement et chaque arbitrage de gouvernance.


Faites passer le mot en partageant !